1DGRI, Berlin, 27.11.2009 - © 2009 RA Dr. Robert Selk, LL.M./ München

DGRI – Fachausschuss DatenschutzBerlin, 27.11.2009:

Informationspflichten bei Verstößen, § 42 a BDSG

Dr. Robert Selk, LL.M.Rechtsanwalt

Fachanwalt für IT-Recht

Königinstr. 11 a, 80539 Münchenwww.kanzlei-ssh.de

2DGRI, Berlin, 27.11.2009 - © 2009 RA Dr. Robert Selk, LL.M./ München

§ 42 a BDSG - Hintergründe

§ 42 a BDSG vollständig neu, ausdrücklich orientiert an Vorschlag EU-Kommission (zur Änderung der RL 2002/58/EG mit Meldepflicht,

KOM(2007) 698 endg., S. 36 US-Recht (etwa California Senate Bill SB 1386)

Verweise im TMG und TKG § 15 a TMG für Bestands- und Nutzungsdaten § 93 II TKG für Bestands- und Verkehrsdaten Achtung: ohne Bußgeldbewehrung (§ 149 TKG, § 16 TMG)

Inhalt § 42 a BDSG: gestufte Mitteilungspflicht S. 1: Tatbestandsmerkmale („ob“) S. 2, 3, 5: Details für Benachrichtigung („wie“) ggü. Betroffener S. 4: Details für Benachrichtigung („wie“) der ggü. AB S. 6: strafrechtliches Beweisverwertungsverbot

3DGRI, Berlin, 27.11.2009 - © 2009 RA Dr. Robert Selk, LL.M./ München

§ 42 a BDSG - Diskussionsthesen

1. (Wo) Sind sonstige „heikle“ Daten erfasst? Bsp.: Passwörter, speziell verschlüsselte Daten

Passwörter evtl. (nur) über S. 1 Nr. 3? Verdach/ Bezug auf strafbare Handlungen/ Ordnungswidrigkeiten

Verschlüsselte Daten: überhaupt schutzbedürftig? Ausgenommen?

2. „Dritten unrechtmäßig zur Kenntnis gelangt“ Was ist mit internem Datenmissbrauch?

Dritter = außerhalb der verantwortlichen Stelle Bereits zur Kenntnis gelangt: zu spät?

besser schon bei bloßer Zugriffsmöglichkeit durch Dritte? Folge bei bloßen rechtswidrigem Besitz der Daten

noch ohne tatsächliche Kenntnisnahme des Dritten Zeitpunkt der Kenntnisnahme durch Dritte

wie soll nicht-öffentliche Stelle hiervon selbst Kenntnis erlangen?

4DGRI, Berlin, 27.11.2009 - © 2009 RA Dr. Robert Selk, LL.M./ München

§ 42 a BDSG - Diskussionsthesen

3. Drohen schwerwiegender Beeinträchtigungen Zu unbestimmt (§ 43 II 7)? Kriterien? Warum sollen zumindest Betroffene nicht über jeden Missbrauch „ihrer“

Daten informiert werden? -> Parallele zu Zeitungsanzeigen „Drohen“: Prognose-Risiko des Unternehmens?

Ansprüche Betroffener wg. – im Nachhinein zu Unrecht - unterlassener Information?

4. Auftragsdatenverarbeitung AN verarbeitet fehlerhaft; muss nur der AG als „Herr der Daten“ oder – auch

– der AN informieren? Pro: § 42 a spricht nicht von verantwortlicher Stelle, sondern von „nicht

öffentlicher Stelle“ Contra: § 42 a BDSG nicht in Liste von § 11 IV enthalten

trotz ausdrücklicher Forderung Bundesrat (BR-DRS 4/2009, S. 9)

5DGRI, Berlin, 27.11.2009 - © 2009 RA Dr. Robert Selk, LL.M./ München

§ 42 a BDSG - Diskussionsthesen

5. Beweisverwertungsverbot in S. 6 Schutz des Benachrichtigungspflichtigen/ Angehöriger im Strafverfahren/

OWI-Verfahren; was aber bei juristischen Personen? „Benachrichtigungspflichtiger“ = verantwortliche Stelle? Rechtsprechung zu § 97 I 2 InsO? -> § 101 InsO

Außerdem: Geheimnisschutz?

6. Ansprüche trotz BVV AB: Maßnahmen nach § 38 V Betroffener: SEA nach § 6, § 823 BDSG iVm VSP oder als SchutzG Wettbewerber: UWG (etwa über Zeitungsanzeige)?

verletzte BDSG-Norm= Marktverhaltensregelung Bei Nutzung/ Übermittlung von pbD zu kommerziellen Zwecken

Beseitigung der Wiederholungsgefahr? Vorsorgliche Abgabe strafbewehrte Unterlassungserklärung? Gegenmaßnahmen? Gegenüber wem? Aufsichtsbehörde?

6DGRI, Berlin, 27.11.2009 - © 2009 RA Dr. Robert Selk, LL.M./ München

Diskussion