Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten § 42a BDSG

Bei einem Hackerangriff auf das Playstation-Netzwerk von Sony sind vermutlich Daten von mehr als 70 Millionen Nutzern gestohlen worden. Sony hat auf einer Website auf den Umstand hingewiesen.

Vor dem Hintergrund dieses Falles sollen an dieser Stelle die gesetzlichen Anforderungen an die Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten dargestellt werden.

Seit dem 1. September 2009 wurde die “Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten” in das deutsche Datenschutzrecht aufgenommen. Dies bedeutet, dass im Fall einer Datenpanne die Daten verarbeitende Stelle unter bestimmten Voraussetzungen verpflichtet ist, die Datenschutz-Aufsichtsbehörde und die von der Panne Betroffenen über die Datenpanne zu informieren.

I. Gesetzliche Regelung Die datenschutzrechtlichen Informationspflichten finden sich in § 42a BDSG, § 15a TMG sowie § 93 Abs. 3 TKG. Am 19.12.2009 ist die Richtlinie 2009/136/EG in Kraft getreten, deren Art. 2 Nr. 1 und 4 eine Ergänzung von Art. 4 RL 2002/58/EG bzgl. einer Informationspflicht für den Fall einer “Verletzung des Schutzes personenbezogener Daten” vorsieht. Die Informationspflicht gemäß der Richtlinie ist weitergehend als die bisherigen deutschen Regelungen. Da die Richtlinie bis zum 25. Mai 2011 in nationales Recht umzusetzen ist, werden hier noch Anpassungen an das deutsche Recht erfolgen.

II. Arten von Daten 1. § 42a BDSG Die Informationspflicht in § 42a BDSG beschränkt sich auf die dort genannten Arten von Daten. Dies sind: besondere Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG personenbezogene Daten, die einem Berufsgeheimnis unterliegen personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten bzw. den Verdacht solcher beziehen, personenbezogene Daten zu Bank- oder Kreditkartenkonten.

2. § 15a TMG, § 93 Abs. 3 TKG § 15 a TMG dagegen betrifft sämtliche Bestands- und Nutzungsdaten (§§ 14 und 15 TMG). Dies gilt auch für § 93 Abs. 3 TKG. Dies hat zur Folge, dass jedes Unternehmen mit einer Website entsprechende Daten vorhält und von einer Informationspflicht betroffen sein kann.

III. Verpflichteter § 42a BDSG betrifft nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 BDSG und öffentlich-rechtliche Wettbewerbsunternehmen gem. § 27 Abs. 1 Satz 1 Nr. 2 BDSG. § 15 TMG und § 93 Abs. 3 TKG dagegen enthalten keine solche Einschränkung und betreffen somit alle Diensteanbieter. Gem. § 2 Nr. 1 TMG ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Dies können auch öffentlich-rechtliche Körperschaften sein. § 1 Abs. 1 Satz 2 TMG stellt zudem klar, dass das TMG für alle Anbieter “einschließlich der öffentlichen Stellen” gilt.

IV. Unrechtmäßige Übermittlung oder Kenntniserlangung Eine Übermittlung liegt vor, wenn die Daten verarbe…