Datenverlust im Unternehmen – Was ist zu tun?

Kürzlich wurde bekannt, dass im April in Kanada zwei mobile Festplatten mit den Daten von zwei Millionen Wählern verschwunden sind. Die unverschlüsselten Festplatten waren bei einem Datentransport in ein anderes Gebäude verloren gegangen. Die kanadischen Behörden haben erst jetzt die Öffentlichkeit über den Vorfall informiert.

Wir wollen die Gelegenheit nutzen und beleuchten, wie sich deutsche Unternehmen bei einem Verlust sensibler Daten zu verhalten haben.

Regelung in § 42a BDSG

Seit der letzten Änderung des Bundesdatenschutzgesetzes (BDSG) findet sich eine konkrete Regelung für den Verlust besonders sensibler Daten in § 42a BDSG. Diese Vorschrift zur sogenannten Security-Breach-Notification betrifft unter anderem besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG, z.B. Gesundheitsdaten) und Bank- oder Kreditkartendaten. Gehen diese Daten verloren und drohen schwerwiegende Beeinträchtigungen für die Rechte der Betroffenen, so sind die Aufsichtsbehörde und die Betroffenen unverzüglich zu informieren.

Unverzügliche Information der Aufsichtsbehörde und der Betroffenen

Unverzüglich bedeutet in diesem Zusammenhang, dass die Aufsichtsbehörde zu informieren ist, sobald der Vorfall der datenverarbeitenden Stelle bekannt wird.

Anders als bei der Behörde ist bei der Information der Betroffenen unter Umständen die Verschwiegenheit nicht immer gewahrt. Um aber zu verhindern, dass z.B. die aufgetretene Sicherheitslücke auch von anderen Angreifern ausgenutzt wird, kann die Information der Betroffenen in Absprache mit der Behörde zunächst zurückgestellt werden ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK