Dr. Andreas Leupold LL. M. (UT)
Leupold Legal
Deutsch
English
Dr. Andreas Leupold LL. M. (UT)
Rechtsanwalt | Wirtschaftsmediator
Best Lawyers® 2023 Germany

Datenleck bei der Europäischen Zentralbank

24. Juli 2014

Hacker sind in eine Datenbank der Europäischen Zentralbank (EZB) in Frankfurt am Main eingedrungen und haben sich Zugang zu etwa 20.000 E-Mail-Adressen sowie in einigen Fällen Telefonnummern oder Post-Anschriften verschafft. Kontodaten sind davon nicht betroffen, unter den nur teilweise verschlüsselten Daten befanden sich u.a. die Namen und Anschriften von Konferenzteilnehmern. Bemerkt wurde der Vorfall erst, als die Täter versuchten die Bank zu erpressen (siehe http://www.tagesschau.de/inland/ezb-datendiebstahl-100.html). Obwohl keine sensiblen Daten kompromittiert wurden, darf die Bedeutung des unbefugten Datenzugriffs nicht unterschätzt werden. Gemäß Art. 4 der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, ABl. Nr. L 201 S. 37, abrufbar unter http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:de:PDF) muss der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit seiner Dienste zu gewährleisten; diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der Kosten ihrer Durchführung ein Sicherheitsniveau gewährleisten, dass angesichts des bestehenden Risikos angemessen ist. In jedem Fall ist zu sicherzustellen, dass nur dazu ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten erhalten. Im Fall einer Verletzung des Schutzes personenbezogener Daten hat der Betreiber die zuständige Aufsichtsbehörde von der Verletzung zu informieren und die Betroffenen zu benachrichtigen.

Auch der vom EU-Parlament angenommene, aktuelle Entwurf  einer Datengrundschutzverordnung, (abrufbar unter http://www.janalbrecht.eu/themen/datenschutz-und-netzpolitik/alles-wichtige-zur-datenschutzreform.html) sieht in Art. 30-32 ganz ähnliche Datensicherungs- und Meldepflichten Pflichten vor, die allerdings noch wesentlich detaillierter ausgestaltet sind und deren Nichteinhaltung mit Geldbußen bis zu 100 Millionen Euro belegt ist. Unternehmen und  Behörden sind schon jetzt gehalten, ein sog. Incident Reporting System  vorzuhalten, mit dem ungewollte Datenabflüsse wie bei der EZB erkannt werden können.  Für die Vorstände von Aktiengesellschaften ergibt sich dies auch aus § 91 Aktiengesetz, der sie dazu verpflichtet, geeignete Maßnahmen zu treffen und insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Vorstände, die diese Pflicht verletzen, sind der Gesellschaft nach § 93 Abs. 2 AktG zum Ersatz des daraus entstehenden Schadens verpflichtet, haften also persönlich.

Da heute jedes Unternehmen mit personenbezogenen (Kunden-)Daten arbeitet und die in §§ 91 Abs. 2, 93  AktG festgeschriebenen Sorgfaltspflichten auch auf GmbH- Geschäftsführer angewandt werden, ist die Einrichtung geeigneter Schutzeinrichtungen und eines Incident Reporting Systems aber auch für KMU´s  Chefsache und gehört mit Providern und anderen Dienstleistern vertraglich abgesichert.

 

Zurück zur Übersicht

TOP