XI. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2011- 31.03.2013

Nach § 42a BDSG haben nicht-öffentliche Stellen die Pflicht zur Anzeige an den Landesbeauftragten als Aufsichtsbehörde, wenn sie feststellen, dass bestimmte bei ihr gespeicherte Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. Umfasst sind personenbezogene Daten besonderer Art (§ 3 Abs. 9 BDSG), Daten, die einem Berufsgeheimnis unterliegen, Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den diesbezüglichen Verdacht beziehen oder Daten zu Bank- und Kreditkartenkonten. Weitere Voraussetzung der Anzeigepflicht ist, dass schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Daher muss das einzelne Unternehmen eine Gefahrenprognose vornehmen und die Frage erheblicher materieller oder sozialer Schäden prüfen und die Eintrittswahrscheinlichkeit ermitteln. Bei Vorliegen der Voraussetzungen sind weitere Handlungen geboten, wie etwa Maßnahmen zur Minderung möglicher nachteiliger Folgen und die Benachrichtigung der Betroffenen. Detaillierte Informationen zu den wichtigsten Fragen finden sich unter anderem auf der Homepage des Berliner Beauftragten für den Datenschutz und Informationsfreiheit (www.datenschutz-berlin.de) unter dem Thema „Informationspflicht bei Datenlecks“ sowie des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (www.ldi.nrw.de). Der Düsseldorfer Kreis nahm das vom Berliner Beauftragten erstellte Merkblatt zu Mitteilungen nach § 42a BDSG zustimmend zur Kenntnis. Es ist auf der Seite des Landesbeauftragten verlinkt.

Auch zu dieser Thematik gingen Anfragen beim Landesbeauftragten ein. Ein Beispiel war der Transfer von Patientendaten zu einem Unternehmen, das die von ihm hergestellten Medizingeräte fernwartet. Hierzu hatte sich letztlich durch Prüfungen in anderen Ländern herausgestellt, dass keine schwerwiegenden Beeinträchtigungen zu befürchten waren. Dennoch war der Vorgang Anlass, auf die Notwendigkeit der sorgsamen Ausgestaltung von Auftragsdatenverarbeitungen hinzuwirken.

Das Bundesministerium des Innern plante – parallel zu Vorstellungen der EU-Kommission zu einer Netz- und Informationssicherheitsstrategie – die Schaffung eines IT-Sicherheitsgesetzes mit Meldepflichten für Betreiber kritischer Infrastrukturen und TK-Unternehmen (vgl. Friedrich, MMR 2013, 273, und Beucher/Utzerath, MMR 2013, 362). Der Entwurf erreichte nicht mehr die parlamentarische Reife; die Wirtschaft empfahl den Weg freiwilliger Mindeststandards für mehr Cyber-Sicherheit.

Teilweise überholt wurde die Entwicklung durch die Verordnung 611/2013 der EU-Kommission vom 24. Juni 2013 über Maßnahmen für die Benachrichtigung der Datenschutzbehörde bei Datenschutzverletzungen durch Telekommunikationsanbieter (in Umsetzung der E-Privacy-Richtline 2002/58/EG).