Firmen melden 65 Datenpannen in NRW

Marvin Oppong (Mitarbeit: David Fischer)
Nach dem Bundesdatenschutzgesetz müssen von einer Datenpanne betroffene Unternehmen Kunden unverzüglich darüber informieren.
Nach dem Bundesdatenschutzgesetz müssen von einer Datenpanne betroffene Unternehmen Kunden unverzüglich darüber informieren.
Foto: dpa
Seit einiger Zeit müssen Unternehmen Datenpannen anmelden. Nun liegt eine Auflistung aller Fälle vor, die es in den letzten zweieinhalb Jahren in Nordrhein-Westfalen gab. Experten schätzen allerdings die Dunkelziffer hoch ein - vor allem Firmen ist es unangenehm, Kunden über solche Pannen in Kenntnis zu setzen.

Essen. Mal ging ein USB-Stick verloren, mal wurde ein Aktenkoffer mit tausenden Kundendaten geklaut oder Bankkartendaten durch sogenanntes Skimming ausgespäht: Datenpannen in Unternehmen oder öffentlichen Behörden kommen entweder durch Schlampereien oder gezielten Diebstählen durch Kriminelle zustande. Zwischen dem 29. Februar 2011 und dem 24. Juli 2013 gingen beim Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen insgesamt 65 solcher Meldungen ein (Tabelle). In einem Fall waren im April durch einen „Hackerangriff“ auf einen „Server“ insgesamt „66.175“ Personen betroffen. Erbeutet wurden dabei Kreditkartendaten, Anschriften und Telefonnummern und E-Mail-Adressen.

In einem anderen Fall kam es bei einem in NRW ansässigen Unternehmen zu einem internen Diebstahl von Kundenadressdaten. Die Daten wurden an ein Konkurrenzunternehmen weitergegeben und missbräuchlich für Werbung für medizinische Produkte verwendet. Anzahl der Betroffenen: „ca. 25.000“. Die Betroffenen des Vorfalls, der sich im August 2011 ereignete, wurden der Auflistung zufolge bis heute nicht über die Datenpanne informiert und wissen höchstwahrscheinlich nicht, dass ihre Daten in fremde Hände gelangt sind.

Neue Regelung soll für Transparenz in Datenschutzangelegenheiten sorgen

Als Reaktion auf verschiedene Datenskandale fügte der Gesetzgeber im Jahr 2009 einen neuen Paragrafen in das Bundesdatenschutzgesetz ein. Dieser besagt, dass sogenannte nichtöffentliche Stellen, worunter auch Unternehmen fallen, unverzüglich der zuständigen Datenschutzbehörde Meldung machen müssen, wenn personenbezogene Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangen und dadurch „schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen“ drohen.

Die Regelung soll vor allem der Transparenz in Datenschutzangelegenheiten dienen, weitere Schäden zu verhindern und Unternehmen motivieren, Kundendaten ausreichend zu sichern. Im Zeitraum vom 1. September 2009 bis zum 28. Februar 2011 waren bei der NRW-Datenschutzbehörde lediglich 14 Fälle gemeldet worden. Das entspricht in Bezug auf die neue Zahl umgerechnet einer Steigerung von rund 35 Prozent an gemeldeten Datenpannen.

Betroffene Leser können sich bei der WAZ melden

Auch auf mehrfache Nachfrage wollte der Landesdatenschutzbeauftragte nicht mitteilen, welche Unternehmen die 65 neuen Fälle jeweils betreffen. Würden die Namen dieser nichtöffentlichen Stellen genannt, dürften sie „eine Rufschädigung befürchten“, teilte ein Sprecher mit. Dies könne dazu führen, dass Unternehmen sich künftig nicht mehr mit Meldungen über Datenpannen „an die Aufsichtsbehörde wenden“.

Unternehmen müssen Kunden über Datenpannen informieren

Nach dem Bundesdatenschutzgesetz müssen von einer Datenpanne betroffene Unternehmen ihre Kunden eigentlich unverzüglich darüber informieren - was aber mutmaßlich mehrfach nicht geschehen ist. Denn Unternehmen können das Datenschutzgesetz, wonach gemeldet werden muss, wenn eine „schwerwiegende Beeinträchtigung“ droht, in ihrem Sinne auslegen.

Ein Schwachpunkt der neuen Regelung ist zudem, dass öffentliche Stellen – anders als Unternehmen – ihre Datenpannen nicht melden müssen. Wie groß die Dunkelziffer von nicht gemeldeten Datenpannen ist, lässt sich nicht abschätzen. Der NRW-Datenschutzbeauftragte Ulrich Lepper vermutete im vergangenen Jahr, dass die gemeldeten Datenverluste nur die „Spitze des Eisbergs“ seien. So werden etwa viele Skimming-Fälle nicht gemeldet. Nach Auskunft des Landeskriminalamtes gab es im Jahr 2012 insgesamt 212 und in diesem Jahr 111 Skimming-Fälle in NRW. Von diesen Fällen wurden aber lediglich zwei der Datenschutzbehörde gemeldet.

Oft fürchten Unternehmen negative Schlagzeilen, wenn bekannt wird, dass sich in ihrem Haus eine Datenpanne zugetragen hat. Bankenverbände haben versucht, die Schwelle für Datenpannen-Meldungen heraufzusetzen.