Die Meldepflicht nach § 42a BDSG
Das Szenario
Ein Mitglied des Vorstands eines mittelständischen Unternehmens, dessen wirtschaftliche Grundlage auch Bankdaten und –informationen sind, ließ durch eine externe IT-Firma verschiedene Server, Back-Ups und Laptops von Mitarbeitern abtransportieren. Die eigenen, internen IT-Mitarbeiter waren ebenso wenig informiert wie die hauseigene Rechtsabteilung und die zwei anderen Vorstandskollegen. Ein aufmerksamer Mitarbeiter meldete die fehlenden Gegenstände an die Rechtsabteilung und ein paar Tage nach der klandestinen Aktion wurde zur Begründung vorgetragen: Es gebe den Verdacht der Begehung von Straftaten durch Mitarbeiter, verdächtig sei im Grunde jeder und man habe so handeln müssen um das Unternehmen zu schützen. Die mitgenommenen Gegenstände lagerten im Büro eines Notars und sollten von der externen Firma zwecks Beweissicherung untersucht werden. Mehrere leitende IT-Mitarbeiter erhielten die Kündigung.
Ein Fall für die Meldepflicht nach § 42a BDSG?
Der (externe) Datenschutzbeauftragte wurde von der Rechtsabteilung gebeten, eine Einschätzung abzugeben, ob dieser Vorfall nach § 42a BDSG an den zuständigen Landesdatenschutzbeauftragten und die Betroffenen gemeldet werden muss. Der Wortlaut des § 42a BDSG lautet auszugsweise wie folgt:
„Stellt eine nichtöffentliche Stelle … fest, dass bei ihr gespeicherte … personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. …“.
Voraussetzungen erfüllt, aber …
Einige Tatbestandsmerkmale des § 42a BDSG sind unproblematisch erfüllt: Das Unternehmen ist eine nichtöffentliche Stelle, die Daten sind bei ihr gespeichert und auf den „entführten“ Servern etc. befinden sich personenbezogene Daten zu Bank- oder Kreditkartenkonten. Ebenso unproblematisch kann davon ausgegangen werden, dass der IT-Dienstleister bei der Untersuchung zu Zwecken der Beweissicherung von den Daten Kenntnis erhalten hat – eine Aktion, die unmittelbar nach der Mitnahme der Hardware durchgeführt wurde, während der Vorfall intern erst nach und nach bekannt wurde. Die Anforderungen an die „Kenntniserlangung“ werden von der Literatur zum Thema Meldepflicht nach § 42a eher niedrig angesetzt; die Kenntniserlangung durch einen Dritten muss nicht positiv festgestellt werden. Es ist bereits ausreichend, wenn anhand von tatsächlichen Anhaltspunkten mit einer gewissen Wahrscheinlichkeit davon ausgegangen werden kann, dass eine Kenntniserlangung stattgefunden hat.
Unrechtmäßig
Schwieriger wird es mit der nächsten Voraussetzung. Die personenbezogenen Daten müssen unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sein.
Der Datenschutzbeauftragte stolperte in diesem Zusammenhang über das Wort „unrechtmäßig“. Immerhin war das handelnde Vorstandsmitglied innerhalb des Vorstandes für IT zuständig, es war alleinvertretungsberechtigt und wollte mit der Aktion Schaden vom Unternehmen abwenden. Letzteres ist nach § 93 Aktiengesetz (AktG) sogar die Pflicht von Vorständen. Kommen sie der nicht nach, sind sie unter Umständen gegenüber der Gesellschaft schadensersatzpflichtig (§ 93 Abs. 2 AktG).
Ohne Rechtsgrund
Unrechtmäßig im Sinne von § 42a BDSG ist die Übermittlung oder sonstige Kenntniserlangung der dort genannten Daten dann, wenn sie ohne Rechtsgrund erfolgt. Dies kann einmal der Fall sein, wenn die Betroffenen nicht zugestimmt haben, obwohl sie mangels einer gesetzlichen Erlaubnis hätten zustimmen müssen. Werden – wie in diesem Fall – personenbezogene Daten in die Hände eines Dienstleisters gegeben, muss dieses als Auftragsdatenverarbeitung geregelt werden. Eine kurze Recherche des Datenschutzbeauftragten ergab, dass es im Zusammenhang mit § 42a BDSG kaum thematisiert ist, ob auch das Fehlen eines Vertrages über Auftragsdatenverarbeitung eine Unrechtmäßigkeit in diesem Sinne begründet, mit der Folge, dass eine Meldepflicht gegeben ist. Hinzu kam noch eine weiterer Stein des Anstoßes:
Mitarbeiter als „Dritte“
Auch Mitarbeiter können „Dritte“ im Sinne des § 42a Satz 1 BDSG sein. Dies wird angenommen, wenn Mitarbeiter beispielsweise Daten unbefugt an private eigene E-Mail-Adressen versenden oder auf externen Medien speichern und diese mitnehmen. Mit solchem Vorgehen verarbeitet/erhält der Mitarbeiter die Daten nicht im Rahmen seiner arbeitsvertraglich festgelegten Befugnisse, sondern als Privatperson. Als private Person ist er nicht mehr Teil des Unternehmens, der verantwortlichen Stelle, sondern steht außerhalb und wird dadurch zum externen „Dritten“ gemäß der Definition in § 3 Abs. 8 Satz 2 BDSG. Mit der Speicherung durch ihn sind die Daten, die er gespeichert und/oder mitgenommen hat, damit einem Dritten unrechtmäßig zur Kenntnis gelangt. Es spielt dabei keine Rolle, ob das Handeln des Mitarbeiters dem Arbeitgeber zuzurechnen ist oder nicht. Die Informationspflicht des Arbeitgebers wird allein dadurch ausgelöst, dass die Daten, die beim Arbeitgeber gespeichert waren, nunmehr einer Person zur Kenntnis gelangt sind, die aus Rechtsgründen vom Mitarbeiter zum Dritten verwandelt wurde.
Verwandlung aus Rechtsgründen
Auch diese Verwandlung aus Rechtsgründen könnte im Fall der Bank- und Kreditkartendaten eine Rolle spielen, so die Überlegung des Datenschutzbeauftragten. Auch ein Vorstand ist in der Regel ein Mitarbeiter des Unternehmens und wenn die eigenmächtige Entfernung der Server, Back-Ups und Laptops durch keine rechtliche Erlaubnis legitimiert wäre, könnte das betroffene Vorstandmitglied zum „Dritten“ geworden sein. Wiederum mit der Folge einer Meldepflicht.
Fehlende Verträge
Währenddessen wurden dem Datenschutzbeauftragten erst ein Vertrag über Auftragsdatenverarbeitung mit dem externen Dienstleister vorgelegt und dann ein zweiter. Beide Versionen entsprachen nach Einschätzung des Datenschutzbeauftragten nicht den Anforderungen des § 11 BDSG. Eine Leistungsbeschreibung wurde ebenfalls nachträglich erstellt, in der aber nur sehr allgemein der Auftrag zur „Beweissicherung auf allen in Frage kommenden IT-Systemen“ festgeschrieben war. Der Auftrag war inzwischen erweitert worden auf die Untersuchung nicht nur der entfernten Systeme, sondern auch der laufenden. Abgesehen davon war der Datenschutzbeauftragte auch nicht sicher, ob der Auftrag zu einer Art forensischen Untersuchung eines Netzwerkes und einer kompletten IT-Infrastruktur überhaupt eine Auftragsdatenverarbeitung darstellt und nicht eine Funktionsübertragung – die wiederum eine Rechtsgrundlage benötigt hätte, die aber hier nicht ersichtlich war.
Eine Anfrage bei der Datenschutzaufsichtsbehörde …
Der Datenschutzbeauftragte entschloss sich zu einer Anfrage beim Hamburgischen Datenschutzbeauftragten, ob dieser seine Einschätzung teilte, dass aufgrund der fehlenden vertraglichen Regelung zur Auftragsdatenverarbeitung eine Meldepflicht auf der Grundlage von § 42a BDSG gegeben sei. Dieses Vorgehen bietet sich für Datenschutzbeauftragte in solchen Fällen an, die weitreichende Folgen nach sich ziehen können. Die beim Hamburgischen Datenschutzbeauftragten zuständige Sachbearbeiterin sagte nach der – anonymen – Schilderung des Vorfalls, sie würde durchaus von einer Meldepflicht ausgehen, sofern kein Vertrag über Auftragsdatenverarbeitung vorliege. Ob eine Funktionsübertragung anzunehmen sei, vermöge sie ohne nähere Kenntnisse der Sachlage nicht zu sagen. Würde nachträglich ein Vertag über Auftragsdatenverarbeitung vorgelegt, der den gesetzlichen Anforderungen entspreche, könne man möglicherweise von einer „Heilung“ und damit vom Wegfall der Meldepflicht ausgehen.
… und eine Zwickmühle
Das Gespräch mit der Sachbearbeiterin bei Hamburgischen Datenschutzbeauftragten förderte eine Zwickmühle zu Tage, in der sich Unternehmen in diesen Fällen ganz schnell wiederfinden. Die Meldung nach § 42a BDSG hat „unverzüglich“ zu erfolgen. In der Regel ist eine Datenpanne, die meldepflichtig sein kann, aber möglicherweise mit höchstheiklen Folgen für das betroffene Unternehmen verbunden – wirtschaftliche Einbußen, Rufschädigung und dergleichen. Daher ist es ratsam, eine Meldung nur dann zu machen, wenn tatsächlich die Pflicht besteht. Man muss darüber hinaus ja auch nicht Betroffene beunruhigen, wenn dies nicht zwingend nötig ist. Sofern die Bejahung der Meldepflicht allerdings von einer Reihe von zumindest diskussionsbedürftigen (Rechts-) fragen abhängt, bietet es sich an, den jeweiligen Landesdatenschutzbeauftragten um eine Auskunft zu bitten, ob aus seiner Sicht eine Pflicht gegeben ist. Eine solche Einschätzung will man jedenfalls in Hamburg verbindlich aber nur geben, sofern der Name des Unternehmens genannt wird. Verbunden wurde diese Bedingung mit dem Hinweis, komme die Meldung zu spät oder erfolge sie gar nicht und werde dann auf anderem Wege bekannt, könne dies zu einem Bußgeld führen.
Wer ist eigentlich meldepflichtig?
Eine weitere Zwickmühle tat sich in dem Fall bei der weiteren Frage auf, wer denn eigentlich die Meldung zu machen hätte. Grundsätzlich ist dies der Vorstand oder die Geschäftsführung des betroffenen Unternehmens. Dieser kann (und sollte) sich vom Datenschutzbeauftragten unterstützen lassen. Was aber tritt ein, wenn von drei Vorständen einer den eventuell meldepflichtigen Vorfall ausgelöst hat und nur seine beiden Kollegen und der Datenschutzbeauftragte der Meinung sind, dass er falsch gehandelt hat? Von der grundsätzlichen Problematik einmal abgesehen, richtet sich dies dann nach der Frage der Alleinvertretungsbefugnis, die ein Vorstandsmitglied hat oder nicht. Ist ein einzelner Vorstand auch ohne die anderen berechtigt, Entscheidungen zu treffen, kann er die Meldung bei der Datenschutzaufsicht abgegeben. Ansonsten muss er je nach Regelung der Vertretungsbefugnisse das Einvernehmen mit einem weiteren Vorstand oder allen herstellen.