Seit 2007 sind die Medien voller Berichte über Verstöße gegen Datenschutz und Datensicherheit, als Datenschutzskandale gebrandmarkt. Obwohl die öffentlich diskutierten Fälle ausnahmslos illegal, überwiegend sogar sanktionsbewehrt waren, sah der Gesetzgeber Handlungsbedarf zu einer tiefgreifenden Novellierung des Bundesdatenschutzgesetzes (BDSG). Ein Aspekt dabei ist die Pflicht zur Selbstbezichtigung bei illegalen Datenabflüssen (§ 42 a BDSG).
Das Unternehmen hat danach den Datenabfluss der Datenschutzaufsichtsbehörde und gegebenenfalls auch den Betroffenen gegenüber unverzüglich (in rund zehn Tagen) anzuzeigen. Nicht jeder Verlust eines Datenträgers, beispielsweise eines USB-Sticks, eines Laptops mit Speichermedium oder eines Stapels von Ausdrucken ist meldepflichtig. Die zur Offenbarung führenden Anlässe führt das Gesetz auf. Meldepflichten entstehen, wenn unbefugte Dritte folgende personenbezogene Datenarten erhalten oder zur Kenntnis nehmen und dadurch demjenigen, den die Daten beschreiben, schwerwiegende Beeinträchtigungen seiner Rechte oder seiner schutzwürdigen Belange drohen:
- Daten, die Bank- oder Kreditkartenkonten betreffen
- sensitive Daten wie Gesundheitsoder Nationalitätsdaten
- Daten, die einem Berufsgeheimnis unterliegen
- Daten, die Straftaten oder Ordnungswidrigkeiten betreffen
Dies aber wäre kontraproduktiv, da Bußgelder drohen und sich nur aus der Aufklärung von Verstößen und Pannen Verbesserungen der Sicherheit und datenschutzgerechte Verfahren herleiten lassen. Zudem ist damit zu rechnen, dass der Fall später bekannt wird und dann die Anzeigefristen nicht mehr eingehalten werden können.
Die Leitungsebene muss deshalb ein Verfahren in Kraft setzen, das als Incident Management, also als Vorfallmanagement, oder Eskalationsplan die Schritte vorgibt, die einzuhalten sind, wenn sich der Verdacht auf einen anzeigepflichtigen Vorfall ergibt. Im Eigeninteresse des Unternehmens sollten darüber hinaus neben den anzeigepflichtigen auch alle solche Datenabflüsse außerhalb des Geltungsbereichs des Bundesdatenschutzgesetzes mit erfasst werden. Zu denken ist insbesondere an den Abfluss finanzwirksamer Daten, betrieblichen Know-hows oder von eigenen und fremden Betriebs- und Geschäftsgeheimnissen.
Es ist – wie auch sonst beim Schutz von Daten – sinnvoll, in der Praxis keinen Unterschied zu machen zwischen vom Gesetz geschützten personenbezogenen Daten und anderen Daten, die im Interesse des Dateneigners oder wegen anderer rechtlicher Vorgaben zu schützen sind. Auch bei der Auftragsdatenverarbeitung gilt dieser Grundsatz: Egal, ob fremde personenbezogene Daten oder solche verarbeitet werden, die eigenes Know-how darstellen, die Betriebs- und Geschäftsgeheimnisse sind zu wahren.
Unternehmen tun deshalb gut daran, zunächst einmal alle nach Datenabflüssen oder Datenpannen aussehenden Vorgänge einer intern verbindlich vorgegebenen Richtlinie zu unterwerfen, an deren Ende unter anderem die Entscheidung steht, ob eine Selbstanzeige geboten ist oder nicht. Welche anderen Konsequenzen zu ziehen sind, unterliegt den vom Unternehmen selbst gesetzten Regeln. Eine Abstimmung der Vorgehensweise durch den Personalverantwortlichen mit dem Betriebsrat ist unbedingt geboten – allein schon deshalb, weil die Aufhellung von Vorgängen um Datenabflüsse meist nicht ohne Verhaltenskontrolle möglich ist.
