Gefahr Datendiebstahl: Welche Risiken drohen? Welche Handlungspflichten gibt es? (Teil 1)

0

Ende März berichtete das webmagazin und ZDNet über einen Datendiebstahl bei Kreditech. Betroffen sollen Nutzer sein, die Kreditanfragen gestellt hatten. Bei den abhanden gekommenen Daten handelte es sich um Kopien von Dokumenten, die zur Beurteilung der Kreditwürdigkeit von Nutzern auf die Kreditech-Plattform hochgeladen worden waren.

Aus einem aktuellen Beitrag in SpiegelOnline geht nun hervor, dass sich der Dieb vom internen Firmennetz aus Zugriff auf die Daten verschafft hatte. Es kann daher nicht ausgeschlossen werden, dass die Tat von einem gegenwärtigen oder ehemaligen Mitarbeiter von Kreditech begangen wurde.

Unternehmen sollten sich auf einen Datendiebstahl vorbereiten, und zwar nicht nur vorbeugend, sondern auch um im Falle eines Falles adäquat reagieren zu können. Denn kein Sicherheitssystem bietet absolute Sicherheit. Ist ein Datendiebstahl passiert, gilt es schnell zu reagieren. Damit dann in der Hektik keine Fehler passieren, sollte sich ein Unternehmer bereits jetzt folgende Fragen stellen:

  1. Welche Pflichten habe ich nach einem Datendiebstahl?
  2. Welche Haftungsrisiken drohen dem Unternehmen und wie kann ich diese vermeiden?
  3. Inwieweit kann ich für die entstandenen Kosten den Datendieb in Anspruch nehmen?

Der ersten Frage widmet sich dieser Teil 1 der zweiteiligen Beitragsreihe zum Datendiebstahl. Die zweite und dritte Frage bleiben Teil 2 vorbehalten.

Zur 1. Frage: Welche Pflichten treffen ein Unternehmen, das von einem Datendiebstahl betroffen ist?

Ein Unternehmen, das von einem Datendiebstahl betroffen ist, unterliegt nach § 42a BDSG einer Meldepflicht. Voraussetzung ist, dass (a) personenbezogene Daten zu Bank- oder Kreditkartenkonten (b) unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und (c) dass schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Der Berliner Datenschutzbeauftragte hat zu § 42 BDSG eine FAQ zusammengestellt. Darauf basierend sind die wesentlichen Voraussetzungen der Meldepflicht im Folgenden zusammengefasst:

a) Personenbezogene Daten zu Bank- oder Kreditkartenkonten

Voraussetzung einer Meldepflicht ist zunächst, dass relevante Datenarten betroffen sind. Wegen seiner besonderen Relevanz für FinTechs soll hier nur der Verlust personenbezogener Daten zu Bank- oder Kreditkartenkonten angesprochen werden. Es wird jedoch darauf hingewiesen, dass § 42a BDSG noch andere relevante Datenarten erwähnt, deren Verlust eine Meldepflicht auslösen kann.

Nach einer Definition des Berliner Datenschutzbeauftragten sind personenbezogene Daten zu Bank- oder Kreditkartenkonten alle Informationen, die mit solchen Konten in Zusammenhang stehen. Ausreichend ist dabei schon die Information, dass eine Kontobeziehung besteht. Darüber hinaus sind Kreditkarten- und Kontonummern, Überweisungsvordrucke, Kreditkartenbelege und Kontoauszüge erfasst.

b) Unrechtmäßige Kenntniserlangung

Des Weiteren setzt § 42a BDSG voraus, dass relevante Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. Dies ist immer dann erfüllt, wenn die Betroffenen der Kenntniserlangung nicht zugestimmt haben und die Offenbarung auch nicht durch Gesetz erlaubt ist.

Der Begriff des „Dritten“ umfasst dabei auch Mitarbeiter des Unternehmens, wenn diese die Daten auf einem privaten Datenträger speichern. Denn damit verlässt der jeweilige Mitarbeiter die Unternehmenssphäre.

c) Drohen schwerwiegender Beeinträchtigungen

Hier ist eine Prognose hinsichtlich der Belastungsintensität für den Betroffenen und der Eintrittswahrscheinlichkeit anzustellen. Je größer die mögliche Beeinträchtigung, desto weniger spielt die Eintrittswahrscheinlichkeit eine Rolle. Kommen beispielsweise Kreditkartendaten abhanden, so ist regelmäßig von einer drohenden schwerwiegenden Beeinträchtigung auszugehen.

d) Rechtsfolge:

Liegen die oben genannten Voraussetzungen vor, ist die Datenschutzaufsichtsbehörde desjenigen Bundeslandes zu informieren, in dem das betroffene Unternehmen seinen Sitz hat.

Des Weiteren sind die Betroffenen zu informieren. Dies hat grundsätzlich durch Einzelbenachrichtigung zu geschehen. Nur wenn eine Vielzahl von Personen betroffen ist und daher der Benachrichtigungsaufwand unverhältnismäßig würde, genügen mindestens halbseitige Anzeigen in mehreren Tageszeitungen.

Die Benachrichtigung der Datenschutzaufsichtsbehörde und der Betroffenen hat unverzüglich, also ohne schuldhaftes Zögern zu erfolgen.

Wird die Meldepflicht verletzt, droht ein Bußgeld in Höhe von bis zu EUR 300.000. Ein solches Bußgeld droht auch, wenn die Benachrichtigung nicht unverzüglich erfolgte. Daher ist im Falle eines Datendiebstahls Eile geboten.

Ergänzend sei darauf hingewiesen, dass sich eine Pflicht zur Information der Kunden nicht nur aus § 42a BDSG, sondern auch direkt aus dem Vertragsverhältnis zwischen Unternehmen und Kunde ergibt. Vertragsparteien haben nämlich gegenseitig Rücksicht auf die Rechtsgüter des jeweils anderen zu nehmen. Daraus folgt die Pflicht, sich bei Gefahren zu informieren (Haller/Lutz, BB 2014, 1993 (1996)).

Hier geht’s weiter zu Teil 2.

Christine Funk ist Rechtsanwältin bei P+P Pöllath + Partners in Frankfurt am Main. Zu ihren Arbeitsschwerpunkten gehört Venture Capital, M&A / Private Equity und Gesellschaftsrecht.

Kommentar schreiben

We use cookies to ensure that we give you the best experience on our website.