Christian Regnery

Datenleck beim Zoll: Forderung nach Security Breach Notice für Behörden


Das aktuelle Datenleck beim Deutschen Zoll lässt Rufe nach einer Informationspflicht für Behörden lauter werden. So forderte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Peter Schaar (MMR-Aktuell 2011, 320600), die Informationspflicht von Privatunternehmen bei Datenlecks gem. § 42a BDSG nunmehr auch auf Behörden auszuweiten.

In diesem Sinne hatten bereits nach der Einführung des § 42a BDSG zahlreiche Stimmen eine Erstreckung der Regelung auf den öffentlichen Bereich als sachgerecht gefordert (Dix, in: Simitis, BDSG, 7. Aufl. 2011, § 42a BDSG Rdnr. 2; Hornung, NJW 2010, 1841 f.; Gabel, in: Taeger/Gabel, Komm. zum BDSG und den einschlägigen Vorschriften des TMG und TKG, § 42a BDSG Rdnr. 10). Nachfolgend sollen die bisherigen Regelungen in diesem Bereich sowie Möglichkeiten einer Erweiterung erörtert werden.

 

1. Hintergrund: Aktuelles Datenleck beim Deutschen Zoll

In der Nacht zum 8.7.2011 veröffentlichte eine Gruppe, Eigenbezeichnung „NoName-Crew“ Daten der Polizei und Zollbehörden im Internet, die zuvor über Monate auf den Behördenservern ausgespäht worden waren. Der genaue Umfang ist derzeit noch unklar, da die Hacker naturgemäß anonym agieren und Interviews mit angeblich verantwortlichen Personen nicht verifizierbar sind. Jedenfalls wurde seitens der sog. „NN-Crew“ Aussagen, etwa über das Portal gulli.com bekannt, dass der Veröffentlichung noch weitere Veröffentlichungen drohen.

 

Über mehrere Monate sollen unbemerkt über Trojaner, Daten der Behörden abgeschöpft worden sein.  Bei den Daten handelt es sich nach Auskunft von Spiegel-Online u.a. um Bewegungsprofile aus dem Observationssystem Patras, mit dem die Daten von GPS-Peilsendern ausgewertet werden. Nach Bekanntgabe des Datenlecks nahm die Bundespolizei den Server offline und warnte intern die Nutzer. Eine Warnung der betroffenen Personen oder aktive Veröffentlichung des Datenlecks erfolgte nicht.

 

2. Gesetzliche Regelung zu Informationspflichten bei Datenlecks

In Deutschland gibt es verschieden Normen, die Informationspflichten bei Datenlecks regeln. Diese Regelungen unterscheiden sich sowohl in Bezug auf den Adressaten als auch in den Voraussetzungen und Rechtsfolgen. So werden teilweise Behörden mit Privatunternehmen gleichgestellt, mal finden sich Bußgeldtatbestände, mal fehlen gesetzliche Konsequenzen bei Zuwiderhandlung. Neben dem § 42a BDSG finden sich Regelungen auch in Spezialgesetze § 93 TKG, § 15a TMG, § 83a SGB X. Die Landesdatenschutzgesetze nehmen im Wesentlichen auf § 42a BDSG Bezug. Nur die Landesdatenschutzgesetze der Länder Berlin in § 18a Bln-DSG, Rheinland-Pfalz in § 18a DS-RLP und Mecklenburg-Vorpommern in § 23 DSG-MV haben derzeit eigene Regelungen.

 

a)  § 42a BDSG

Seit 2009 sind auch in Deutschland Privatunternehmen gem. § 42a BDSG dazu verpflichtet, bei Datenlecks sowohl die Aufsichtsbeho?rde als auch die Betroffenen zu benachrichtigen, wenn bestimmte personenbezogene Daten Dritten unrechtma?ßig zur Kenntnis gelangen und dadurch eine schwerwiegende Beeintra?chtigung droht. Die Vorschrift soll helfen, Folgeschäden von Datenpannen zu vermeiden bzw. zu minimieren, und verfolgt daneben präventive Zwecke (Gola/Schomerus, BDSG, 10. Aufl. 2010, § 42a Rdnr. 1). Durch die Pflicht zur Veröffentlichung des Datenlecks gem. § 42a Satz 5,  ggf. durch halbseitige Anzeige in zwei bundesweit erscheinenden Tageszeitungen sowie einer hohen Bußgeldbewehrung bei Zuwiderhandlung gem. §§ 42a, 43 Abs. 2 Nr. 7, Abs. 3 BDSG von bis zu € 300.000,- oder darüber hinaus, wird ein starker Anreiz für die Geschäftsführung geschaffen, die Datensicherheit im Unternehmen zu erhöhen. Behörden, wie etwa Finanz-, Sozial- oder Polizeibehörden, sind von der Vorschrift allerdings ausgenommen. Lediglich öffentlich-rechtliche Wettbewerbsunternehmen i.S.d. § 27 Abs. 1 Satz 1 Nr. 2 werden von der Informationspflicht erfasst.

Öffentliche Stellen nehmen dann am Wettbewerb teil, wenn sie Leistungen erbringen, die auch von privaten Anbietern erbracht werden können und die öffentliche Stelle keine rechtliche Monopolstellung als Anbieter einnimmt (Bergmann/Möhrle/Herb, Datenschutzrecht, § 27 BDSG Rdnr. 6). Hierunter fallen etwa Unternehmen im Bereich der Kredit- und Versicherungswirtschaft, Verkehrs- und Versorgungsunternehmen (Gola/Schomerus, a.a.O., § 27 BDSG Rdnr. 7).

 

b) § 15a TMG, § 93 TKG

Ebenfalls eine Sonderregelung für Publizitätspflichten bei Datenlecks enthalten die Regelungen der § 15a TMG, § 93 TKG. Diese machen zwar keinen Unterschied zwischen Art der Stelle, umfassen mithin grundsätzlich auch Behörden. Allerdings enthalten weder das TMG noch das TKG eine dem § 42a, § 43 BDSG entsprechende Sanktionsmöglichkeit, was als systemwidrig angesehen wird (Holländer, RDV 2009, 215 ff., 221).

 

c) § 83a SGB X

Eine spezialgesetzliche Regelung für Sozialdaten enthält der neugefasste § 83a SGB X. Dieser bestimmt für Sozialbehörden eine Informationspflicht bei Datenlecks in Bezug auf besondere Arten personenbezogener Daten i.S.d. § 67 Abs. 12 SGB X, also Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben i.S.d. § 3 Abs. 9 BDSG. Anders als § 42a BDSG beschränkt sich die Norm zwar auf eine bestimmte Datenart  und erfasst somit nicht andere sensible Daten gem. § 42a Abs. 1 Nr. 2-4 BDSG, also Daten, die einem Berufsgeheimnis unterliegen; Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder deren Verdacht beziehen; Daten zu Bank- oder Kreditkartenkonten. Allerdings ist ein Verstoß gegen die Informationspflichten wie in §§ 42a, 43 BDSG bußgeldbewehrt.

 

d) Landesgesetzliche Regelungen

Spezielle landesgesetzliche Regelungen finden sich in Berlin, § 18a Bln-DSG, Rheinland-Pfalz, § 18a DS-RLP und Mecklenburg-Vorpommern, § 23 DSG-MV. Während § 23 DSG-MV nur eine allgemeine Benachrichtigungspflicht regelt, beinhalten § 18a Bln-DSG und § 18a  DSG-RLP teils detaillierte Anforderungen an Behörden bei Datenpannen. 

 

Anders als § 18a Bln-DSG, der sich an der bundesgesetzlichen Regelung orientiert und eine Ausnahme von der Informationspflicht allein zum Zweck der Strafverfolgung macht, lässt § 18a Abs. 2 Satz 4 DSG-RLP zahlreiche Ausnahmen zu. So ist mit der Bezugnahme auf § 18 Abs. 5 DSG-RLP etwa möglich, dass eine Auskunft unterbleibt, soweit

  • die Auskunft die ordnungsgemäße Erfüllung der Aufgaben der Behörde gefährden würde;
  • die Auskunft die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde oder
  • die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach geheimgehalten werden müssen.

Ein solcher Verweis auf allgemeine Bestimmungen des Datenschutzrechts findet sich im Bln-DSG zwar nicht. Allerdings findet sich auch hier, wie in den anderen landesrechtlichen Normen kein eigener Bußgeldtatbestand bei Zuwiderhandlung, vergleichbar mit den §§ 42a, 43 BDSG oder §§ 83a, 85 SGB X.

 

e) Verfassungsrechtliche Verpflichtung

Teile der Literatur wollen, unabhängig von den einfach-gesetzlichen Regelungen, eine Informationspflicht der Behörden aus dem Rechtsstaatsprinzip i.V.m. den Grundrechten der Betroffenen herleiten (Gabel, a.a.O., Rdnr. 10; Albrecht, DSB 9/2010, 15 f.). Auch wenn die Argumentation überzeugen mag (zustimmend Dix, a.a.O.) ist dieser Weg für den betroffenen Bürger  aber wenig praxisgerecht und kann nicht zur Lösung der vorliegenden Frage beitragen.

 

f) Zusammenfassung

Zusammenfassend lässt sich sagen, dass keine stringente einheitliche Systematik zum Problem der behördlichen Informationspflicht auf Bundes- und Landesebene existiert, partielle Regelungen von Informationspflichten für Behörden aber bestehen und mithin eine Ausweitung des § 42a BDSG nicht systemwidrig wäre.

 

 

3. Argumente für eine Ausweitung auf Behörden

a) Schutzzweck

Zunächst einmal stellt sich die Frage, warum angesichts der Bedeutung von Datenpannen bei Behörden diese von der Regelung des § 42a BDSG überhaupt ausgenommen sind (zutreffend Hornung, a.a.O.). Ausgehend vom Schutzzweck der Norm kann es keinen Unterschied machen, ob die Daten von einer privaten Stelle oder einer Behörde erhoben worden sind. In beiden Fallgestaltungen wurden besonders sensible Daten durch ein Datenleck in der Sphäre der verantwortlichen Stellen ohne Wissen und entgegen dem  erkennbaren Willen der Betroffenen Dritten bekannt gemacht. Behörden mit ihren weitgehenden gesetzlichen Befugnissen zur Datenerhebung erfordern im Gegenteil eine besonders hohe Kontrolle. Denn während Privatunternehmen oft (nur) Kontakt- und Bankdaten speichern, handelt es sich bei Behördendaten regelmäßig um hochsensible Daten wie etwa Sozialdaten, Steuerdaten, Familiendaten, Daten zu Vorstrafen und behördlichen Verfahren etc.  

 

b) Rechtseinheitlichkeit

Zudem erscheint die bisherige Herausnahme aus dem § 42a BDSG oder den Landesdatenschutzgesetzen umso systemwidriger, da es im Bereich von TMG und TKG keine solche Beschränkung auf Privatunternehmen gibt. Hier werden alle Diensteanbieter nach § 15a TMG i.V.m. § 2 Satz 1 Nr. 1 TMG und § 93 TKG i.V.m. § 3 Nr. 6 TKG verpflichtet. Erfasst sind alle öffentlichen Stellen, sofern sie Telemedien oder TK-Dienste erbringen, also insbesondere alle Internetportale der öffentlichen Verwaltung. Auch die Aufnahme der Informationspflichten für Sozialbehörden gem. § 83a SGB X zeigt, dass eine bundesweite bußgeldbewehrte Regelung für Behörden durchaus möglich ist.

 

c) Anleitung zur Nachahmung

  • Gegen eine Ausweitung des § 42a BDSG könnte angeführt werden, dass durch eine weitgehende Informationspflicht die Gefahr besteht, dass auch Rückschlüsse auf bestehende Sicherheitslücken ermöglicht würden und ggf. Nachahmer oder andere Dritte auf diese Weise technisches Know-how über die konkreten technischen Datenlücken bei der Behörde erlangen könnten. 
  • Dem muss man aber entgegnen, dass der Staat, der vertrauliche Daten seiner Bürger verwaltet, wohl kaum die eigene Unzulänglichkeit als Argument anführen kann, Betroffenen die Informationen zum fehlerhaften Umgang mit ihren Daten zu verweigern. Denn das Datenleck ist ja in der Sphäre der Behörde entstanden. Allein sie kann darauf hinwirken, dass ein solches Datenleck nicht entsteht. Zudem ist die Behörde bei Datenlecks ohnehin gehalten, die bestehenden Lücken schnellstmöglich zu schließen, um weiteren Schaden abzuwenden.   
  • Zudem wären solche Bedenken insofern unbegründet, als auch nach dem jetzigen § 42a BDSG keine konkrete Angabe zum technischen Hintergrund erforderlich ist. Es muss gem. § 42a Satz 3 BDSG vielmehr „eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten“. Weitergehende Informationen, etwa wie bestehende technisch-organisatorische Maßnahmen umgangen worden sind, brauchen nicht zu erfolgen.

 

d) Öffentliche Interessen vs. Informationspflichten

  • Hauptargument gegen eine Ausweitung des § 42a BDSG ist, dass der Staat bestimmte Aufgabenbereiche auch im Geheimen wahrnehmen können muss. So könnte im aktuellen Fall eine Informationspflicht des Zolls bzw. der Bundespolizei die betroffenen Personen warnen und erstmals darüber informieren, dass gegen sie ermittelt wird. Auch andere Fallgestaltungen sind denkbar, in denen ein rechtsstaatlich fundiertes Geheimhaltungsinteresse einer umfassenden Informationspflicht  entgegenstehen kann.  
  • In diesem Sinne regeln ja bereits § 19 Abs. 3 und 4 BDSG im Rahmen des allgemeinen Auskunftsanspruchs, dass die Auskunft der Behörden an den Betroffen unterbleiben kann, sofern aus Gründen der öffentlichen Sicherheit bzw. zur Erfüllung öffentlicher Zwecke das Interesse des Betroffenen zurücktreten muss. Allerdings folgt selbst aus dieser Regelung nicht, dass überhaupt keine Auskunft erteilt werden muss. Denn selbst wenn eine Auskunft seitens der Behörde verweigert werden kann, so hat gem. § 19 Abs. 6 BDSG in der Regel auf Verlangen der betroffenen Person zumindest eine Auskunft an den BfDI zu erfolgen. So ist ein Mindestmaß an Kontrolle gewährleistet.  
  • Ob diese Regelung bei einer Neuregelung des § 42a BDSG überhaupt auf die behördliche Informationspflicht übertragen werden müsste, wie dies etwa in Rheinland-Pfalz mit § 18a Abs. 2 Satz  4 DSG-RLP i.V.m. § 18 Abs. 5 DSG-RLP geschieht, kann bezweifelt werden. Denn bereits heute nennt § 42a BDSG das Interesse an der wirksamen Strafverfolgung als Ausnahmetatbestand für eine umfassende und unverzügliche Information des Betroffenen.  In der Regel werden keine weitergehenden öffentlichen Interessen einschlägig sein, da der Staat ohnehin nur in begrenztem Maße und nur unter besonders engen Voraussetzungen geheimdienstlich tätig sein kann. Diesen Gedanken hat auch § 18a Bln-DSG aufgenommen, der anderes als die Regelung in Rheinland-Pfalz keine weiteren Ausnahmetatbestände als die Strafverfolgung zulässt.  
  • Selbst wenn man unterstellt, dass Geheimhaltungsinteressen der Behörden eine Auskunft an den Betroffenen ausschließen, so spricht dies jedenfalls nicht gegen eine Auskunft an den BfDI als neutrale Kontrollinstanz, wie sie heute bereits in § 19 Abs. 6 BDSG vorgesehen ist. Zudem können Geheimhaltungsinteressen nicht gegen eine Bußgeldbewehrung ins Feld geführt werden. Im Gegenteil hat sich die Bußgelddrohung als wirksames Mittel bewährt, die verantwortlichen Stellen zur Verbesserung der Datensicherheit zu motivieren.

 

4. Wertung und Ausblick

Die Herausnahme der Behörden aus § 42a BDSG scheint wenig sachgerecht, da es für die Betroffenen keinen Unterschied macht, ob die abhanden gekommen Daten von einer privaten Stelle oder einer Behörde stammen. Im Gegenteil werden die Daten der Behörde meist sensibler sein als Daten von privaten Unternehmen.

 

Soweit bisher Landesgesetze diesen Bereich regeln, geschieht dies nur unzureichend, da zu weite Ausnahmetatbestände bestehen und keine Sanktion durch Bußgeldbewehrung besteht. Eine Neureglung des § 42a BDSG ist dringend nötig und systemgerecht. Eine Neuregelung bzw. neue spezialgesetzliche Regelungen für einzelne Verwaltungsbereiche sollten sich am bisherigen § 42a BDSG orientieren und wie die Regelung zur Sozialdatenverwaltung in §§ 83a, 85 SGB X klare Bußgeldsanktionen mit wenig Ausnahmetatbeständen schaffen. Nur so kann man dem Interesse der Betroffenen gerecht werden und die Behörden können nachhaltig zur Verbesserung ihrer technisch-organisatorischen Maßnahmen bewegt werden. 

 

Christian Regnery, LL.M. ist Rechtsanwalt und Fachanwalt für IT-Recht, Consultant für Datenschutz und IT-Compliance bei der intersoft consulting services AG in Hamburg.