Anzeigepflicht bei Datenverlust

Bis zu 300.000 Euro Geldbuße

Andrea König schreibt seit 2008 für CIO.de. Die Schwerpunkte ihrer Arbeit für die CIO-Redaktion sind Themen rund um Karriere, soziale Netzwerke, die Zukunft der Arbeit und Buchtipps für Manager. Die Arbeit als freie Autorin für verschiedene Redaktionen ist mittlerweile kein Vollzeitjob mehr - hauptberuflich arbeitet sie als PR-Beraterin bei einer Hamburger Kommunikationsagentur.
Gelangen sensible Daten an Dritte, sollten Unternehmen handeln. CIOs können sogar persönlich dran sein, wenn die Verantwortung für personenbezogene Daten bei ihnen liegt.

Deutsche Unternehmen sind unter bestimmten Voraussetzungen verpflichtet, Sicherheitsmängel bei der Datenverarbeitung unaufgefordert anzuzeigen. Die Idee, dass Unternehmen Sicherheitsmängel anzeigen müssen, ist nicht neu. In den USA gibt es derartige gesetzliche Vorschriften schon länger.

Nach Deutschland kam diese Anzeigepflicht mit dem neuen Bundesdatenschutzgesetz im September vergangenen Jahres. Thomas Feil, Fachanwalt für IT-Recht und Arbeitsrecht, hat zusammengestellt, worum es sich bei der Anzeigepflicht handelt und was CIOs beachten müssen.

Die Anzeigepflicht besteht dann, wenn Dritte unrechtmäßig an bestimmte sensible Daten gelangen. Dazu zählen die Bank- oder Kreditkartendaten, Daten, die sich auf strafbare Handlungen beziehen, die einem Berufsgeheimnis unterliegen oder besondere Arten personenbezogener Daten. Desweiteren müssen "schwerwiegende Beeinträchtigungen für die Rechte oder die schutzwürdigen Interessen der Betroffenen" drohen.

Bisher ist noch nicht endgültig geklärt, wann im Sinne des Gesetzes schwerwiegende Rechts- oder Interessenbeeinträchtigungen anzunehmen sind. In der Gesetzesbegründung heißt es, dass etwa materielle Schäden oder soziale Nachteile einschließlich des Identitätsbetrugs schwerwiegende Beeinträchtigungen darstellen können.

Zur Startseite