«Der Gesetzgeber hat mehr Bürokratie geschaffen»
Meldepflichtige Data Breaches
CW: Neu müssen auch Datenverluste gemeldet werden. Was wären typische Beispiele aus der Praxis, wann ein Data Breach gemeldet werden muss und wann nicht?
«Für eine hohe Busse müsste jemand schon gehörige kriminelle Energie entwickeln», meint David Rosenthal
Quelle: Jens Stark/Computerworld
Zum einen muss die Datenschutzbehörde informiert werden, damit diese prüfen kann, ob alles unternommen worden ist, um die von einem Data Breach betroffenen Personen zu schützen. Allerdings besteht diese Meldepflicht an den EDÖB nur, wenn ein hohes Risiko für die betroffenen Personen besteht. Wenn beispielsweise Daten nur für kurze Zeit im Netz zugänglich waren, aber davon ausgegangen werden kann, dass niemand diese zu Gesicht bekam, muss keine Meldung erstattet werden. Oder wenn ich einer vertrauenswürdigen Person fälschlicherweise eine E-Mail schicke, die nicht für sie gedacht war und ich davon ausgehen kann, dass sie die Nachricht nicht weiterverbreitet, ist ebenfalls keine Meldung nötig. Wenn aber ein Mailing im grossen Stil fehlgeleitet wird, so wie vor einigen Jahren eine Bank Hunderte von Kontoauszügen von Kunden verwechselt hatte und an die falschen Personen verschickte, dann muss dies gemeldet werden.
Zum anderen betrifft es die Information der Betroffenen des Data Breaches selbst. Wenn einem Unternehmen also Passwörter seiner Kunden gestohlen werden, muss es die Kunden anschreiben und diese bitten, ihre Passwörter zu ändern. Mit dieser Benachrichtungspflicht sollen also betroffene Personen geschützt werden.
CW: Eine weitere Neuerung: Die berufliche Schweigepflicht wird ausgeweitet. Was bedeutet dies in der Praxis? Muss ich mit einer Strafe rechnen, wenn ich beispielsweise als Inhaber eines Online-Shops bekanntgebe, dass eine bestimmte Person Kunde ist?
Rosenthal: Das kann sehr wohl sein. Hier stellt sich die Frage: Hat der Kunde dem Webshop-Besitzer seine persönlichen Daten anvertraut in der Meinung, dass dieser diese vertraulich behandelt? Denken Sie etwa an einen Online-Händler für Erwachsenen-Spielzeug. Wenn dieser dann auch noch auf seiner Seite eine «diskrete Zustellung» der Ware verspricht, wäre die Weitergabe der Daten des Kunden ein Vertrauensbruch – und es drohen entsprechende Sanktionen. Umgekehrt kann eine Webseite sehr wohl persönliche Daten teilen, wenn sie diese Praxis in der Datenschutzerklärung auflistet und diese nicht so ungewöhnlich ist, dass der Kunde nicht damit rechnen konnte. Das führt uns immer zum selben Punkt: Was ist die Erwartung derjenigen, die einer anderen Person im Rahmen deren Berufstätigkeit Personendaten anvertrauen? Selbstverständlich gilt die Schweigepflicht nur, wenn diese anvertrauten Daten auch ein Geheimnis sind, also nicht einer unbeschränkten Zahl von Personen zugänglich und der Betroffene will, dass das so bleibt.
CW: Könnten Sie hier ein Beispiel nennen?
Rosenthal: Ein gutes Beispiel ist der IT-Supporter, dem ich als Angestellter mein Passwort anvertraue, weil er eine Firmen-App auf meinem Handy einrichten muss. Hier gehe ich nicht davon aus, dass dieser diese Information und das, was er dabei sieht, weitergibt oder dies dazu missbraucht, um kompromittierende Mails von mir zu veröffentlichen. In diesen Fällen würde der IT-Supporter das Vertrauensverhältnis missbrauchen und könnte persönlich zur Rechenschaft gezogen werden. Der Gesetzgeber wollte also das, was schon für Anwälte, Ärzte und gewisse andere Berufsgruppen gilt, in einer etwas weniger strengen Form für alle Berufstätigen einführen. Im Grunde wird also der Bruch des für einen Job nötigen Vertrauensverhältnisses strafbar.
