Erster Entwurf zur Novellierung des BDSG aufgetaucht
von , veröffentlicht am 21.10.2008Das Datenschutz-Blog Datenschutzbeauftragter-Online hat den bislang noch nicht offiziell verfügbaren Referentenentwurf für eine Änderung des BDSG aus dem Bundesinnenministerium veröffentlicht (PDF-Datei). Was halten die Beck-Blog-Leser von den Änderungen?
Mir ist auf die Schnelle eine erfreuliche Änderung aufgefallen, die aber m.E. mit der aktuellen Fassung nur ungenügend umgesetzt wäre: Der neue § 44a BDSG verpflichtet nicht-öffentliche Stellen i.S.d. § 2 Abs. 4 BDSG, im Falle der Feststellung eines wie auch immer gearteten Lecks in Bezug auf bestimmte Daten - darunter Konto- und Kreditkarteninformationen sowie Verkehrs-, Bestands- und Nutzungsdaten i.S.v. TKG und TMG - die zuständige Aufsichtsbehörde sowie die Betroffenen zu unterrichten. Eine ähnliche Regelung existiert bereits in einigen anderen Ländern wie den USA und führt dort nicht nur zu einem verantwortungsbewussteren Umgang mit Daten, sondern auch zu einer deutlich besseren Datengrundlage im Hinblick auf die Einschätzung der Computer- und Internetkriminalität: Mangels einer entsprechender Verpflichtungsregelung erfahren die Öffentlichkeit und die Ermittlungsbehörden in Deutschland bislang kaum von kleinen oder großen Hacks und ähnlichen Vorfällen, weil die betroffenen Unternehmen aus Angst vor Image- und Kontrollverlust im Zuge staatlicher Ermittlungen eher dem Motto "Schweigen ist Gold" folgen. Lediglich im Zuge investigativ-journalistischer Recherchen kommt ein derartiger Vorfall einmal ans Tageslicht, wie der Abfluss von Bewerberdaten bei PWC vor kurzem zeigte.
Problematisch ist aber m.E., dass die Informationspflicht nur greift, wenn "schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen" drohen. Die Beurteilung darüber steht dem jeweiligen Unternehmen bzw. der jeweiligen "nicht-öffentlichen Stelle" anscheinend selbst zu ...
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
2 Kommentare
Kommentare als Feed abonnierenWas für eine schön zu lesende Vorschrift. Herrlich gut gemeint und wortreich. Richtig putzig sind auch die präzisen Vorgaben in § 44a a.E. RefE-BDSG:
"Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand
erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information an die Öffentlichkeit durch Anzeigen, die mindestens eine halbe Druckseite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen."
Nicht nur, wie Spoenle richtig erkannt hat, dass die Beurteilung, ob "schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen" drohen, dem Verpflichteten selbst obliegt. Es fehlt auch eine Sanktionsnorm für die Missachtung der Informationspflicht. Für Lateiner: eine "lex imperfecta". Wenn das so Gesetz wird, werden wir noch lange warten dürfen, bis wir in der BILD und im Express eine Anzeige von René Obermann lesen dürfen, dass es bei den Telekomikern mal wieder ein Datenleck gegeben hat. Also ... wat sull dä Quatsch?
Bei uns in den USA gibt es zahlreiche Vorschriften auf Bundesstaatsebene zu Mitteilungspflichten bei Vorleigen eines "Data Breach", die zu großen Problemen führen. Zum Beispiel: Was geschieht, wenn "falscher Alarm" gegeben wird? Wer genau muß benachrichtigt werden? Für die Unternehmen kann der bloße Verlust eines Laptops zum Alptraum werden.
Vgl. hierzu meine Blog Mittelung vom 27.03.08:
http://www.blog.beck.de/2008/03/27/usa-mitteilungspflicht-bei-bruch-der-...