Seit 2009 müssen Unternehmen Datenlecks melden. Laut Statistik werden jedes Jahr mehr Vorfälle gemeldet: Nach Auskunft der Bundesdatenschutzbeauftragten gab es von September 2009 bis Februar 2011 insgesamt 135 Meldungen, vom März 2011 bis Oktober 2013 waren es 501. Dabei meldeten Unternehmen auch dann Datenlecks, wenn gar keine Meldepflicht bestand. Die Meldepflicht wurde nur in 314 Fällen bejaht. Spitzenreiter war in diesem Zeitraum Hessen mit 111 Meldungen, gefolgt von Hamburg mit 77 und Nordrhein-Westfalen mit 74.
Eine Nachfrage bei der Bundesnetzagentur ergab eine ähnliche Tendenz bei den Telekommunikationsdienstleistungen. Für die zweite Jahreshälfte 2012 wurden 27 Datenpannen gemeldet, 2013 waren es 66 Fälle und in diesem Jahr bereits 32. Die betroffenen Kunden dürften davon aber oft nichts mitbekommen haben. Sie müssen nämlich nicht benachrichtigt werden, wenn der Betreiber ein Schutzkonzept eingeführt hat.
Bußgelder von bis zu 300.000 Euro vorgesehen
Hintergrund ist eine gesetzliche Verschärfung aus den Jahren 2009 und 2012: Melden Unternehmen Datenpannen nicht unverzüglich an die Behörden, müssen sie laut Paragraf 42a Bundesdatenschutzgesetz seit 2009 mit Bußgeldern von bis zu 300.000 Euro rechnen. Bietet ein Unternehmen Telekommunikationsdienstleistungen an, dazu gehören auch E-Mail-Dienste, unterliegen sie dem Telekommunikationsgesetz. Hier ist seit 2012 der Paragraf 109a entscheidend.
Der merkwürdige Umstand ist nur: Die Zahl der gemeldeten Pannen nahm in den vergangenen Jahren deutlich zu, doch ein Bußgeld wurde noch nie verhängt. Aus den Ländern sind Bußgelder der Bundesdatenschutzbeauftragten nicht bekannt, auch die Bundesnetzagentur verneint dies.
Erst vor kurzem wurde der Fall des E-Mail-Dienstes AOL bekannt: Eine Sicherheitslücke führte dazu, dass ein Spam-Versender AOL-Mailadressen missbrauchte. AOL räumte erst danach ein, dass sich Unbekannte Zugriff auf zwei Prozent der Nutzerdaten verschafft hatten. Offenbar hat das Unternehmen das Datenleck nicht umgehend an die Behörden gemeldet. Vielleicht war es ihm aber auch erst nach den Presseveröffentlichungen aufgefallen. Die Bundesnetzagentur konnte jedenfalls eine Meldung der Datenpanne nicht bestätigen. Eine Sprecherin wies aber auch darauf hin, dass zu Einzelfällen grundsätzlich keine Auskunft gegeben werde.
Bei Zuständigkeit im eigenen Hause wären längst Bußgelder verhängt worden
Die Bundesdatenschutzbeauftragte Andrea Voßhoff macht der Umstand, dass noch nie Bußgelder verhängt wurden, jedenfalls misstrauisch. Sie deutete gegenüber Golem.de an, dass bei Zuständigkeit im eigenen Hause längst Bußgelder verhängt worden wären. Sie sagte: "Aufgrund der Doppelstrukturen kann es in datenschutzrechtlichen Fällen zu unterschiedlichen Bewertungen zwischen Bundesnetzagentur und BfDI kommen: Wo wir ein problematisches Verhalten erkennen, kann die Bundesnetzagentur möglicherweise kein Fehlverhalten erkennen." Ihr Sprecher ergänzt: "Entsprechend ist es auch nicht verwunderlich, dass die Behörde bislang auch keine Bußgelder verhängt hat."
Dass die Bundesnetzagentur in einem so zentralen Bereich wie der Telekommunikation für Verhängung von Bußgeldern bei Datenpannen zuständig ist, ist Voßhoff denn auch ein Dorn im Auge. Sie sagt: "Wir fordern schon seit Jahren im Telekommunikations- und Postbereich wirksame Befugnisse zur Durchsetzung des Datenschutzrechts wie sie die Datenschutzaufsichtsbehörden in den Ländern gegenüber der übrigen Privatwirtschaft seit Jahren haben. Dazu gehört auch die Verhängung von Bußgeldern. Bislang hat die Politik diese Forderung aber nicht aufgegriffen."
Auch in der Wirtschaft stößt die unterschiedliche Regelung der Benachrichtigungspflicht bei Datenpannen auf Kritik. Bei einem Workshop des Internetprovider-Verbandes Eco wurde bereits 2012 kritisiert, dass die deutsche Rechtslage durch unterschiedliche Regelungen im Telekommunikations- und Bundesdatenschutzgesetz nicht deutlich genug sei.
