Datenpanne bei der Auftragsdatenverarbeitung – Informationspflichten nach dem BDSG

21.02.2015 – von Rechtsanwalt Jörn Tröber
Mittelständische IT-Dienstleister sind vielfach mit der Verarbeitung personenbezogener Daten als Subunternehmer beauftragt. Trotz Einhaltung der gesetzlich vorgesehenen technischen und organisatorischen Maßnahmen gemäß § 9 Bundesdatenschutzgesetz (BDSG) kann es zu Datenpannen kommen. Die Schwachstelle ist – wie so oft - der Mensch.

Es steht seit Facebook und Co. außer Frage, dass personenbezogene Daten, nach § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, einen mikro- und makroökonomischen Treibstoff für die Wirtschaft darstellen. Personenbezogene Daten haben einen Wert. Längst gibt es einen florierenden Handel mit ihnen, legal wie illegal, für Zwecke der Werbung wie für die Nutzung zu kriminellen Handlungen, z.B. bei Bankkonten- und Kreditkartennummern (hierzu: Hoeren, WuW 2013, S. 463 ff.).

Banken, Versicherungen und Telekommunikationsdienstleister – sie alle arbeiten mit diesen sensiblen Daten ihrer Kunden. Ohne ausdrückliche Einwilligung ist ihnen eine Weitergabe an Dritte außer zum Zwecke der Durchführung des Vertrags nach dem BDSG untersagt. Zur Kontrolle der Daten und zur Vermeidung eines ungewollten Datenverlustes sieht das BDSG einen Katalog von technischen und organisatorischen Maßnahmen in § 9 BDSG vor, welcher wiederum durch die Anlage zu § 9 S. 1 BDSG konkretisiert wird. IT-Dienstleister, die für entsprechende Unternehmen als Subunternehmer tätig werden wollen, werden in aller Regel nur „gelistet“, wenn auch sie diese gesetzlichen Anforderungen erfüllen und sich zur Einhaltung einschließlich Unterwerfung unter die Weisungs-und Kontrollbefugnis ihrer Auftraggeber in einer sogenannten Auftragsdatenverarbeitungsvereinbarung (ADV-Vertrag gem. § 11 BDSG) verpflichten.

Trotz dieser gesetzlichen Verpflichtung zu einem Compliancemanagement im Zusammenhang mit Datenschutz gibt es jedoch keine absolute Sicherheit vor dem versehentlichen oder auch kriminell bedingten Datenverlust. Ob durch Hackerangriff oder durch den eigenen Mitarbeiter. Zu groß ist die Verlockung, aus Millionen von Kundendaten Geld zu machen. Eine schnelle Kopie auf einen leistungsstarken USB-Stick reicht da oft schon aus. Was aber ist zu tun, wenn eine derartige Datenpanne erkennbar wird? Bei welchen Daten ist unverzügliches Handeln angezeigt? Welche Pflichten hat der Auftraggeber, welche der IT-Dienstleister?

Informationspflicht nach § 42a BDSG

Stellen die primär datenverarbeitenden Unternehmen (Banken, Versicherungen, Telekommunikationsdienstleister etc.) eine derartige Datenpanne bei sich fest, sieht § 42a BDSG eine Informationspflicht gegenüber der zuständigen Aufsichtsbehörde (Datenschutzbehörde) und den Betroffenen (Kunden) vor. Voraussetzung dieser Informationspflicht ist im Kern die Feststellung, dass bestimmte, beim Unternehmen gespeicherte Datenarten Dritten unrechtmäßig zur Kenntnis gelangt sind und deshalb schwerwiegende Beeinträchtigungen für die Rechte oder Interessen des Betroffenen drohen.

Informationspflicht nur bei Verlust besonders sensibler Daten

Nicht jeder Datenverlust muss jedoch angezeigt werden. § 42 a BDSG verlangt ein aktives Handeln nur bei besonders sensiblen Daten. Hierzu gehören neben besonderen Daten im Sinne von § 3 Abs. 9 BDSG (z. Angaben über ethnische Herkunft, politische Anschauung oder Sexualleben), Patienten oder Mandantendaten sowie Daten über strafbare Handlungen vor allem personenbezogene Daten zu Bank- oder Kreditkartenkonten. Dieser Kreis der anzeigepflichtigen Daten kann allerdings aufgrund der Verträge mit den Kunden erweitert sein (Krupna, BB 2014, 2250, 2252).

Weitere Voraussetzungen der Informationspflicht

Der Gesetzgeber ist sich der Tragweite der Informationspflicht, insbesondere an die betroffenen Kunden, durchaus bewusst. Aus diesem Grunde ist nicht jeder Verdachtsfall eines Datenverlustes informationspflichtig. Eine Infiormationspflicht besteht nur, wenn eine unrechtmäßige Kenntniserlangung durch Dritte festgestellt wird. Dabei reicht eine hohe Wahrscheinlichkeit; eine absolute Gewissheit muss nicht bestehen. Ferner muss eine schwerwiegende Beeinträchtigung der Betroffenen drohen. Beide Voraussetzungen hängen unter anderem von den betroffenen Daten und ihrer Sensibilität ab. Kurz: Je sensibler die Daten, desto weniger streng sind die Anforderungen an eine hohe Wahrscheinlichkeit der Kenntniserlangung.

Informationsverpflichteter nach § 42a BDSG nur der Auftraggeber

Nach herrschender Meinung betrifft diese gesetzliche Informationspflicht allein den Auftraggeber, nicht also den IT-Dienstleister, der als Subunternehmer für den Auftraggeber tätig geworden ist und unter Umständen den Datenverlust bei sich festgestellt hat. Letztlich wird dieses damit begründet, dass sich aus den datenschutzrechtlichen Bestimmungen für die Auftragsdatenverarbeitung nach § 11 BDSG mangels Verweis auf § 42a BDSG keine eigenständige Informationspflicht des Auftragnehmers entnehmen lässt (Krupna, BB 2014, 2250, 2251).

Auftragnehmer muss jedoch Auftraggeber informieren

Der IT-Dienstleister hat allerdings den Auftraggeber zu informieren. Dieses ergibt sich allgemein aus § 11 Abs. 2 S. 2 Nr. 8 BDSG sowie in aller Regel aus der zwischen ihm und dem Auftraggeber bestehenden ADV-Vereinbarung. So heißt es in der Mustervereinbarung für Auftragsdatenverhältnisse nach § 11 BDSG – Landesbeauftragte für den Datenschutz Niedersachsen:

Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Informationspflichten des Auftraggebers nach § 42a BDSG. Der Auftragnehmer sichert zu, den Auftraggeber bei seinen Pflichten nach § 42 a BDSG zu unterstützen.

http://www.lfd.niedersachsen.de/portal/live.php?navigation_id=12933&article_id=56176&_psmand=48

Darüber hinaus dürfte diese Pflicht als vertragliche Nebenpflicht auch dann bestehen, wenn eine ADV-Vereinbarung nicht geschlossen wurde.

Einzuleitende Informationsmaßnahmen

Der IT-Dienstleister hat im Falle einer Datenpanne, die für den Auftraggeber nach § 42 a BDSG informationspflichtig ist, unverzüglich den Auftraggeber zu informieren. Praktischer Weise informiert der Datenschutzbeauftragte des Auftragnehmers den Datenschutzbeauftragten seines Auftraggebers. Beide können dann gemeinsam etwaige weitere Maßnahmen absprechen und zur Schadensbegrenzung konstruktiv zusammenwirken.

Der Auftraggeber hat sodann die Aufsichtsbehörde zu informieren. Das ist in der Regel die Datenschutzbehörde des Landes. Für Telekommunikationsdienstleister besteht darüber hinaus unter den Voraussetzungen des § 109a TKG noch die Pflicht zur Information der Bundesnetzagentur und ggf. des Bundesbeauftragten für Datenschutz.

Ferner hat der Auftraggeber die Betroffenen, zumeist die Kunden, zu informieren. In der Regel reicht hier die Information per E-Mail. In besonderen Fällen, insbesondere bei einer sehr großen Zahl von Betroffenen, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme, § 42a S. 4 BDSG.

Konsequenzen bei Untätigbleiben

Beachtet der Auftraggeber die Informationspflicht nicht, so sieht das BDSG gemäß § 43 Abs. 2 Nr. 7, Abs. 3 BDSG ein Bußgeld bis zu 300.000 Euro vor. Den IT-Dienstleister als Auftragnehmer im Sinne des § 11 BDSG betrifft diese Bußgeldandrohung allerdings nicht. Allerdings können ihn zivilrechtliche Ansprüche des Auftraggebers wegen Vertragspflichtverletzung treffen.

Praxishinweis:

Wegen der erheblichen Auswirkungen einer Datenpanne ist es besonders wichtig, dass auch der IT-Dienstleister im Sinne des § 11 BDSG die Anforderungen des BDSG an Datensicherheit und Datenschutz erfüllt und ein entsprechendes Compliancemanagement installiert. Auch für den Krisenfall sollte ein Risk-Management-Konzept bestehen, um im Falle eines Falles unverzüglich handeln zu können.

Sie interessiert das Thema und wünschen nähere Informationen?
Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme

Das könnte Sie auch interessieren