Aufsatz : Wann drohen schwerwiegende Beeinträchtigungen im Rahmen von § 42a BDSG? Mehr Rechtssicherheit durch mehr Informationen? : aus der RDV 1/2015, Seite 17 bis 23
I. Einleitung und Hintergrund
Im Zeitalter von Big Data steigt für die datenverarbeitenden Unternehmen die Gefahr, „Opfer“ sog. Datenpannen zu werden. § 42a BDSG verpflichtet die Unternehmen, die Aufsichtsbehörde und die Betroffenen über eine Datenpanne zu benachrichtigen. Gemäß § 42a S. 1 BDSG liegt eine Datenpanne vor, wenn Dritte von personenbezogenen Daten, die bei den Unternehmen gespeichert sind, durch Übermittlung oder auf sonstige Weise unrechtmäßig Kenntnis erlangt haben und dadurch schwerwiegende Beeinträchtigungen für die Rechte und schutzwürdige Interessen der Betroffenen drohen.
Seit der BDSG-Novelle im Jahre 2009[1] und der Einführung dieser Informationspflicht finden sich nach aktuellem Stand noch keinerlei Urteile zu der Frage, unter welchen Voraussetzungen „schwerwiegende Beeinträchtigungen“ für die Betroffenen „drohen“. Auch die bisher erschienene Literatur[2] zu § 42a BDSG befasst sich nur relativ summarisch mit den Voraussetzungen für die genannten Tatbestandsmerkmale. Für die Unternehmen und die betrieblichen Datenschutzbeauftragten stellt sich daher die Frage, wie Datenpannen i.S.v. § 42a BDSG evaluiert und bewertet werden müssen.
Zunächst skizziert der Beitrag die allgemeinen Voraussetzungen der Informationspflicht. Der sich daran anschließende Hauptteil beschäftigt sich vertieft mit der Frage, wann die verantwortlichen Stellen aufgrund der Umstände des Einzelfalls und des Drohens von schwerwiegenden Beeinträchtigungen für die Betroffenen vom Vorliegen einer Informationspflicht nach § 42a BDSG ausgehen müssen. Dies erscheint in der Praxis oft nicht ganz klar. So wurden bis Anfang 2013 305 Fälle den Aufsichtsbehörden gemeldet, von denen aber „lediglich“ 177 Fälle die Tatbestandsvoraussetzungen von § 42a BDSG erfüllt haben[3]. Der Beitrag hat daher zum Ziel, eine praktische Hilfestellung bei der Einordnung einer Datenpanne durch die Unternehmen zu geben und die Aufsichtsbehörden durch eine verminderte Anzahl von unrichtigen Meldungen zu entlasten.
II. Voraussetzungen von § 42a BDSG
§ 42a S. 1 BDSG beschränkt seinen Anwendungsbereich dahingehend, dass er nicht etwa jedwede personenbezogene Daten nach § 3 Abs. 1 BDSG mit einschließt, sondern nur Daten, die der Gesetzgeber als potenziell „schutzwürdiger“[4] einstuft (sog. Risikodaten[5]), im Vergleich zu „normalen“ personenbezogenen Daten. Unter die abschließende Kategorie dieser Risikodaten fallen gemäß § 42a Nr. 1 bis 4 BDSG besondere Arten personenbezogener Daten (Nr. 1)[6], personenbezogene Daten, die einem Berufsgeheimnis unterliegen (Nr. 2)[7], personenbezogene Daten über strafbare Handlungen und Ordnungswidrigkeiten (einschließlich eines diesbezüglichen Verdachts) (Nr. 3)[8] sowie personenbezogene Daten zu Bank- und Kreditkartenkonten (Nr. 4)[9].
Zunächst hat die verantwortliche Stelle, die eine oder mehrere der genannten Datenarten verarbeitet[10], festzustellen, ob ein „Dritter“ die genannten Risikodaten unrechtmäßig zur Kenntnis genommen hat. Gemäß § 3 Abs. 8 S. 2 BDSG ist dabei Dritter jede Person oder Stelle außerhalb der verantwortlichen Stelle (negative Abgrenzung), jedoch gemäß Satz 3 nicht der Betroffene selbst oder der Auftragsdatenverarbeiter i.S.v. § 11 BDSG innerhalb der EU oder des EWR. Bei der Bestimmung, ob im Einzelfall auch Mitarbeiter der verantwortlichen Stelle als Dritte zu qualifizieren sind, kommt es auf ihre dienstbezogene Funktion und Tätigkeit[11] an, die von der Stelle im Vorfeld festgelegt worden sind.
In Bezug zur Feststellung der Kenntnisnahme müssen der verantwortlichen Stelle tatsächliche, hinreichend konkrete[12] Anhaltspunkte vorliegen, aufgrund derer sie mit hinreichender Wahrscheinlichkeit[13] davon ausgehen muss, dass ein Dritter (unrechtmäßig) Kenntnis von den in Rede stehenden Risikodaten erlangt hat. Dies ist bspw. der Fall, wenn sie vom Verlust eines unverschlüsselten Datenträgers im öffentlichen Raum oder von einer fehlerhaft adressierten E-Mail erfährt. Gleiches gilt im Falle eines Datendiebstahls. Kenntnis von der Person des Dritten selbst muss sie jedoch nicht haben;[14] es genügt, dass die Stelle anhand der Anhaltspunkte feststellt, dass irgendein Dritter Kenntnis erlangt hat.
III. Drohung schwerwiegender Beeinträchtigungen
Hat die Stelle die vorgenannten Tatbestandsmerkmale im Einzelfall bejaht, muss sie feststellen, ob aufgrund dieser unrechtmäßigen Kenntniserlangung durch Dritte auch schwerwiegende Beeinträchtigungen für die Betroffenen drohen. Dieses Tatbestandsmerkmal ist eigenständig zu betrachten[15] und bildet den umfangreichsten Teil der Informationspflicht. Da § 42a BDSG die Abwehr von Gefahren für die Betroffenen durch eine Datenpanne im Fokus hat, bietet sich ein Rückgriff auf die Grundsätze des Gefahrenabwehrrechts an.
Aus dem Merkmal Drohen in § 42a S. 1 BDSG ergibt sich zuerst, dass eine Gefahr zwingend bestehen, ein konkreter Schaden aber noch nicht eingetreten und folglich noch abwendbar sein muss[16]. Eine Gefahr besteht, wenn eine Sachlage oder ein Verhalten bei ungehindertem Ablauf des objektiv zu erwartenden Geschehens mit Wahrscheinlichkeit ein geschütztes Rechtsgut schädigen wird[17]. Fraglich ist jedoch, welcher Gefahrenbegriff bei der Beschreibung des Drohens zugrunde zu legen ist. Derartige Gefahrenbegriffe finden sich bspw. in den landespolizeilichen Gefahrenabwehrrechten[18]. Eine abstrakte Gefahr beschreibt eine Situation oder einen Zustand, die oder der eine konkrete Gefahr auslösen könnte und verlangt folglich nicht den tatsächlichen Eintritt einer Gefahr oder gar eines Schadens, sondern ist zunächst lediglich die gedachte Möglichkeit einer Gefahr[19]. Demgegenüber ist eine konkrete Gefahr dann anzunehmen, wenn im Einzelfall die hinreichende Wahrscheinlichkeit eines Schadeneintritts besteht[20]. Unter Berücksichtigung der nach § 42a BDSG geforderten Gefahrenprognose und aufgrund der Eigenständigkeit des Merkmals kann es daher nicht auf eine abstrakt gedachte Möglichkeit einer Gefahr durch die unrechtmäßige Kenntniserlangung, sondern vielmehr auf eine konkrete Gefahr ankommen. Den Risikodaten in § 42a BDSG ist aufgrund ihrer Sensitivität selbst schon – ohne Kontextbezug – eine abstrakte Gefahr immanent, die durch die unrechtmäßige Kenntniserlangung eines Dritten hinsichtlich des Realitätsmodus der Gefahrenlage zu einer konkreten Gefahr heranwächst. Als Ansatz für die Beschreibung des Drohens i.S.v. § 42a S. 1 BDSG ist daher auf die konkrete Gefahr und auf die damit verbundenen Grundsätze abzustellen.
Die (schwerwiegenden) Beeinträchtigungen drohen im Rahmen der konkreten Gefahr dann, wenn im Einzelfall die hinreichende – nicht lediglich mögliche – Wahrscheinlichkeit eines Schadeneintritts für die Betroffenen aufgrund der Datenpanne besteht. Eine solche hinreichende Wahrscheinlichkeit eines Schadeneintritts besteht wiederum dann, wenn die verantwortliche Stelle bei Würdigung aller konkret erheblichen Umstände auf der Grundlage einer objektiven Prognose, die sich auf den Handlungs- und Vornahmezeitpunkt bezieht, ein Schadenseintritt in so bedrohliche Nähe rückt, dass sich seine Vermeidung oder der Nichteintritt des Schadens nur noch als Zufall darstellt[21] oder, andersherum, der Eintritt eines Schadens für die Betroffenen wahrscheinlicher ist als sein Ausbleiben. Letzteres wäre etwa dann der Fall, wenn die Ursache der Datenpanne auf ein vorsätzliches „Abgreifen“ personenbezogener Risikodaten von den Unternehmensservern (Hacking) zurückzuführen ist und es dem Dritten gerade auf die entsprechenden Datensätze ankommt.
Somit kommt es darauf an, ob die Stelle zum Zeitpunkt der Vornahme der Prognose und den ihr zu diesem Zeitpunkt zur Verfügung stehenden Erkenntnismöglichkeiten vernünftigerweise erwarten und darauf vertrauen durfte, dass sich die durch die unrechtmäßige Kenntniserlangung entstandene konkrete Gefahr oder der Schaden(-seintritt) nicht verwirklicht[22]. Hierzu müssen der Stelle jedoch Tatsachen vorliegen, die die Annahme rechtfertigen, warum gerade in diesem Fall der Eintritt eines Schadens für die Betroffenen unwahrscheinlicher ist als das Ausbleiben, was sich nicht ohne weiteres annehmen lässt. Entsprechende Tatsachen können sich im Einzelfall etwa aus den näheren Umständen der unrechtmäßigen Kenntnisnahme ergeben.
Die Prognose muss unter Würdigung aller konkret erheblichen Umstände erfolgen. Daraus ergibt sich, dass die Stelle nicht spekulieren oder bloß gedachte Möglichkeiten und Vermutungen in die Betrachtung mit einbeziehen muss; es kommt auf tatsächliche Anhaltspunkte, Tatsachen, Erfahrungen und auch auf Nichtwissen (Unsicherheitsfaktor) an, wobei letzteres in der Praxis eine bedeutende Stellung einnimmt[23]. So bspw. wenn sich der Mitarbeiter der Stelle, der das (unverschlüsselte) Speichermedium nicht mehr besitzt, nicht erinnern kann, wie und wo es ihm (wahrscheinlich) abhandengekommen ist.
Ferner muss sich die Prognose auf den Vornahmezeitpunkt als Status quo des Wissensstandes beziehen. Grundlage der Entscheidung sind somit die zum Zeitpunkt der Entscheidung zur Verfügung stehenden Erkenntnismöglichkeiten der informationspflichtigen Stelle (sog. Ex-ante-Sicht)[24]. Das heißt, dass die Stelle alle Tatsachen berücksichtigen muss, die ihr zu diesem Zeitpunkt zur Verfügung stehen; diese können etwa von Aussagen Dritter, des betrieblichen Datenschutzbeauftragten oder von der eigenen IT-oder Compliance-Abteilung kommen. Später bekannt werdende Tatsachen haben zwar zu diesem Zeitpunkt der Vornahme der Prognose außer Acht zu bleiben[25], können jedoch zu einem späteren Zeitpunkt zu einer Informationspflicht führen, wenn sich durch die später bekannt werdenden Tatsachen eine andere Einschätzung der Sachlage ergibt und die (konkrete) Gefahr noch immer besteht. Hieraus resultiert im Einzelfall auch eine fortlaufende Überprüfungspflicht der verantwortlichen Stellen hinsichtlich der weiteren „Entwicklung“ einer Datenpanne im Hinblick auf erst später bekanntwerdende Tatsachen und Umstände.
Die Prognose hat ferner objektiv zu erfolgen. Hierunter versteht man eine auf Tatsachen und Anhaltspunkten gegründete subjektive (Ermessens-)Einschätzung anhand objektivierender Maßstäbe über den zukünftigen hypothetischen Geschehensablauf[26]. Es kommt hinsichtlich des Entscheidungshorizontes auf eine besonnene, verständige und fähige Durchschnittsperson an[27]. Daraus folgt auch, dass subjektive Empfindungen, Ängste oder subjektive Sorglosigkeit nicht zu berücksichtigen sind. Die subjektive Sorglosigkeit betrifft bspw. einen Fall des „Herunterspielens des Vorfalls“ durch die Geschäftsführer im Unternehmen, wenn diese dem Vorfall selbst keine große Relevanz und Beachtung beimessen. Die Beurteilung des Vorfalls sollte daher von der Unternehmensleitung stets in Abstimmung mit dem betrieblichen Datenschutzbeauftragten und der Rechtsabteilung sowie mit der ITAbteilung gemeinsam vorgenommen werden.
Aufgrund der Tatsache, dass es sich exakter wissenschaftlicher Umschreibung entzieht, wann eine solche (konkrete) Gefahr tatsächlich vorliegt[28], und eine abstrakte Bestimmung somit ausgeschlossen ist und in jedem Einzelfall gesondert evaluiert werden muss, soll im nächsten Schritt analysiert werden, welche Parameter bei der Gefahrenprognose zu verlangen sind und wie diese miteinander korrelieren (können).
1. Gefahrenprognose und hypothetischer Geschehensablauf
Unter Berücksichtigung der Grundsätze des Gefahrenabwehrrechts kann für die Gefahrenprognose folgender Maßstab zugrunde gelegt werden: An den Grad der Wahrscheinlichkeit des Schadenseintritts sind im Einzelfall umso geringere Anforderungen zu stellen, je größer der zu erwartende Schaden oder die Beeinträchtigungen der Rechte und die Interessen der Betroffenen sind[29]. Die Größe und die Schwere der Beeinträchtigungen setzen sich wiederum im Einzelfall zusammen aus dem Rang des betroffenen Schutzguts und den zu erwartenden Folgen für die Betroffenen.
1.1 Bestimmung der Ranghöhe des Schutzgutes
Die verantwortliche Stelle hat somit in einem ersten Schritt das potenziell betroffene Schutzgut einerseits und dessen Ranghöhe andererseits zu bestimmen. Verschiedenen Individualrechtsgütern kommt eine unterschiedliche Bedeutung und Gewichtung zu. § 42a S. 1 BDSG nennt als solche geschützte Rechtsgüter die Rechte und schutzwürdigen Interessen der Betroffenen. Rechte der Betroffenen i.S.d. Vorschrift sind absolute Rechte; hierzu zählen u.a. das Recht auf Unversehrtheit (körperlich und geistig), auf Leben und Freiheit sowie der Schutz des Eigentums[30]. Der Begriff schutzwürdige Interessen umfasst zunächst das allgemeine Persönlichkeitsrecht und das daraus abgeleitete Recht auf informationelle Selbstbestimmung (Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG)[31]. Die schutzwürdigen Interessen können sich auch auf andere Gesichtspunkte, wie etwa wirtschaftliche (materielle) oder berufliche Nachteile, beziehen. Dies schließt ebenso reine Vermögensinteressen der Betroffenen mit ein[32].
Es kann somit in diesem Rahmen zwischen drei Arten von Rechtsgütern unterschieden werden; solche des Vermögens, persönlichkeitsrechtskonstituierende Rechtsgüter und solche der körperlichen Integrität[33]. Welche Schutzgüter im Einzelfall potenziell betroffen sind, kann die Stelle anhand der von der Datenpanne, mithin von der unrechtmäßigen Kenntniserlangung durch Dritte betroffenen Risikodaten(-arten) – zumindest grob – bestimmen. Zur Einordnung der Ranghöhe der betreffenden Schutzgüter und zur Orientierung bietet sich für die Stelle ein dreistufiges Konzept an. Sofern durch die Datenpanne bspw. Schutzgüter des Vermögens (Kreditkartendaten) betroffen sind, befinden sich diese auf der ersten Stufe; persönlichkeitsrechtliche Schutzgüter hingegen stehen auf der zweiten und Schutzgüter der körperlichen Integrität der Betroffenen auf der dritten Stufe (aufsteigendes Rangverhältnis). Sind aufgrund der Art und des Umfangs der Daten mehrere Rechtsgüter gleichzeitig betroffen, so steigt die Intensität (Rang) bei der Bestimmung und Beurteilung entsprechend. Dies gilt ebenso, wenn im Rahmen der Datenpanne neben den „abhanden gekommenen“ Risikodaten noch weitere personenbezogene Daten bspw. Name, Anschrift und Kontaktdaten betroffen sind, da sich die Gefahr schwerwiegender Beeinträchtigungen i.V.m. den Risikodaten konkretisiert und daher anwächst.
1.2 Bestimmung des zu erwartenden Schadens und der Folgen
Nach der Bestimmung der Ranghöhe der potenziell betroffenen Schutzgüter muss die Stelle in einem nächsten Schritt den zu erwartenden Schaden und somit die Folgen anhand ihrer Erkenntnismöglichkeiten nach Lage des Sachverhalts und der Umstände bestimmen. Eine schwerwiegende Beeinträchtigung droht grundsätzlich, wenn die Gefahr besteht, dass der Dritte, der die Daten in unzulässiger Weise erlangt hat, diese in einer Weise verwendet, die für die Betroffenen schädlich wirkt[34]. Ein Schaden verlangt die objektive Minderung des normalen vorhandenen Bestands an geschützten Individual- und Gemeinschaftsgütern[35]. Bloße Belästigungen oder Nachteile, die zudem meist subjektiver Wertung entspringen, erreichen diese Hürde grundsätzlich nicht[36]. Der zu bestimmende Schaden muss zudem über die reine Kenntnisnahme des Dritten von den Daten hinausgehen[37]. Zur Bestimmung, ob und wie der Dritte die erlangten Daten gegebenenfalls in schädigender Weise verwenden kann, sind – wie bei der Bestimmung der Ranghöhe des Schutzgutes – auch die Art der Daten, Umfang, Anzahl und Zusatzinformationen entscheidend. So weisen die einzelnen Kategorien von Risikodaten bei genauerer Betrachtung jeweils spezifische Verwendungsmöglichkeiten für den Dritten und dadurch spezielle mögliche Auswirkungen und Folgen auf. Die Risikodaten orientieren sich auch an den potenziellen und in der Gesetzesbegründung genannten Folgen[38]. So kann bspw. ein Verlust von sensitiven Daten nach § 3 Abs. 9 BDSG zu sozialen Nachteilen, jedoch weniger zum Identitätsbetrug führen[39].
Bei der Prognose, ob der Dritte die erlangten Daten nach ihrer Art auch in einer für die Betroffenen schädigenden Weise (Folgenorientierung) verwenden wird, ist weiter die Kenntnis über die Person des Dritten selbst, seine Intentionen und Absichten von enormer Bedeutung[40]. So liegt eine unrechtmäßige Kenntniserlangung zwar schon dann vor, wenn personenbezogene Daten ohne Rechtsgrundlage an Geschäftspartner oder an ein Tochterunternehmen übermittelt werden, jedoch liegt in derartigen Fällen die Vermutung nahe, dass der zu erwartende Schaden und die Folgen eher als gering einzustufen wären, weil der Dritte in diesem Fall aufgrund der Geschäftsbeziehungen die Daten schon aus eigenem Interesse selten in schädigender Weise für die Betroffenen verwenden wird.
Zur generellen Möglichkeit des Dritten, die Daten überhaupt in einer für die Betroffenen schädigenden Weise zu verwenden, ist auch die tatsächliche Kenntnisnahme der Daten selbst mit ihrem Aussagegehalt notwendig. Die Wahrnehmung des Aussagegehalts durch den Dritten, mithin die Kenntnisnahme der Daten, ist grundsätzlich dann nicht gegeben, wenn der Dritte eine hinreichend sicher (vgl. § 9 BDSG) verschlüsselte Datei erlangt hat[41]. Die Verschlüsselung durch entsprechende kryptografische Verfahren[42] ist dann hinreichend, wenn sie dem Stand der Technik entspricht und die Verschlüsselung selbst in einer Kosten-Aufwand-Zweck-Relation angemessen ist. Bei einer hinreichend sicheren Verschlüsselung wäre dem Dritten die Wahrnehmung des Aussagegehalts versperrt oder zumindest sehr erschwert, die Verwirklichung schädigender Handlungsabsichten verwehrt und eine schädigende Verwendung bereits im Vorhinein ausgeschlossen[43]. In diesem Zusammenhang muss die verantwortliche Stelle aber das sog. „technische Verfallsdatum“ einer einmal als sicher bezeichneten Verschlüsselung beachten und gegebenenfalls neue und verfügbare Techniken bei der Evaluierung der Sicherheit der Verschlüsselung zum Zeitpunkt der Datenpanne – und nicht zum Zeitpunkt, an dem die Verschlüsselung stattgefunden hat – entsprechend berücksichtigen.
In diesem Rahmen muss die verantwortliche Stelle somit alle etwaigen Folgen berücksichtigen, die nach Lage der ihr zur Verfügung stehenden Informationen zu erwarten sind; jedoch nicht mögliche Schadensminderungsmaßnahmen durch die Betroffenen selbst, bspw. Rückbuchungen bei durch Lastschrift eingezogenen ungerechtfertigten Beträgen[44]. Hinsichtlich der zu berücksichtigenden potenziellen Folgen sind die Person des Dritten, seine Handlungsabsichten und Möglichkeiten sowie die Art der Daten (inkl. Umfang) und der Kontext der Verarbeitung maßgebend. Es erscheint daher angebracht, ein vierstufiges Konzept im Rahmen der Einteilung bei der Prognose zugrunde zu legen. Der zu erwartende Schaden und die potenziellen Folgen können hiernach als niedrig (Stufe 1), mittel (Stufe 2), hoch (Stufe 3) oder sehr hoch (Stufe 4) eingestuft werden. In diesem Rahmen steigt mit jeder Stufe die Wahrscheinlichkeit, dass die tatbestandlichen Voraussetzungen vorliegen und die Informationspflicht der verantwortlichen Stelle ausgelöst wird.
1.3 Relation zwischen gefährdetem Rechtsgut und Wahrscheinlichkeit des Schadeneintritts (Prognoseentscheidung)
Zuletzt muss sich die Stelle fragen, welchen Grad und welche Anforderungen sie gerade aufgrund der Prognose der zwei zuvor erwähnten Parameter im Einzelfall an die Eintrittswahrscheinlichkeit des zu erwartenden Schadens stellen muss und ob sie ggf. aufgrund der Umstände vernünftigerweise darauf vertrauen darf, dass sich die Gefahr nicht verwirklicht. Das Ergebnis der Prognose hängt somit davon ab, wie hoch die Stelle im Einzelfall den Rang des Schutzguts und die zu erwartenden Folgen eingeschätzt hat, denn die Gefährdung des Rechtsguts hinsichtlich ihrer Intensität oder Schwere setzt sich aus diesen Parametern zusammen, die wiederum ihrerseits in Relation zur Schadeneintrittswahrscheinlichkeit gesehen werden müssen.
In diesem Zusammenhang sind hauptsächlich vier Sachverhaltskonstellationen denkbar:
- Hat die Prognose ergeben, dass ein Schutzgut von niedrigem Rang betroffen ist und die zu erwartenden Folgen/Schäden aufgrund der Umstände des Einzelfalls geringer Natur sind, dann ist die zu erwartende Schwere der Beeinträchtigung gering, woraus eine geringe Rechtsgutsgefährdung insgesamt resultiert. In diesem Fall wird die Stelle vernünftigerweise darauf vertrauen und erwarten dürfen, dass sich die Gefahr nicht verwirklicht, da (auch) keine geringeren Anforderungen an die Eintrittswahrscheinlichkeit zu stellen sind.
- Hat die Prognose ergeben, dass ein Schutzgut von mittlerem Rang betroffenen ist und die zu erwartenden Schäden ebenfalls im mittleren Bereich anzusiedeln sind, dann ist die zu erwartende Schwere der Beeinträchtigung mittlerer Natur, woraus eine mittelschwere Rechtsgutsgefährdung resultiert. Hier sind weder erhöhte noch geringere Anforderungen an die Eintrittswahrscheinlichkeit zu stellen, und die Stelle ist sich nicht sicher, ob sie vernünftigerweise darauf vertrauen und erwarten darf, dass sich die Gefahr nicht verwirklicht.
- Hat die Prognose ergeben, dass ein Schutzgut von hohem Rang betroffen ist und die zu erwartenden Folgen/Schäden mittel bis hoch sind, dann ist die zu erwartende Schwere der Beeinträchtigung groß, woraus eine erhöhte Rechtsgutsgefährdung resultiert. In diesem Fall darf die Stelle nicht vernünftigerweise darauf vertrauen und erwarten, dass sich die Gefahr nicht verwirklicht, da (deutlich) geringere Anforderungen an die Eintrittswahrscheinlichkeit zu stellen sind.
- Die Prognose hat lediglich ergeben, dass zwar ein Schutzgut betroffen ist; deren Bestimmung aber mit großer Ungewissheit behaftet ist, so dass der Rang des Schutzguts und die zu erwartenden Folgen und Schäden nicht sicher prognostiziert werden konnten. Die Schwere der Rechtsgutsgefährdung bleibt dadurch unklar oder unbestimmt.
Die erste und die dritte Konstellation und die daraus resultierende Rechtsfolge für die verantwortlichen Stellen sind unproblematisch. Entweder liegt eindeutig keine Informationspflicht aufgrund der Sachlage vor (1.), oder das Gegenteil ist der Fall (3.), so dass im Nachfolgenden nur auf die zweite und die vierte Konstellation näher eingegangen wird.
Bei der Bestimmung der Eintrittswahrscheinlichkeit kann – wie die Konstellationen zeigen – in engen Grenzen ein Weniger des einen durch ein Mehr des anderen ausgeglichen werden[45]. Ein höherer Rang des Schutzgutes (Mehr) kann somit durch geringere zu erwartende Folgen (Weniger) im Einzelfall ausgeglichen werden. Dies darf aber nicht dazu führen, dass die Anforderungen an die konkrete Gefahr im Gegenzug zu hoch angesetzt werden[46], was insbesondere bei der dritten Konstellation deutlich wird. Würde man trotz einer potenziell „nur“ mittelschweren Gefährdung des Rechtsguts das Vorliegen einer konkreten Gefahr verneinen, dann wären der Maßstab und die Anforderungen an die Eintrittswahrscheinlichkeit überhöht angesetzt. Ein zu enger Maßstab bei der Prüfung ist aus Gründen der Aufrechterhaltung des effektiven Rechtsschutzes abzulehnen; es werden weder erhebliche materielle Schäden noch erhebliche soziale Nachteile für die Betroffenen gefordert.[47] Es geht nach dem Gesetzeszweck vielmehr um das Erkennen erhöhter Missbrauchsgefahren und Folgen für die Betroffenen, die sich durch eine Benachrichtigung und durch das Einleiten von Gegenmaßnahmen schützen und schlimmere Folgen vermeiden können. Liegt der Sachverhalt der zweiten Konstellation vor, ist daher regelmäßig von einer Informationspflicht nach § 42a S. 1 BDSG auszugehen.
Von praktischer Bedeutung ist insbesondere die vierte Konstellation und die Frage, wie die Stelle solche Fälle im Hinblick auf die Informationspflicht beurteilen soll, bei denen sie (begründete) Zweifel und Unsicherheiten bei der Prognose und hinsichtlich der Einordnung des Vorfalls hat. Hier sind solche Fälle gemeint, in denen sie einerseits nicht sicher darauf vertrauen kann, dass sich die Gefahr nicht verwirklicht, andererseits aber auch nicht zwingend sicher erwarten muss, dass sich die Gefahr verwirklicht. Derartige Zweifelsfälle entstehen häufig aufgrund mangelhafter Erkenntnismöglichkeiten der Stelle durch fehlende Informationen über die Datenpanne und deren konkreten Umstände zur angemessenen Bestimmung der Einflussfaktoren. Sofern der Stelle keine genauen und näheren Informationen über die Datenpanne vorliegen, sie also bspw. den Rang des Schutzgutes oder insbesondere den zu erwartenden Schaden und die Folgen der Datenpanne für die Betroffenen nicht hinreichend sicher beurteilen und prognostizieren kann, schlagen diese Wissensmängel auf die Eintrittswahrscheinlichkeit und die Relation der selbigen durch, so dass in solchen Fällen ebenfalls von einer Informationspflicht ausgegangen werden muss. Die Bedeutung von Wissensmängeln bei der Prognose ist aber noch weitreichender. Kann die Stelle zwar im Einzelfall bspw. die Art der Daten und den Rang des Schutzgutes, jedoch nicht den Dritten bestimmen, fehlen ihr Kenntnisse über seine etwaigen Handlungsabsichten und somit die Möglichkeit, die voraussichtlichen Folgen (sicher) zu bestimmen. Können die voraussichtlichen Folgen nicht bestimmt werden, mangelt es im Weiteren an Kenntnissen über die voraussichtliche Schwere der Beeinträchtigung bzw. über den Grad der Rechtsgutsgefährdung an sich. Da die Stelle jedoch das volle Irrtumsrisiko trägt[48], sollte sie bei der Prognose, insbesondere bei unklaren Sachverhalten und mangelnden Informationen, stets vom ungünstigsten Fall und vom Vorliegen der Informationspflicht ausgehen[49], zumindest dann wenn das Drohen von schwerwiegenden Beeinträchtigungen wahr scheinlicher ist als das Nichtvorliegen dergleichen. Liegt der Sachverhalt der vierten Konstellation vor, ist daher ebenfalls von einer Informationspflicht gemäß § 42a S. 1 BDSG auszugehen. Abschließend kann festgehalten werden, dass das Tatbestandsmerkmal Drohen von schwerwiegenden Beeinträchtigungen verneint werden kann, wenn nicht von einer konkreten Gefahr für das betroffene Rechtsgut oder die Interessen auszugehen ist, wodurch auch die Informationspflicht nach § 42a BDSG für die verantwortlichen Stellen als Ganzes entfällt.
IV. Fazit und Ausblick
Die Antwort auf die Frage, ob schwerwiegende Beeinträchtigungen drohen, kann nur von Fall zu Fall bestimmt werden. Dies ist nicht zuletzt auch der durch das Tatbestandsmerkmal „drohen“ geforderten Prognoseentscheidung und der daraus resultierenden Unbestimmtheit geschuldet. Aufgrund der Vielfältigkeit von Datenpannen in der Praxis sind umfassende Informationen über die Datenpanne und ihre Umstände essenziell für die innerbetriebliche Beurteilung des Vorfalls. Die Kenntnis über die Person des Dritten kann als der größte Einflussfaktor bei der Gefahrenprognose bezeichnet werden. In diesem Zusammenhang würde eine erhöhte Nachforschungspflicht der Unternehmen helfen, die potenziellen Folgen für die Betroffenen sicherer zu bestimmen. Sofern der verantwortlichen Stelle die Person des Dritten und seine Absichten im Hinblick auf die abhanden gekommenen Daten nicht bekannt sind, ist eine sichere Prognose nicht möglich, und derartige Wissensmängel sind folgenreich. Bestehen auch nach der Vornahme der Bewertung der Datenpanne begründete Zweifel, sollte die Stelle die Aufsichtsbehörde anrufen, bevor sie die Benachrichtigung ganz unterlässt, sei dies auch nur zu dem Zweck, sich rückzuversichern. An der eindeutigen Verantwortungszuweisung ändert diese Vorgehensweise aber nichts; die Stelle hat letztendlich selbst in Zusammenarbeit mit dem betrieblichen Datenschutzbeauftragten[50] die Entscheidung über das Bestehen der Informationspflicht zu treffen. Wird die Datenpanne aber bereits innerbetrieblich anhand der entwickelten Grundsätze und der beschriebenen Sachverhaltskonstellationen sorgfältig evaluiert und diese Prüfung sowie die Ergebnisse revisionssicher dokumentiert, wird es der ggf. zu benachrichtigenden Aufsichtsbehörde leichter fallen, den Vorfall aufgrund der dann vorliegenden Dokumente schneller einschätzen zu können. Hierdurch könnte auch eine sich daran anschließende Benachrichtigung an die Betroffenen zügiger erfolgen, um etwaige aus der Datenpanne resultierenden Folgen und Schäden abwenden zu können.
Inwieweit sich die hier entwickelten und dargestellten Ansätze bei der Beurteilung der Informationspflicht durch den derzeit in Literatur und Politik breit diskutierten Entwurf einer europäischen Datenschutz-Grundverordnung[51] als beständig erweisen werden, bleibt abzuwarten. Zumindest enthält der Entwurfstext in Art. 31 und 32 eine mit § 42a BDSG vergleichbare Pflicht, mögen die Anwendungsbereiche und Voraussetzungen auf den ersten Blick auch einen Paradigmenwechsel vermuten lassen[52].
Kevin Marschall, LL.M. ist wissenschaftlicher Mitarbeiter in der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) im Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel bei Prof. Dr. Alexander Roßnagel und ist Mitglied der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. Seine Forschungsschwerpunkte liegen im IT- und Datenschutzrecht sowie im Bereich des Wirtschaftsstrafrechts.
[1] BGBl. I 2814 vom 19.08.2009.
[2] Exemplarisch hierzu etwa Zimmer-Goertz, PinG 2013, 77; Simitis/Dix, BDSG 8. Aufl. (2014) § 42a Rn. 9; Eckardt/Schmitz, DuD 2010, 390; Holländer, RDV 2009, 215; Gabel, BB 2009, 2045.
[3] Vgl. BT-Drs. 17/12319, S. 2 ff.
[4] Vgl. BT-Drs. 16/12011, S. 34; kritisch zu sehen ist, dass die Beschränkung des § 42a BDSG auf nur bestimmte – aus Sicht des Gesetzgebers besonders sensible – Daten nicht den vom BVerfG 65, 1 (45) aufgestellten Anforderungen entspricht, wonach es grundsätzlich kein belangloses Datum gibt und stets der Verarbeitungskontext und die Umstände zu berücksichtigen sind.
[5] So etwa die treffende Bezeichnung von Hanloser, CCZ 2010, 25.
[6] Näher zu § 3 Abs. 9 BDSG DKWW/Weichert, BDSG, 3. Aufl. (2010) § 3 Rn. 65; Zimmer-Goertz, PinG 2013, 77.
[7] Siehe auch § 203 StGB – Verletzung von Privatgeheimnissen.
[8] Zum Umfang siehe Schaffland/Wiltfang, BDSG Lose-Blatt Kommentar (2011) § 42a Rn. 2.
[9] Vgl. etwa EuGH, EuZW 2010, 617 ff. zum Personenbezug von Kreditkartennummern.
[10] In der Praxis ist kaum denkbar, dass Unternehmen nicht wenigstens eine der genannten Datenkategorien verarbeiten und als Normadressat von § 42a BDSG schon von Beginn an ausscheiden. So fallen bspw. besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG in jedem Unternehmen mit Arbeitnehmern an, da u.a. die religiöse Überzeugung (Angaben der Kirchenzugehörigkeit) im Rahmen der Lohnbuchhaltung gespeichert ist.
[11] Plath/Plath/Schreiber, BDSG (2013) § 3 Rn. 74; Taeger/Gabel/Buchner, BDSG, 1. Aufl. (2010) § 3 Rn. 56; a. A. wohl Schaffland/Wiltfang (Fn. 8), § 3 Rn. 55, die isoliert nur auf die Mitarbeitereigenschaft an sich abstellen.
[12] Eine positive Feststellung ist dagegen abzulehnen, da die Anwendbarkeit der Vorschrift durch zu hohe Anforderungen an die Feststellung selbst sodann praktisch zu vernachlässigen wäre; a.A. etwa Eckardt/Schmitz, DuD 2010, 390, 393; ähnlich Hanloser, CCZ 2010, 25 (26), der in Fällen, in denen ein Datenträger abhandenkommt, einen Beweis für die Kenntnisnahme fordert; zustimmend etwa Plath/Hullen (Fn. 11), § 42a Rn. 6; Taeger/Gabel/Gabel (Fn. 11), § 42a Rn. 17; Simitis/Dix (Fn. 2), § 42a Rn. 8; siehe auch BT-Drs. 16/12011, S. 34, die explizit auf das Vorliegen derartiger Anhaltspunkte Bezug nimmt.
[13] So Zimmer-Goertz, PinG 2013, 77 (78); vgl. Taeger/Gabel/Gabel (Fn. 11), § 42a Rn. 17; Ernst, DuD 2010, 472 (473); enger DKWW/ Weichert (Fn. 6), § 42a Rn. 5.
[14] Statt vieler Taeger/Gabel/Gabel (Fn. 11), § 42a Rn. 17.
[15] Als Evidenzkontrolle vgl. BT-Drs. 16/12011, S. 52.
[16] Eckardt/Schmitz, DuD 2010, 390 (392); etwas enger Simitis/Dix (Fn. 2), § 42a Rn. 9; a. A. Plath/Hullen (Fn. 11), § 42a Rn. 8
[17] So BVerwG NJW 1974, 807, 809: vgl. auch Wolff/Brink/Scheffczyk BeckOK Datenschutzrecht (2013) BDSG § 42a Rn. 35; Lisken/Denninger/ Denninger, Hdb. des Polizeirechts, 5. Aufl. (2012) Abschn. E, Rn. 29.
[18] Vgl. bspw. § 11 HSOG (Hessisches Gesetz über die öffentliche Sicherheit und Ordnung)
[19] Lisken/Denninger/Denninger (Fn. 17), Abschn. E, Rn. 32.
[20] Lisken/Denninger/Denninger (Fn. 17), Abschn. E, Rn. 32.
[21] Eckardt/Schmitz, DuD 2010, 390 (392); diesbezüglich ist es jedoch nicht erforderlich, dass die Realisierung des (zu erwartenden) Schadens unmittelbar bevorsteht; vgl. Lisken/Denninger/Denninger (Fn. 17), Abschn. E, Rn. 43.
[22] BGH, NJW 1995, 3131; BGH, NJW 1985, 1036.
[23] Näher hierzu siehe Abschnitt 1.2 und 1.3 mit weiteren Beispielen.
[24] Statt vieler Taeger/Gabel/Gabel (Fn. 11), § 42a Rn. 20.
[25] Vgl. Taeger/Gabel/Gabel (Fn. 11), § 42a Rn. 20; Simitis/Dix (Fn. 2), § 42a Rn. 9.
[26] Lisken/Denninger/Denninger (Fn. 17), Abschn. E, Rn. 36; vgl. Taeger/ Gabel/Gabel (Fn. 11), § 42a Rn. 20.
[27] Taeger/Gabel/Gabel (Fn. 11), § 42a Rn. 20.
[28] So etwa BGH, NJW 1963, 1069 (st. Rspr.), wonach die Gefahr nicht abstrakt und insbesondere nicht in (kategorisierenden) Prozentsätzen ausgedrückt werden kann.
[29] Lisken/Denninger/Denninger (Fn. 17), Abschn. E, Rn. 42; vgl. Simitis/ Dix (Fn. 2), § 42a Rn. 9.
[30] Vgl. Taeger/Gabel/Heckmann (Fn. 11), § 14 Rn. 82; Simitis/Dammann (Fn. 2), § 14 Rn. 84
[31] Näher hierzu BVerfGE 65, 1.
[32] So Simitis/Dix (Fn. 2), § 42a Rn. 9; Taeger/Gabel/Gabel (Fn. 11), § 42a Rn. 19; Hornung, NJW 2010, 1841 (1843); a.A. Bergmann/Möhrle/Herb, BDSG, 42. Ergänzungslieferung (2011) § 42a Rn. 12; Holländer, RDV 2009, 215 (220), die ihre Ablehnung nur mit dem persönlichkeitsorientierten Schutzzweck des BDSG begründen, die Gesetzesbegründung und den Telos der Norm jedoch unberücksichtigt lassen.
[33] Vgl. Hefendehl, ZIS 10/2012, 506 (507 f.), unter Anlehnung an strafrechtlich geschützte Rechtsgüter und Interessen
[34] So etwa DKWW/Weichert (Fn. 6), § 42a Rn. 6 mit weiteren Beispielen.
[35] Lisken/Denninger/Denninger (Fn. 17), Abschn. E, Rn. 39.
[36] Jedoch können solche Belästigungen und Nachteile bei kumulativer Häufung ein derartiges Ausmaß erreichen, dass sie die Schwelle zum Schaden und damit zur Gefahr überschreiten; vgl. Lisken/Denninger/ Denninger (Fn. 17), Abschn. E, Rn. 30.
[37] Vgl. DKWW/Weichert (Fn. 6), § 42a Rn. 6 m.w.N.
[38] Siehe BT-Drs. 16/12011, S. 34.
[39] In diesem Zusammenhang ist gleichwohl anzumerken, dass diese Kategorisierung nicht absolut verstanden werden darf und durchaus Fallkonstellationen denkbar sind, in denen ein Verlust der entsprechenden Risikodaten auch zu untypischen Folgen führen kann.
[40] Im Ergebnis auch folgerichtig Hornung, NJW 2010, 1841 (1844), der das Urteil der Prognose davon abhängig macht, ob die Stelle voraussagen kann, was der Dritte mit den Daten wohl ‚anstellen‘ wird.
[41] Vgl. Simitis/Dix (Fn. 2), § 42a Rn. 8; Gabel, BB 2009, 2045 (2047); Holländer, RDV 2009, 215 (220); kritisch hierzu Ernst, DuD 2010, 472 (473), im Hinblick auf die Einfachheit der technischen Überwindung von Verschlüsselungen.
[42] Vgl. Holländer, RDV 2009, 215 (220), die auf die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) rekurriert; siehe auch Kroschwald, ZD 2014, 75 zur Verschlüsselung im Rahmen des Cloud Computing.
[43] So auch ausdrücklich BT-Drs. 16/12011, S. 52.
[44] Statt vieler Simitis/Dix (Fn. 2), § 42a Rn. 9. Diese Auffassung ist folgerichtig, da der Tatbestand von § 42a S. 1 BDSG keine Aussage darüber trifft, wie lange ein – bereits eingetretener – Schaden bestehen muss. Es wird nur eine (konkrete) Gefahr verlangt, welche sich noch nicht in einem Schaden realisiert haben muss, um die Informationspflicht der verantwortlichen Stelle auszulösen.
[45] So etwa BVerfG, Urt. v. 11.7.2013 – 2 BvR 2302/11, Rn. 137 (st. Rspr.).
[46] Ähnlich auch BGH, NJW 1995, 3131 f. zu § 315c StGB.
[47] Simitis/Dix (Fn. 2), § 42a Rn. 9; jurisPK-Internetrecht/Heckmann, 2. Aufl. (2009) Kap. 1.15a, Rn. 7.
[48] Hornung, NJW 2010, 1841 (1844).
[49] So auch schon Duisberg/Picot, CR 2009, 823 (824).
[50] Zu den strafrechtlichen Haftungsrisiken des betrieblichen Datenschutzbeauftragten im Zusammenhang mit der (Nicht-)Erfüllung seiner gesetzlich kodifizierten Pflichten am Praxisbeispiel des § 42a BDSG siehe ausführlich Marschall, ZD 2014, 66.
[51] Vorschlag für eine Verordnung des Europäischen Parlaments und Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DS-GVO), KOM (2012) 11 endg. Der ursprüngliche Kommissionsentwurf von 2012 ist bereits in erster Lesung durch das Europäische Parlament verabschiedet worden und nun Gegenstand der weiteren Trilog-Verhandlungen.
[52] Zur entsprechenden Informationspflicht des aktuellen Entwurfs der europäischen Datenschutz-Grundverordnung (Art. 31 und 32) siehe Marschall, DuD 2015 i.E.