Datenschutz-Informationspflichten bei Datenpannen nach § 42a BDSG („Data Breach Notifications“)

Stellen Unternehmen fest, dass als besonders schutzwürdig definierte Daten (z.B. Gesundheitsdaten, Konto- und Kreditkarteninformationen) unrechtmäßig an Dritte gelangt sein können (z.B. durch einen Hackerangriff oder beispielsweise den Diebstahl eines unverschlüsselten Laptops), müssen diese die Datenschutz-Aufsichtsbehörde und die Betroffenen informieren. Der folgende Beitrag gibt einen Überblick über die rechtlichen Rahmenbedingungen dieser Datenschutz-Informationspflichten.

Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter und Herrn Diplom-Jurist Michael Stolze, LL.M. LL.M.

Hintergrund

Die Meldepflicht nach § 42a BDSG wurde 2009 im Rahmen der Novellierung des Bundesdatenschutzgesetzes (BDSG) eingeführt. Sie knüpft an einen entsprechenden Vorschlag der Europäischen Kommission aus dem Jahr 2007 an, um eine Ausweitung des Schutzes der Privatsphäre und der personenbezogenen Daten der Bürger in der elektronischen Kommunikation zu erreichen. Die Kommission schlug hierzu u.a. die Einführung einer Meldepflicht für Datensicherheitsverstöße vor, wie es mit den „Security Breach Notification Laws“ in den USA schon länger Praxis ist.

Adressat der Informationspflicht

§ 42a BDSG richtet sich an Unternehmen (§ 2 Abs. 4 BDSG) und ihnen datenschutzrechtlich gleichgestellte öffentlich-rechtliche Wettbewerbsunternehmen (§ 27 Abs. 1 Satz 1 Nr. 2 BDSG).

Rahmen der Informationspflicht

Die Informationspflicht greift zunächst nur bei dem Verlust als besonders schutzwürdig definierter Daten. Dies sind (a) die sog. sensiblen Daten nach § 3 Abs ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK