Anzeigepflicht bei Datenverlust
Bis zu 300.000 Euro Geldbuße
Deutsche Unternehmen sind unter bestimmten Voraussetzungen verpflichtet, Sicherheitsmängel bei der Datenverarbeitung unaufgefordert anzuzeigen. Die Idee, dass Unternehmen Sicherheitsmängel anzeigen müssen, ist nicht neu. In den USA gibt es derartige gesetzliche Vorschriften schon länger.
Nach Deutschland kam diese Anzeigepflicht mit dem neuen Bundesdatenschutzgesetz im September vergangenen Jahres. Thomas Feil, Fachanwalt für IT-Recht und Arbeitsrecht, hat zusammengestellt, worum es sich bei der Anzeigepflicht handelt und was CIOs beachten müssen.
Die Anzeigepflicht besteht dann, wenn Dritte unrechtmäßig an bestimmte sensible Daten gelangen. Dazu zählen die Bank- oder Kreditkartendaten, Daten, die sich auf strafbare Handlungen beziehen, die einem Berufsgeheimnis unterliegen oder besondere Arten personenbezogener Daten. Desweiteren müssen "schwerwiegende Beeinträchtigungen für die Rechte oder die schutzwürdigen Interessen der Betroffenen" drohen.
Bisher ist noch nicht endgültig geklärt, wann im Sinne des Gesetzes schwerwiegende Rechts- oder Interessenbeeinträchtigungen anzunehmen sind. In der Gesetzesbegründung heißt es, dass etwa materielle Schäden oder soziale Nachteile einschließlich des Identitätsbetrugs schwerwiegende Beeinträchtigungen darstellen können.