Deutscher Bundestag – 17. Wahlperiode
3.5.3
59 ––
–– 59
Meldepflicht mit einigen Tücken –
der neue § 109a TKG
Anbieter öffentlich zugänglicher Telekommunikationsdienste sind seit Mai 2012 verpflichtet, Vorfälle, die zu
einer Verletzung von personenbezogenen Daten führen,
gegenüber den Aufsichtsbehörden und – unter gewissen
Umständen – den Betroffenen anzuzeigen. Die praktische
Umsetzung der gesetzlichen Vorgaben ist allerdings nicht
immer unproblematisch.
Im Rahmen der Novellierung des Telekommunikationsgesetzes (vgl. Nr. 6.4) wurde auch eine neue europäische
Vorschrift (Artikel 4 Absatz 3 bis 5 E-Privacy-Richtlinie)
zur Meldung von Datenschutzvorfällen bei Telekommunikationsanbietern in deutsches Recht umgesetzt. Die bis
dahin über den Verweis des § 93 Absatz 3 TKG a. F. geltende Informationspflicht des § 42a BDSG (vgl.
Nr. 3.5.2) wurde durch § 109a TKG ersetzt. Auch wenn
die beiden Vorschriften im Hinblick auf die grundsätzliche Ausrichtung ähnlich sind, liegen im Detail doch gravierende Unterschiede.
§ 109a TKG regelt das Verfahren, das ein Anbieter öffentlich zugänglicher Telekommunikationsdienste befolgen muss, sobald er eine Datenschutzverletzung festgestellt hat. Zunächst hat eine Meldung sowohl gegenüber
der Bundesnetzagentur als auch beim BfDI zu erfolgen.
Die Meldung muss immer – unabhängig von den konkreten Umständen des zu meldenden Vorfalls – erfolgen und
ist im Gegensatz zu § 42a BDSG unbeschränkt, so dass
auch kleinere Vorfälle mit potentiell weniger schweren
Auswirkungen mitgeteilt werden müssen.
Um dieses Verfahren für die meldepflichtigen Unternehmen zu vereinfachen, hat die Bundesnetzagentur in Absprache mit mir Leitlinien erstellt, die das Verfahren erläutern.
Nach der obligatorischen Meldung des Vorfalls muss der
Telekommunikationsanbieter in einem weiteren Schritt
prüfen, ob zusätzlich noch die von der Datenschutzverletzung Betroffenen zu informieren sind. Dies hat immer
dann zu geschehen, wenn Betroffene durch den Vorfall
schwerwiegend in ihren Rechten oder schutzwürdigen Interessen beeinträchtigt sein können. Eine Ausnahme
kommt lediglich dann in Betracht, wenn die betroffenen
Daten durch geeignete technische Vorkehrungen, wie
z. B. ein als sicher anerkanntes Verschlüsselungsverfahren, vor einer unberechtigten Kenntnisnahme geschützt
sind. Schließlich legt § 109a TKG den Unternehmen noch
die Verpflichtung auf, ein Verzeichnis zu führen, in dem
sämtliche meldepflichtigen Vorfälle der letzten fünf Jahre
aufzuführen und Angaben zu den Umständen und Auswirkungen der Verletzungen sowie zu den ergriffenen
Abhilfemaßnahmen festzuhalten sind.
Im Grundsatz befürworte ich die Meldepflicht von Datenschutzvorfällen. Zum einen muss sich das Unternehmen
mit einem Vorfall auseinandersetzen, zum anderen werden die Risiken für die Betroffenen durch entsprechende
Vorschriften transparent und sie können so mit der Situation oft einfacher umgehen. Nicht zuletzt erhalten die Datenschutzaufsichtsbehörden einen besseren Überblick und
Drucksache 17/13000
können bei einer Häufung von Vorfällen bei einem bestimmten Unternehmen ihre Aufsichtstätigkeit zielgerichteter und somit effizienter ausüben.
Allerdings haben sich bei der praktischen Anwendung der
Vorschrift bereits nach kurzer Zeit verschiedene Probleme aufgetan.
Die schwellenlose Meldepflicht soll theoretisch dazu führen, dass sämtliche Datenschutzvorfälle bekannt werden
und aufgearbeitet werden können. Wie sich in der Praxis
allerdings zeigt, ist die Zahl der die Aufsichtsbehörden
erreichenden Mitteilungen bereits nach kürzester Zeit
massiv angestiegen. Zumindest mittelfristig kann möglicherweise eine sinnvolle Bearbeitung der Meldungen
ohne eine massive Aufstockung des zur Verfügung stehenden Personals nicht mehr gewährleistet werden. Weitere Probleme liegen in der teils nicht schlüssigen Formulierung der gesetzlichen Vorgaben. Bereits die Frage,
wann eine Verletzung des Schutzes personenbezogener
Daten vorliegt, birgt Streitpotential. So ist es nach der Legaldefinition einer Datenschutzverletzung in § 3 Nummer 30a TKG zumindest fraglich, ob eine solche überhaupt vorliegen kann, wenn die Daten entsprechend
§ 109a Absatz 1 Satz 3 TKG durch geeignete technische
Vorkehrungen gesichert sind und somit eine unrechtmäßige Verwendung grundsätzlich ausgeschlossen ist.
Würde eine Datenschutzverletzung in diesen Fällen aber
verneint, entfiele zwangsläufig die Meldepflicht an die
Aufsichtsbehörden, was im Widerspruch zu der Gesetzessystematik stünde. Danach soll ja gerade die Aufsichtsbehörde entscheiden, ob die implementierten technischen
Vorkehrungen den Anforderungen genügen und somit
eine Benachrichtigung der Betroffenen entbehrlich machen.
Ich gehe davon aus, dass die praktischen Erfahrungen zur
Optimierung des Verfahrens beitragen können. In enger
Zusammenarbeit mit der Bundesnetzagentur werde ich
auf nationaler und auf europäischer Ebene an Lösungsvorschlägen arbeiten, die zu einer besseren Umsetzbarkeit der gesetzlichen Vorgaben beitragen. Einzelne Projekte sind bereits angelaufen. So habe ich mit der
Bundesnetzagentur einen Meldebogen entworfen, der den
meldepflichtigen Unternehmen über die Websites der Behörden zur Verfügung gestellt wird und somit das Meldeverfahren vereinfacht. Ebenso beteilige ich mich an einem Projekt, bei dem die Artikel-29-Gruppe zusammen
mit der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) ein Verfahren zur Bestimmung der
Schwere von Datenschutzverstößen entwickelt (vgl.
Nr. 2.4.4). Bereits im Zusammenhang mit der Meldung
soll ersichtlich werden, wie gravierend ein Datenschutzvorfall tatsächlich ist und somit – gerade aufgrund der zu
erwartenden großen Anzahl von eingehenden Meldungen –
den Aufsichtsbehörden ein Mittel zur Priorisierung der
Bearbeitung an die Hand geben.
3.6
Was lange währt, wird nicht immer gut –
Stiftung Datenschutz
Lange hat die Bundesregierung um die Konzeption der
Stiftung Datenschutz gerungen – das Ergebnis ist enttäu-
BfDI 24. Tätigkeitsbericht 2011-2012