Bundesdatenschutzgesetz

Novelle zum 1. September 2009

Seit 1. September 09 gelten im Bundesdatenschutzgesetz (BDSG) u.a. neue Bestimmungen bei Datenpannen. Insgesamt wurden 18 Paragraphen geändert oder ergänzt.

Aktuelle Meldung: Die BDSG-Novelle lässt die Anzahl der Datenschutz-Verletzungen in 2009 um 350 % steigen. 2/3 der Meldungen allein im letzten Quartal! (Zur Meldung auf IT-Business....)

Aus USA und GB kennen wir bereits  Veröffentlichungen von Datenpannen mit den entsprechenden Folgen für die betroffenen Unternehmen. So hat z.B. eine Datenpanne im britischen Gesundheitssystem (NHS) zu sofortigen massiven Nachbesserungen der internen IT-Security und u.a. zum flächendeckenden Einsatz von SafeStick geführt. Durch die Neuerungen im BDSG sind Veröffentlichungen über Datenpannen nun auch in Deutschland zu erwarten.

Die neuen Regelungen bewirken, dass Unternehmen und Behörden im Falle von Sicherheitspannen eine Benachrichtigungspflicht gegenüber der Datenschutzbehörde und den Betroffenen haben.

Folgende neue Regelungen sind u.a. interessant:

Der §42a BDSG regelt u.a., dass Unternehmen verpflichtet sind, bei bestimmten Arten von Sicherheitspannen, sowohl die zuständige Datenschutzbehörde als auch die natürlichen Personen zu informieren, die von der Sicherheitspanne betroffen sind. Die Benachrichtigungspflicht besteht immer dann, wenn bestimmte Arten von personenbezogenen Daten unrechtmäßig übermittelt oder auf sonstige Weise einem Dritten unrechtmäßig zur Kenntnis gelangt sind, mit jeweils schwerwiegenden Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen.

Unter "bestimmten Arten von personenbezogenen Daten" wird dabei u.a. verstanden:

  • Bank- und Kreditkartendaten
  • Angaben über die rassische oder ethnische Herkunft
  • Politische Meinungen
  • Religiöse oder philosophische Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Gesundheitsdaten
  • Gespeicherte Kundendaten bei Unternehmen, Ärzten, Versicherungen etc.
  • Personenbezogene Daten die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen etc.

Fast jedes Unternehmen in Deutschland hat Daten dieser Art gespeichert und fällt deshalb unter die Bestimmungen dieses Gesetzes.

Eine Benachrichtigungspflicht besteht gegenüber der zuständigen Datenschutzbehörde und jedem Betroffenen. Die Benachrichtigung muss zeitnah in verständlicher Weise, Art und Umfang der Datenpanne erläutern und Empfehlungen für Maßnahmen zur Minderung der Auswirkungen für Betroffene enthalten. Sollte dies aufgrund des Umfangs der Panne nicht möglich sein, dann muss das Unternehmen mindestens 2 halbseitige Anzeigen in bundesweit erscheinenden Tageszeitungen schalten um alle Betroffenen zu informieren, auch wenn die Panne nur regionale Auswirkung hat.

Bei Unterlassen der Benachrichtigung drohen ein Bußgeld von bis zu 300.000 € und mehr.

Bereits § 9 BDSG verpflichtet Unternehmen die erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen um Datenpannen zu verhindern, regelt aber keine Strafen wenn dies unterbleibt.

Weitere Konsequenzen bei Datenpannen:

  • GF und Vorstände haften gegenüber Ihrem Unternehmen persönlich, wenn Sie es unterlassen geeignete IT-Sicherheitssysteme einzuführen (KonTraG aus 1998)
  • Verstoß gegen Vertraulichkeitsvereinbarungen (NDA) mit anderen Unternehmen
  • Benachrichtigungspflicht gegenüber Kunden, Lieferanten etc. in anderen Ländern wie USA und GB (z.B. US Security breach notification law)
  • Zukünftig regelt wahrscheinlich auch eine EU-Richtlinie die Folgen von Datenpannen

Neben immensen Kosten die durch die Benachrichtigungspflicht und eventuelle Bußgelder entstehen, lösen besonders der Image- und Vertrauensverlust bei Kunden und kooperierenden Unternehmen zusätzlichen nachhaltigen Schaden aus.

Das Bundesdatenschutzgesetz die EG-Datenschutzrichtlinie und weitere Rechtsvorschriften finden Sie im Internetauftritt des Bundesbeauftragten für Datenschutz und Informationsfreiheit


Weitere Artikel zur BDSG-Novelle

Computer Reseller News - Neues Datenschutzgesetz erhöht den Druck auf Unternehmen

 (Wir übernehmen keine Gewähr für die Vollständigkeit der Angaben und auch keine Haftung. IT-Verantwortliche sind verpflichtet sich über die aktuelle Gesetzeslage persönlich zu informieren.)

 
© 2011 Schwarz Computer Systeme GmbH