DGRI – Fachausschuss Datenschutz
Berlin, 27.11.2009:
Informationspflichten bei Verstößen, § 42 a BDSG
Dr. Robert Selk, LL.M.
Rechtsanwalt
Fachanwalt für IT-Recht
Königinstr. 11 a, 80539 München
www.kanzlei-ssh.de
DGRI, Berlin, 27.11.2009 - © 2009 RA Dr. Robert Selk, LL.M./ München
1
§ 42 a BDSG - Hintergründe
 § 42 a BDSG vollständig neu, ausdrücklich orientiert an
 Vorschlag EU-Kommission (zur Änderung der RL 2002/58/EG mit Meldepflicht,
KOM(2007) 698 endg., S. 36
 US-Recht (etwa California Senate Bill SB 1386)
 Verweise im TMG und TKG
 § 15 a TMG für Bestands- und Nutzungsdaten
 § 93 II TKG für Bestands- und Verkehrsdaten
 Achtung: ohne Bußgeldbewehrung (§ 149 TKG, § 16 TMG)
 Inhalt § 42 a BDSG: gestufte Mitteilungspflicht
 S. 1: Tatbestandsmerkmale („ob“)
 S. 2, 3, 5: Details für Benachrichtigung („wie“) ggü. Betroffener
 S. 4: Details für Benachrichtigung („wie“) der ggü. AB
 S. 6: strafrechtliches Beweisverwertungsverbot
DGRI, Berlin, 27.11.2009 - © 2009 RA Dr. Robert Selk, LL.M./ München
2
§ 42 a BDSG - Diskussionsthesen
1.
(Wo) Sind sonstige „heikle“ Daten erfasst?

Bsp.: Passwörter, speziell verschlüsselte Daten

Passwörter evtl. (nur) über S. 1 Nr. 3?
 Verdach/ Bezug auf strafbare Handlungen/ Ordnungswidrigkeiten

2.
Verschlüsselte Daten: überhaupt schutzbedürftig? Ausgenommen?
„Dritten unrechtmäßig zur Kenntnis gelangt“

Was ist mit internem Datenmissbrauch?


Bereits zur Kenntnis gelangt: zu spät?


besser schon bei bloßer Zugriffsmöglichkeit durch Dritte?
Folge bei bloßen rechtswidrigem Besitz der Daten


Dritter = außerhalb der verantwortlichen Stelle
noch ohne tatsächliche Kenntnisnahme des Dritten
Zeitpunkt der Kenntnisnahme durch Dritte
 wie soll nicht-öffentliche Stelle hiervon selbst Kenntnis erlangen?
DGRI, Berlin, 27.11.2009 - © 2009 RA Dr. Robert Selk, LL.M./ München
3
§ 42 a BDSG - Diskussionsthesen
3.
Drohen schwerwiegender Beeinträchtigungen

Zu unbestimmt (§ 43 II 7)? Kriterien?

Warum sollen zumindest Betroffene nicht über jeden Missbrauch „ihrer“
Daten informiert werden? -> Parallele zu Zeitungsanzeigen

„Drohen“: Prognose-Risiko des Unternehmens?

4.
Ansprüche Betroffener wg. – im Nachhinein zu Unrecht - unterlassener
Information?
Auftragsdatenverarbeitung

AN verarbeitet fehlerhaft; muss nur der AG als „Herr der Daten“ oder – auch
– der AN informieren?


Pro: § 42 a spricht nicht von verantwortlicher Stelle, sondern von „nicht
öffentlicher Stelle“
Contra: § 42 a BDSG nicht in Liste von § 11 IV enthalten
 trotz ausdrücklicher Forderung Bundesrat (BR-DRS 4/2009, S. 9)
DGRI, Berlin, 27.11.2009 - © 2009 RA Dr. Robert Selk, LL.M./ München
4
§ 42 a BDSG - Diskussionsthesen
5.
Beweisverwertungsverbot in S. 6

Schutz des Benachrichtigungspflichtigen/ Angehöriger im Strafverfahren/
OWI-Verfahren; was aber bei juristischen Personen?



6.
„Benachrichtigungspflichtiger“ = verantwortliche Stelle?
Rechtsprechung zu § 97 I 2 InsO? -> § 101 InsO
Außerdem: Geheimnisschutz?
Ansprüche trotz BVV



AB: Maßnahmen nach § 38 V
Betroffener: SEA nach § 6, § 823 BDSG iVm VSP oder als SchutzG
Wettbewerber: UWG (etwa über Zeitungsanzeige)?

verletzte BDSG-Norm= Marktverhaltensregelung
 Bei Nutzung/ Übermittlung von pbD zu kommerziellen Zwecken

Beseitigung der Wiederholungsgefahr?
 Vorsorgliche Abgabe strafbewehrte Unterlassungserklärung? Gegenmaßnahmen?
 Gegenüber wem? Aufsichtsbehörde?
DGRI, Berlin, 27.11.2009 - © 2009 RA Dr. Robert Selk, LL.M./ München
5
 Diskussion
DGRI, Berlin, 27.11.2009 - © 2009 RA Dr. Robert Selk, LL.M./ München
6

Vortragsfolien