Meldepflicht für verlorene Datensätze

Wenn das neue BDSG wie geplant am 1. September 2009 in Kraft treten, sind die betroffenen Unternehmen und Behörden verpflichtet, ab diesem Stichtag den Diebstahl oder den Verlust von personenbezogenen Daten umgehend den Aufsichtsbehörden sowie den Betroffenen zu melden. Ist es nicht möglich, die Betroffenen zu identifizieren oder ist die schiere Menge der Geschädigten zu hoch, um sie einzeln informieren zu können, müssen die Unternehmen, Behörden und Organisationen künftig an die Öffentlichkeit gehen. Laut der BDSG-Novelle muss dies mindestens in zwei bundesweit erscheinenden Tageszeitungen mit jeweils mindestens halbseitigen Anzeigen erfolgen. Das Bußgeld bei Verstößen gegen Datenschutzvorschriften wegen grober Fahrlässigkeit oder gar Vorsatz wird auf 300.000 Euro angehoben. Neu ist bei dieser Regelung, dass das Bußgeld den wirtschaftlichen Vorteil durch die Weitergabe an Dritte übersteigen soll und daher in Einzelfällen auch deutlich über 300.000 Euro liegen kann. Ebenfalls neu ist, dass immer die Organisation als handelnde Person zur Verantwortung gezogen wird und nicht der einzelne Mitarbeiter.

In diesem Zusammenhang ist auch wichtig zu beachten, dass der Gesetzgeber im neuen Datenschutzgesetz nicht von der Angemessenheit spricht. Insofern gilt das Maximumprinzip bei allen durchzuführenden Maßnahmen, die direkt oder indirekt den Schutz personenbezogener Daten betreffen. Das heißt, dass im Falle eines Datenverlusts oder -diebstahls geprüft werden wird, ob ein Unternehmen wirklich alle erforderlichen Maßnahmen zum Datenschutz ergriffen hat oder nicht. Wie diese Prüfung genau aussehen mag, weiß man noch nicht. Es ist allerdings geplant, dass die Investitionen in die IT-Security zugunsten des Unternehmens angerechnet werden.