Was im Falle von Sicherheitspannen beim Einsatz von Cloud Services zu tun ist

Unberechtigte Zugriffe auf personenbezogene Daten würden Unternehmen gerne für sich behalten. Unter Umständen müssen diese aber der Aufsichtsbehörde gemeldet werden.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 2 Min.
Von
  • Marzena Sicking

Wer mit personenbezogenen Daten arbeitet, muss auch den datenschutzrechtlichen Umgang mit ihnen genau kontrollieren. Was im Falle eines unberechtigten Zugriffs im eigenen Unternehmen oder beim Cloud-Dienstleister zu unternehmen ist, erklären Rechtsanwalt Thomas Feil und Dipl.-Jur. Alexander Fiedler.

Deutsche Unternehmen sind unter bestimmten Voraussetzungen verpflichtet, unberechtigte Zugriffe auf personenbezogene Daten unaufgefordert der zuständigen Aufsichtsbehörde und dem Betroffenen anzuzeigen. Die Meldepflicht betrifft unrechtmäßige Kenntnisnahmen durch Dritte von besonders sensiblen Daten, insbesondere Bank- oder Kreditkartendaten, Informationen die einem Berufsgeheimnis unterliegen und besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG).

Dies gilt auch dann, wenn die Panne nicht beim Unternehmern, sondern dessen Cloud-Dienstleister aufgetreten ist. Rechtsgrundlage dieser Anzeigeplicht ist der zum im September 2009 neu eingefügte § 42a BDSG.

Thomas Feil ist seit 1994 als Rechtsanwalt in Hannover tätig. Er ist Fachanwalt für IT-Recht und Arbeitsrecht. Zu seinen Tätigkeitsschwerpunkten gehört auch das Vergaberecht. Dipl.-Jur. Alexander Fiedler, LL.M. (University of Michigan) ist Wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik der Universität Hannover.

Tritt eine Datenpanne auf Seiten des Cloud-Dienstleisters ein, ist der Cloud-Kunde als verantwortliche Stelle im Sinne des § 11 Abs. 1 S. 1 BDSG dazu verpflichtet, die Aufsichtsbehörde und die von der Datenpanne betroffenen Personen zu informieren. Dabei ist es unerheblich, ob die Datenpanne auf eigenes Verschulden oder auf einen Hackerangriff zurückzuführen ist. Die Informationspflicht tritt aber erst dann ein, wenn die verantwortliche Stelle, also der Auftraggeber, Kenntnis von der Datenpanne erlangt. Allerdings trifft den Cloud-Dienstleister nach dem Gesetzeswortlaut keine Pflicht, den Auftraggeber über die Datenpanne zu benachrichtigen. Zweck des Gesetzes ist es jedoch, Betroffenen die Möglichkeit zu geben, Maßnahmen zur Schadensbegrenzung zu ergreifen. Um dies sicherzustellen, wird man auch seitens des Cloud-Dienstleisters eine gesetzliche oder doch zumindest vertragliche Pflicht zur Information des Auftraggebers annehmen müssen.

Der Cloud-Kunde muss dann unverzüglich den Betroffenen Informationen über die Art der Sicherheitspanne zu kommen lassen und Maßnahmenempfehlungen zur Minderung Nachteiliger Folgen aussprechen. Der Aufsichtsbehörde müssen darüber hinaus auch Informationen zu ergriffenen Gegenmaßnahmen und möglichen nachteiligen Folgen mitgeteilt werden. Wird die Informationspflicht missachtet, droht dem Unternehmen ein Bußgeld in Höhe von bis zu 300.000 Euro (§ 43 Abs. 2 Nr. 7, Abs. 3 BDSG ). (masi)