Navigation und Service

Da­ten­si­cher­heit - § 109a TKG

Benachrichtigungspflichten im Fall einer Verletzung des Schutzes personenbezogener Daten

Die Verpflichtung zur Meldung ergibt sich aus § 109a Telekommunikationsgesetz (TKG). Diese Regelung dient zum großen Teil der Umsetzung von Artikel 4 der geänderten Datenschutzrichtlinie für die elektronische Kommunikation (Richtlinie 2009/136/EG zur Änderung der Richtlinie 2002/58/EG).

1. Anwendungsbereich

Verpflichteter nach § 109a Abs. 1 TKG ist, wer öffentlich zugängliche Telekommunikationsdienste erbringt.

Der sachliche Anwendungsbereich ist beschrieben mit der "Verletzung des Schutzes personenbezogener Daten". Dieser Begriff wird in § 3 Nr. 30a TKG gesetzlich definiert. Eine "Verletzung des Schutzes personenbezogener Daten" ist danach eine Verletzung der Datensicherheit, die zum Verlust, zur unrechtmäßigen Löschung, Veränderung, Speicherung, Weitergabe oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher Telekommunikationsdienste verarbeitet werden, sowie der unrechtmäßige Zugang zu diesen. Damit ist der Anwendungsbereich nicht auf Bestands- und Verkehrsdaten beschränkt.

Seit dem 25. Mai 2018 ist in diesem Zusammenhang auch die Datenschutz-Grundverordnung (DSGVO) zu beachten, die eigene Meldepflichten gegenüber der für den Datenschutz zuständigen Aufsichtsbehörde vorsieht (Art. 33 DSGVO). Soweit Unternehmen personenbezogene Daten für die geschäftsmäßige Erbringung von Telekommunikationsdiensten verarbeiten, liegt die Zuständigkeit für Meldungen nach Art. 33 DSGVO ausschließlich bei der BfDI (§ 115 Abs. 4 S. 1 TKG). Bei Meldungen von Datenschutzverletzungen ist deshalb zu differenzieren, ob es sich um Meldungen nach § 109a TKG handelt, die gegenüber der Bundesnetzagentur und der BfDI zu melden sind, oder um solche nach Art. 33 DSGVO, die nur der BfDI zu melden sind.

Die Meldepflicht nach Art. 33 DSGVO ist dann anwendbar, wenn das auf den gemeldeten Verstoß anwendbare Recht die DSGVO ist. Dies ist der Fall bei allgemeinen personenbezogenen Daten natürlicher Personen, insbesondere Bestandsdaten, hinsichtlich derer das TKG keine in Umsetzung der ePrivacy-Richtlinie (2002/58/EG) erlassenen bereichsspezifischen Datenschutzregelungen enthält (vgl. Art. 95 DSGVO). In Mischfällen, bei denen durch denselben Lebenssachverhalt neben der DSGVO auch die der ePrivacy-Richtlinie dienenden Datenschutzregelungen des TKG verletzt wurden, braucht nur nach § 109a TKG gemeldet zu werden.

Weitere Informationen zur Meldepflicht sowie ein Meldeformular für Meldungen nach Art. 33 DSGVO werden auf dem Internetauftritt der BfDI bereitgestellt.

Im Folgenden wird ausschließlich auf die Meldungen nach § 109a TKG eingegangen.

Zur Meldung einer Datenschutzverletzung nach § 109a TKG verwenden Sie bitte das mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) abgestimmte Meldeformular.
Meldeformular (pdf / 317 KB)

Erläuterungen zu dessen Verwendung finden Sie in den ebenfalls mit der BfDI erarbeiteten Leitlinien.
Leitlinien zur Melde- bzw. Benachrichtigungspflicht nach § 109a TKG (pdf / 86 KB)

2. Benachrichtigungspflicht

2.1 Zweistufige Informationspflicht

§ 109a TKG enthält eine zweistufige Informationspflicht des Diensteanbieters, die von der Gefährdung für den Betroffenen abhängt.

  • 1. Stufe: Verletzung des Schutzes personenbezogener Daten (§ 109a Abs. 1 S. 1 TKG)

Im Fall einer Verletzung des Schutzes personenbezogener Daten sind in jedem Fall unverzüglich die Bundesnetzagentur und die BfDI zu benachrichtigen.

  • 2. Stufe: Verletzung des Schutzes personenbezogener Daten plus schwerwiegende Beeinträchtigung (§ 109a Abs. 1 S. 2 TKG)

Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten ein Teilnehmer oder andere Personen schwerwiegend in ihren Rechten oder schutzwürdigen Interessen beeinträchtigt werden, hat der Diensteanbieter zusätzlich auch diese Betroffenen unverzüglich zu benachrichtigen.

2.2 Ausnahme

Bei Nachweis geeigneter technischer Schutzmaßnahmen (§ 109a Abs. 1 S. 3 TKG) kann die Benachrichtigung der Betroffenen unterbleiben.
Unabhängig von der Ausnahme von der Pflicht zur Benachrichtigung des Betroffenen in Satz 3 kann die Bundesnetzagentur den Anbieter des Telekommunikationsdienstes unter Berücksichtigung der wahrscheinlichen nachteiligen Auswirkungen der Verletzung des Schutzes personenbezogener Daten zu einer Benachrichtigung der Betroffenen verpflichten.
Anders als die Benachrichtigung der Betroffenen hat die Meldung eines Vorfalls gegenüber Bundesnetzagentur und BfDI stets zu erfolgen, unabhängig davon ob und wie die betroffenen Daten gegen einen unberechtigten Zugriff gesichert sind. Das Unterlassen einer Meldung an die Aufsichtsbehörden kann eine Ordnungswidrigkeit i.S.d. § 149 Abs. 1 Nr. 21b TKG darstellen, die mit einem Bußgeld bis 100.000 € bedroht ist.

3. Mindestinhalt der Benachrichtigung

Die inhaltlichen Mindestanforderungen für die Benachrichtigung an die Betroffenen sowie an die Bundesnetzagentur und die BfDI sind in § 109a Abs. 2 TKG wie folgt festgelegt:

1.die Art der Verletzung des Schutzes personenbezogener Daten,
2.Angaben zu den Kontaktstellen, bei denen weitere Informationen erhältlich sind,
3.Empfehlungen zu Maßnahmen, die mögliche nachteilige Auswirkungen der Verletzung des Schutzes personenbezogener Daten begrenzen.
Die Bundesnetzagentur und die BfDI sind zusätzlich über Folgen der Verletzung des Schutzes personenbezogener Daten und die in diesem Zusammenhang beabsichtigten und ergriffenen Maßnahmen zu informieren.

4. Benachrichtigungsfrist

Ein meldepflichtiger Vorfall muss innerhalb von 24 Stunden nach Feststellung der Datenschutzverletzung gemeldet werden. Eine Datenschutzverletzung gilt als festgestellt, sobald der Diensteanbieter vom Auftreten einer Sicherheitsverletzung, die zu einer Verletzung des Schutzes personenbezogener Daten geführt hat, hinreichende Kenntnis erlangt hat.
Da nicht auszuschließen ist, dass zu diesem frühen Zeitpunkt noch nicht alle Informationen für eine vollständige Meldung zur Verfügung stehen, können solche Details als „bisher unbekannt“ zunächst noch offen bleiben. Eine Nachmeldung der noch offenen Punkte muss so schnell wie möglich, jedenfalls aber innerhalb von drei Tagen nach der ersten Meldung erfolgen. Sofern auch diese Zeitvorgabe nicht eingehalten werden kann, sind sämtliche nach Ablauf der drei Tage vorliegenden Informationen zu übermitteln. Darüber hinaus ist darzulegen, wieso einzelne Informationen noch nicht geliefert werden können.


5. Beweisverwertungsverbot


Soweit die Datenschutzverletzungen auf Fehlern von Mitarbeitern des Dienstanbieters beruhen, und die Bundesnetzagentur und die BfDI durch die Benachrichtigung erst von der Datenpanne erfahren, können für den Meldepflichtigen Konfliktsituationen bestehen, wenn die in der "Selbstanzeige" enthaltene Information etwa für ein Bußgeldverfahren zum Nachteil des Meldepflichtigen verwendet werden könnte. Dies widerspricht jedoch dem rechtlichen Grundsatz, dass niemand verpflichtet ist, sich selbst zu belasten. Um dies zu berücksichtigen und den Interessenkonflikt der Person, die der Bundesnetzagentur und der BfDI eine Datenpanne mitzuteilen hat, die auf einem eigenen Fehler beruht, zu lösen, wurde in § 109a Abs. 1 S. 5 TKG auf § 42a Nr. 6 BDSG Bezug genommen. In dieser Regelung wird der Interessenkonflikt dahingehend gelöst, dass die von der Behörde erlangte Information einem Beweisverwertungsverbot unterliegt.

Anfragen zur Meldepflicht können darüber hinaus gestellt werden an:

Bundesnetzagentur
Referat Z21
Tulpenfeld 4
53113 Bonn