Datensicherheit
Benachrichtigungspflichten im Fall einer Verletzung des Schutzes personenbezogener Daten
- Anwendungsbereich
- Benachrichtigungspflicht
- Mindestinhalt der Benachrichtigung
- Benachrichtigungsfrist
- Beweisverwertungsverbot
Die Verpflichtung zur Meldung ergibt sich aus § 169 Telekommunikationsgesetz (TKG). Diese Regelung dient zum großen Teil der Umsetzung von Artikel 4 der geänderten Datenschutzrichtlinie für die elektronische Kommunikation (Richtlinie 2009/136/EG zur Änderung der Richtlinie 2002/58/EG).
Anwendungsbereich
Verpflichteter nach § 169 Abs. 1 TKG ist, wer öffentlich zugängliche Telekommunikationsdienste erbringt.
Der sachliche Anwendungsbereich ist beschrieben mit der "Verletzung des Schutzes personenbezogener Daten". Dieser Begriff wird in § 3 Nr. 71 TKG gesetzlich definiert. Eine "Verletzung des Schutzes personenbezogener Daten" ist danach eine Verletzung der Datensicherheit, die zum Verlust, zur unrechtmäßigen Löschung, Veränderung, Speicherung, Weitergabe oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten führt, sowie der unrechtmäßige Zugang zu diesen. Damit ist der Anwendungsbereich nicht auf Bestands- und Verkehrsdaten beschränkt.
Seit dem 25. Mai 2018 ist in diesem Zusammenhang auch die Datenschutz-Grundverordnung (DSGVO) zu beachten, die eigene Meldepflichten gegenüber der für den Datenschutz zuständigen Aufsichtsbehörde vorsieht (Art. 33 DSGVO). Soweit Unternehmen personenbezogene Daten für die geschäftsmäßige Erbringung von Telekommunikationsdiensten verarbeiten, liegt die Zuständigkeit für Meldungen nach Art. 33 DSGVO ausschließlich bei dem BfDI. Bei Meldungen von Datenschutzverletzungen ist deshalb zu differenzieren, ob es sich um Meldungen nach § 169 TKG handelt, die gegenüber der Bundesnetzagentur und dem BfDI zu melden sind, oder um solche nach Art. 33 DSGVO, die nur dem BfDI zu melden sind.
Die Meldepflicht nach Art. 33 DSGVO ist dann anwendbar, wenn das auf den gemeldeten Verstoß anwendbare Recht die DSGVO ist. Dies ist der Fall bei allgemeinen personenbezogenen Daten natürlicher Personen, insbesondere Bestandsdaten, hinsichtlich derer das TKG keine in Umsetzung der ePrivacy-Richtlinie (2002/58/EG) erlassenen bereichsspezifischen Datenschutzregelungen enthält (vgl. Art. 95 DSGVO). In Mischfällen, bei denen durch denselben Lebenssachverhalt neben der DSGVO auch die der ePrivacy-Richtlinie dienenden Datenschutzregelungen des TKG verletzt wurden, braucht nur nach § 169 TKG gemeldet zu werden.
Weitere Informationen zur Meldepflicht sowie ein Meldeformular für Meldungen nach Art. 33 DSGVO werden auf dem Internetauftritt des BfDI bereitgestellt.
Im Folgenden wird ausschließlich auf die Meldungen nach § 169 TKG eingegangen.
Meldeformular (pdf / 156 KB)
Erläuterungen zu dessen Verwendung finden Sie in den ebenfalls mit dem BfDI erarbeiteten Leitlinien.
Leitlinien zur Melde- bzw. Benachrichtigungspflicht nach § 169 TKG (pdf / 115 KB)
Benachrichtigungspflicht
Zweistufige Informationspflicht
§ 169 TKG enthält eine zweistufige Informationspflicht des Diensteanbieters, die von der Gefährdung für den Betroffenen abhängt.
- 1. Stufe: Verletzung des Schutzes personenbezogener Daten (§ 169 Abs. 1 S. 1 TKG)
Im Fall einer Verletzung des Schutzes personenbezogener Daten sind in jedem Fall unverzüglich die Bundesnetzagentur und der BfDI zu benachrichtigen, die den gemeldeten Vorfall unabhängig voneinander im Rahmen ihrer jeweiligen Zuständigkeit prüfen und bearbeiten.
- 2. Stufe: Verletzung des Schutzes personenbezogener Daten plus schwerwiegende Beeinträchtigung (§ 169 Abs. 1 S. 2 TKG)
Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten ein Teilnehmer oder andere Personen schwerwiegend in ihren Rechten oder schutzwürdigen Interessen beeinträchtigt werden, hat der Diensteanbieter zusätzlich auch diese Betroffenen unverzüglich zu benachrichtigen.
Ausnahme
Bei Nachweis geeigneter technischer Schutzmaßnahmen (§ 169 Abs. 1 S. 3 TKG) kann die Benachrichtigung der Betroffenen unterbleiben.
Unabhängig von der Ausnahme von der Pflicht zur Benachrichtigung des Betroffenen in Satz 3 kann die Bundesnetzagentur den Anbieter des Telekommunikationsdienstes unter Berücksichtigung der wahrscheinlichen nachteiligen Auswirkungen der Verletzung des Schutzes personenbezogener Daten zu einer Benachrichtigung der Betroffenen verpflichten.
Anders als die Benachrichtigung der Betroffenen hat die Meldung eines Vorfalls gegenüber Bundesnetzagentur und BfDI stets zu erfolgen, unabhängig davon ob und wie die betroffenen Daten gegen einen unberechtigten Zugriff gesichert sind. Das Unterlassen einer Meldung an die Aufsichtsbehörden kann eine Ordnungswidrigkeit i.S.d. § 228 Abs. 2 Nr. 40 TKG darstellen, die mit einem Bußgeld bis 100.000 € bedroht ist.
Mindestinhalt der Benachrichtigung
Die inhaltlichen Mindestanforderungen für die Benachrichtigung an die Betroffenen sowie an die Bundesnetzagentur und die BfDI sind in § 169 Abs. 2 TKG wie folgt festgelegt:
- die Art der Verletzung des Schutzes personenbezogener Daten,
- Angaben zu den Kontaktstellen, bei denen weitere Informationen erhältlich sind,
- Empfehlungen zu Maßnahmen, die mögliche nachteilige Auswirkungen der Verletzung des Schutzes personenbezogener Daten begrenzen.
Die Bundesnetzagentur und der BfDI sind zusätzlich über Folgen der Verletzung des Schutzes personenbezogener Daten und die in diesem Zusammenhang beabsichtigten und ergriffenen Maßnahmen zu informieren.
Benachrichtigungsfrist
Ein meldepflichtiger Vorfall muss innerhalb von 24 Stunden nach Feststellung der Datenschutzverletzung gemeldet werden. Eine Datenschutzverletzung gilt als festgestellt, sobald der Diensteanbieter vom Auftreten einer Sicherheitsverletzung, die zu einer Verletzung des Schutzes personenbezogener Daten geführt hat, hinreichende Kenntnis erlangt hat.
Da nicht auszuschließen ist, dass zu diesem frühen Zeitpunkt noch nicht alle Informationen für eine vollständige Meldung zur Verfügung stehen, können solche Details als „bisher unbekannt“ zunächst noch offen bleiben. Eine Nachmeldung der noch offenen Punkte muss so schnell wie möglich, jedenfalls aber innerhalb von drei Tagen nach der ersten Meldung erfolgen. Sofern auch diese Zeitvorgabe nicht eingehalten werden kann, sind sämtliche nach Ablauf der drei Tage vorliegenden Informationen zu übermitteln. Darüber hinaus ist darzulegen, wieso einzelne Informationen noch nicht geliefert werden können.
Beweisverwertungsverbot
Soweit die Datenschutzverletzungen auf Fehlern von Mitarbeitenden des Dienstanbieters beruhen, und die Bundesnetzagentur und der BfDI durch die Benachrichtigung erst von der Datenpanne erfahren, können für den Meldepflichtigen Konfliktsituationen bestehen, wenn die in der "Selbstanzeige" enthaltene Information etwa für ein Bußgeldverfahren zum Nachteil des Meldepflichtigen verwendet werden könnte. Dies widerspricht jedoch dem rechtlichen Grundsatz, dass niemand verpflichtet ist, sich selbst zu belasten. Um dies zu berücksichtigen und den Interessenkonflikt der Person, die der Bundesnetzagentur und dem BfDI eine Datenpanne mitzuteilen hat, die auf einem eigenen Fehler beruht, zu lösen, wurde in § 169 Abs. 1 S. 5 TKG auf § 42 Abs. 4und § 43 Abs. 4 BDSG Bezug genommen. In diesen Regelungen wird der Interessenkonflikt dahingehend gelöst, dass die von der Behörde erlangte Information einem Beweisverwertungsverbot unterliegt.
Anfragen zur Meldepflicht können darüber hinaus gestellt werden an:
Bundesnetzagentur
Referat Z21
Tulpenfeld 4
53113 Bonn