Neues Datenschutzrecht nimmt Firmen in die Pflicht

Dr. Flemming Moos ist Fachanwalt für IT-Recht bei der Wirtschaftskanzlei Osborne Clarke in Hamburg.
Zum Juli dieses Jahres wird das Bundesdatenschutzgesetz (BDSG) aktualisiert. Die neuen Regeln können Unternehmen Geld und Reputation kosten.

Nicht nur sorglose Urlauber oder deutsche Steuerfahnder kaufen CDs aus dubiosen Quellen im Ausland. Auch kriminelle Banden verschaffen sich Zugang zu Speichermedien mit umfangreichen Adress- und Kontodaten. Oftmals resultieren Datenverluste auch aus reiner Nachlässigkeit. Nun sollen neue Compliance-Vorschriften den Datenschwund eindämmen und die Bürger schützen. Für zahlreiche Unternehmen heißt das: Sie müssen neue Strukturen schaffen!

Die wichtigsten Änderungen

In diesen Punkten unterscheidet sich die Novelle des Bundesdatenschutzgesetzes (BDSG) vom bislang gültigen Datenschutzrecht:

  • Informationspflicht bei Datensicherheitsverletzungen: Sollte ein Unternehmen personenbezogene Daten verlieren, sprich: sollten unbefugte Dritte Kenntnis von diesen Informationen erlangen, so muss es die zuständige Aufsichtsbehörde sowie seine Kunden unaufgefordert informieren. Wenn die individuelle Information aller potenziell Betroffenen aufgrund der Vielzahl von Personen nicht möglich ist, muss die Allgemeinheit von der Datenschutzverletzung erfahren.

  • Abschaffung des Listenprivilegs zur Werbenutzung von Daten: Personenbezogene Daten dürfen künftig nur noch dann zu Werbezwecken an Dritte weitergegeben werden, wenn der Betroffene ausdrücklich zustimmt. Eine allgemeine Zustimmung gemäß den AGB genügt nicht. Es gilt eine Übergangsfrist von drei Jahren.

  • Allgemeines Koppelungsverbot: Der Abschluss eines Vertrags darf nicht von einer Einwilligung des Kunden in eine Verwendung seiner Daten zu Werbezwecken abhängig gemacht werden. Dieses Verbot gilt allerdings nur für Monopolanbieter.

  • Erweiterung der Bußgeldtatbestände samt Gewinnabschöpfung: Der Bußgeldrahmen bei Datenschutzverstößen wird angehoben. Bei Verletzungen von Verfahrensvorschriften steigt er auf 50.000 Euro (derzeit 25.000 Euro), für Verstöße gegen materielle Datenschutzbestimmungen auf 300.000 Euro (derzeit 250.000 Euro). Liegt der wirtschaftliche Vorteil, den das Unternehmen durch die Verstöße erlangt, über diesen Beträgen, so können die Bußgelder entsprechend steigen.

  • Einführung eines freiwilligen Datenschutzaudits: Das eigenständige Datenschutzauditgesetz (DSAG-E) soll es den Unternehmen ermöglichen, unter bestimmten Voraussetzungen ein behördliches Qualitätssiegel für ein Datenschutzkonzept oder eine technische Einrichtung zu erwerben.

Reaktion auf die Skandale von 2008

Am 10. Dezember 2008 hat die Bundesregierung den "Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und zur Regelung des Datenschutzaudits" beschlossen. Der Entwurf wurde am 13. Februar 2009 im Bundesrat beraten und soll nach aktueller Planung bereits im Juli 2009 in Kraft treten.

Kernpunkt der Gesetzesänderung ist eine Regelung, der zufolge sowohl die von Datenschutzverletzungen Betroffenen als auch die Datenschutzbehörden nach eventuellen Datenverlusten möglichst rasch benachrichtigt werden müssen. Diese Informationspflicht ist eine Reaktion auf die Datenschutzskandale des Sommers 2008.

Damals wurde publik, dass Unternehmen wie die Deutsche Telekom nicht ausreichend für die Sicherheit ihrer Kundendaten gesorgt hatten. Deshalb konnten beispielsweise Call-Center-Betreiber diese Daten für zweifelhafte Geschäftspraktiken nutzen. Zu den abhandengekommenen Informationen zählten neben persönlichen Merkmalen wie Name, Alter, Wohnort oder Geschlecht teilweise auch die Kontodaten der jeweiligen Kunden.

Je eher informiert wird, desto leichter sind Schäden vermeidbar

Diese Fälle zeigten: Bei einer Datenschutzverletzung ist – ähnlich wie beim Verlust einer EC- oder Kreditkarte – Eile geboten: Je eher die Betroffenen ihre Bank informieren können, desto eher lassen sich Gegenmaßnahmen einleiten und mögliche Schäden verhindern.

Meldepflicht bei Verletzungen der Datensicherheit

Deshalb hat der Gesetzgeber in der Novelle des BDSG eine Meldepflicht im Falle von Datensicherheitsverletzungen vorgesehen (Paragraf 42a des Entwurfs). Diese Regelung orientiert sich zum einen an den in den USA bereits seit Jahren gesetzlich verankerten Vorschriften zur "Security Breach Notification", zum anderen an einem Richtlinienvorschlag der Europäischen Kommission. Die Meldepflicht gilt unter anderem dann, wenn folgende Informationen in Umlauf gelangt sind:

  • Daten zu Bank- und Kreditkartenkonten;

  • Bestands-, Nutzungs- und Verkehrsdaten nach dem TMG und TKG (Telemedien- und Telekommunikationsgesetz), also alle von TK- oder Internet-Serviceanbietern gespeicherten Daten;

  • Daten, die einem Berufsgeheimnis unterliegen, etwa von Ärzten oder Anwälten.

Betroffen sind also praktisch alle Unternehmen, die mit Kundendaten zu tun haben. Die Neufassung des BDSG fordert nun, dass die Unternehmen die jeweils zuständige Aufsichtsbehörde sowie ihre Kunden unaufgefordert informieren, wenn unbefugte Dritte Kenntnis von den vorgenannten Daten erlangt haben.

Bußgelder in empfindlicher Höhe drohen bei Versäumnissen

Das ist ganz offensichtlich der Fall, wenn Daten kopiert und weiterverbreitet werden. Denkbar ist aber auch, dass ein im Zug reisender Außendienstmitarbeiter während einer kurzen Abwesenheit seinen ungesicherten Laptop am Platz stehen lässt oder dass ein Datenträger (etwa ein USB-Stick oder ein PDA) abhandenkommt. Schon in diesem Fall ist eine meldepflichtige Datensicherheitsverletzung denkbar.

Dieser Fall kann zudem besonders pikante Folgen haben: Ist es organisatorisch nicht möglich, alle potenziell von dem Datenverlust Betroffenen zu informieren, so muss die Allgemeinheit von der Verletzung der Datensicherheit erfahren. Das soll nach dem Willen des Gesetzgebers durch Anzeigen in bundesweit erscheinenden Tageszeitungen geschehen. Abgesehen vom finanziellen Schaden wäre der Imageverlust für das Unternehmen, wenn es eine solche Anzeige schaltet, enorm. Sollte es den Informationspflichten nicht nachkommen, so drohen ihm Bußgelder bis 300.000 Euro.

Der Schaden wird oft zu spät bemerkt

Ein typisches Problem des digitalen Zeitalters: Datenverluste sind nicht auf den ersten Blick erkennbar, denn die ursprünglichen Daten bleiben unangetastet - eine Kopie genügt ja. Im schlimmsten Fall bemerkt ein Unternehmen erst viel zu spät, dass es Opfer einer Datenschutzverletzung geworden ist. Unternehmen, die sensible Daten ihrer Kunden bereithalten, müssen also Sicherheitsvorkehrungen ergreifen:

  1. Empfehlenswert ist es, zunächst durch Risikoanalysen die Gefahr eines Datenverlustes einzuschätzen. Der erste Schritt sollte ein Blick auf die internen Prozesse zusammen mit der hauseigenen IT oder einem auf dieses Thema spezialisierten IT-Dienstleister sein.

  2. Sind die potenziellen Datenlecks identifiziert, so müssen in einem zweiten Schritt interne Verfahren zur Aufdeckung von Sicherheitsverstößen festgelegt und eingeführt werden. Welche Methoden sich hier jeweils eignen, hängt von der Organisationsstruktur des Unternehmens ab. Sicher spielen Zugangsbeschränkungen und Verschlüsselungstechniken eine entscheidende Rolle, aber auch organisatorische Fragen wie beispielsweise: "Wer darf welche Daten wohin mitnehmen?"

  3. In einem dritten Schritt empfiehlt es sich, eine "Security Breach Notification Management Policy" auszuarbeiten. Sie soll regeln, welche Schritte im Falle eines Sicherheitsverstoßes zu unternehmen sind, wie die Meldepflichten erfüllt werden können und welche Verantwortlichkeiten gelten. Börsennotierte Unternehmen müssen zudem die allgemeinen Publizitätsrichtlinien beachten. Damit die Verantwortlichkeiten im Falle eines Falles klar geregelt sind, empfiehlt sich die Einrichtung eines Gremiums, dem unter anderem ein IT-Verantwortlicher und der betriebliche Datenschutzbeauftragte angehören sollten.

  4. Schließlich folgt die Feinarbeit: Musterdokumente helfen, den Umgang mit Datenverlusten im Unternehmen transparent und gesetzeskonform abzuwickeln. Welche Vorfälle werden wie an wen gemeldet? – Die Antworten auf diese Fragen müssen sich auch im Nachhinein noch nachvollziehen lassen. Hier sollten Rechtsabteilung, IT-Abteilung und Unternehmenskommunikation eng zusammenarbeiten. Auch To-do- und Checklisten sowie Dienstanweisungen zum Umgang mit Datenverlusten unterstützen die Verantwortlichen dabei, möglichst reibungslos und auf einer rechtlich abgesicherten Basis alle notwendigen Informationen an Betroffene und Aufsichtsbehörden zu übermitteln.

Qualitätssiegel für den Datenschutz geplant

Um die Datenschutz-Compliance im Unternehmen zu verbessern, soll es bald noch ein weiteres Instrument geben: das schon im derzeit gültigen BDSG (genauer gesagt: in Paragraf 9a) vorgesehene Datenschutzaudit. Hinsichtlich der Details eines Auditverfahrens verweist das BDSG auf ein eigenständiges Gesetz (DSAG-E), das momentan in der parlamentarischen Bera-tung ist.

In der derzeitigen Fassung soll das Gesetz den Unternehmen ermöglichen, auf freiwilliger Basis ein behördliches Qualitätssiegel für ein Datenschutzkonzept oder eine technische Einrichtung zu erwerben. Voraussetzung dafür ist, dass zum einen die gesetzlichen Datenschutzvorschriften eingehalten und zum anderen die gesonderten Datenschutzaudit-Richtlinien berücksichtigt werden, die von einem noch zu schaffenden Datenschutzaudit-Ausschuss zu erarbeiten sind. (qua)

Worum es geht

Das neu gefasste Datenschutzgesetz fordert von den Unternehmen einen deutlich aufmerksameren Umgang mit sensiblen Kundendaten, als es in der Vergangenheit der Fall war. Die Vorgaben des Gesetzes an die Unternehmen, dass sie im Fall einer Datensicherheitsverletzung eventuell von sich aus die Öffentlichkeit informieren müssen, dürften erhebliche Abschreckungswirkung entfalten. In jedem Fall tun die Organsiationen gut daran, zügig praktikable und rechtssichere Strukturen zu schaffen, um Imageverluste und Schadenersatzforderungen zu vermeiden.