1. Benachrichtigungspflichten gemäß § 42a BDSG

1.1 Regelungsinhalt

Zum 1. September 2009 ist eine Neuregelung des Bundesdatenschutzgesetzes (BDSG) in Kraft getreten, die Unternehmen dazu verpflichtet, bei bestimmten Arten von Sicherheitspannen sowohl die zuständige Datenschutzbehörde als auch die natürlichen Personen zu informieren, deren Daten von der Sicherheitspanne betroffen sind.

(a) Voraussetzungen einer Benachrichtigungspflicht

Die Benachrichtigungspflicht besteht nach dem Gesetzeswortlaut immer dann, wenn bestimmte Arten personenbezogener Daten unrechtmäßig übermittelt oder auf sonstige Weise einem Dritten unrechtmäßig zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen.

Die Regelung greift, sofern eine Sicherheitspanne personenbezogene Daten zumindest einer der folgenden Arten betrifft:

• (i) besondere Arten personenbezogener Daten, d.h. Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben (vgl. § 3 Abs. 9 BDSG);
• (ii) personenbezogene Daten zu Bank- oder Kreditkartenkonten;
• (iii) personenbezogene Daten, die einem Berufsgeheimnis unterliegen, also zum Beispiel Daten über natürliche Personen, die bei einer Versicherung, Wirtschaftsprüfungs- oder Steuerberatungsgesellschaft, einem Arzt, Apotheker oder Rechtsanwalt in Ausübung deren beruflicher Tätigkeit erhoben und gespeichert werden;
• (iv) personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen

Es bleibt abzuwarten, welche Bedeutung die unbestimmte gesetzliche Voraussetzung einer drohenden "schwerwiegenden Rechts- bzw. Interessenbeeinträchtigung der Betroffenen" in der praktischen Rechtsanwendung erlangen wird. Nach der Gesetzesbegründung der Bundesregierung soll die Entstehung einer Benachrichtigungspflicht von der Art der betroffenen Daten und den potenziellen Auswirkungen der unrechtmäßigen Kenntniserlangung durch Dritte (z.B. materielle Schäden bei Kreditkarteninformationen oder soziale Nachteile einschließlich des Identitätsbetrugs) abhängen. Nach Ansicht des Bundesrates, dessen Stellungnahme die Bundesregierung allerdings letztlich nicht gefolgt ist, begründet dagegen jede Sicherheitspanne, die personenbezogene Daten einer der oben genannten Kategorien betrifft, in der Regel per se eine Missbrauchsgefahr zu Lasten der Betroffenen, so dass es der zusätzlichen, positiven Feststellung einer drohenden Beeinträchtigung nicht bedarf.

Angesichts der Unbestimmtheit des Begriffs der drohenden schwerwiegenden Rechtsbzw. Interessenbeeinträchtigung wird eine gewisse Rechtsunsicherheit hier zumindest für eine Anfangsphase letztlich nicht zu vermeiden sein. Unternehmen, die personenbezogene Daten zumindest einer der oben beschriebenen Kategorien speichern, müssen im Fall einer (auch) diese Daten betreffenden Datenpanne fortan im Rahmen einer Prognoseentscheidung anhand aller bekannten objektiven Umstände beurteilen, ob den betroffenen Personen infolge der konkret eingetretenen Datenpanne eine schwerwiegende Rechts- bzw. Interessenbeeinträchtigung droht. Bis es erste Erfahrungswerte mit der Anwendung des § 42a BDSG durch die Datenschutzbehörden gibt, sollten Unternehmen hierbei im Zweifel von eher niedrigen Anforderungen an das Kriterium der schwerwiegenden Rechts- bzw. Interessenbeeinträchtigung ausgehen.

(b) Umfang und Inhalt der Benachrichtigungspflicht

Die Benachrichtigungspflicht gilt sowohl gegenüber der zuständigen Datenschutzbehörde als auch gegenüber jeder einzelnen Person, deren Daten von der Sicherheitspanne betroffen sind. Die Benachrichtigung muss grundsätzlich unverzüglich, d.h. ohne schuldhaftes Zögern, erfolgen, sobald die Sicherheitspanne dem Unternehmen zur Kenntnis gelangt.

Gegenüber den Betroffenen darf mit der Mitteilung allerdings so lange gewartet werden, bis "angemessene Maßnahmen zur Sicherung der Daten" ergriffen worden sind (bzw. hätten ergriffen werden können) und eine Strafverfolgung der etwaigen Täter durch eine Mitteilung an die Betroffenen nicht mehr gefährdet wird. Das Gesetz trägt hier dem Grundsatz des sog. "Responsible Disclosure" Rechnung, nach dem die Entdeckung einer Software-Sicherheitslücke erst dann öffentlich bekannt gemacht wird, wenn der Hersteller die Gelegenheit zu ihrer Behebung sowie zur Information anderer Kunden hatte.

Der erforderliche Inhalt der Benachrichtigung hängt von ihrem Empfänger ab. Die Benachrichtigung der Betroffenen muss in verständlicher Weise die Art der unrechtmäßigen Kenntniserlangung darlegen sowie eine Empfehlung für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Gegenüber der Datenschutzbehörde muss das verantwortliche Unternehmen zudem die möglichen nachteiligen Folgen der unrechtmäßigen Kenntniserlangung sowie die daraufhin ergriffenen Maßnahmen darlegen.

Würde die individuelle Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern, insbesondere auch aufgrund der Vielzahl der Betroffenen, so braucht das verantwortliche Unternehmen die Sicherheitspanne nicht durch individuelle Benachrichtigungen zu kommunizieren. An die Stelle individueller Benachrichtigungen tritt in diesem Falle die Mitteilung über Anzeigen von mindestens einer halben Seite in mindestens zwei bundesweit erscheinenden Tageszeitungen. Alternativ kann das verantwortliche Unternehmen die Öffentlichkeit durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme informieren. Welche Maßnahme "gleich geeignet" ist, ist anhand des konkreten Falls zu entscheiden. Bei regionaler Eingrenzbarkeit der Betroffenen könnte unter Umständen auch eine Veröffentlichung in einem nur regional erscheinenden Medium ausreichen.

(c) Rechtsfolgen eines Verstoßes gegen die Benachrichtigungspflichten

Verstößt ein Unternehmen gegen seine Benachrichtigungspflichten gemäß § 42a BDSG, indem es eine danach erforderliche Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, so drohen Geldbußen in Höhe von bis zu EUR 300.000 (vgl. § 43 Abs. 2 Nr. 7, Abs. 3 BDSG). Bei der Bemessung der Höhe der Geldbuße gilt grundsätzlich, dass die verhängte Geldbuße den wirtschaftlichen Vorteil, den das Unternehmen aus der Nichterfüllung seiner Benachrichtigungspflichten gezogen hat, übersteigen soll. Reicht eine Geldbuße in Höhe von EUR 300.000 hierfür nicht aus, so kann dieser Betrag auch überschritten werden (vgl. § 43 Abs. 3 Satz 3 BDSG).

Neben aufsichtsrechtlichen Maßnahmen sind im Falle einer Verletzung von § 42a BDSG auch Schadensersatzansprüche der Betroffenen gemäß § 823 Abs. 2 BGB denkbar. Angesichts des an den Interessen der Betroffenen orientierten Schutzzwecks des § 42a BDSG spricht einiges dafür, diese Regelung als Schutznorm im Sinne des § 823 Abs. 2 BGB anzusehen.

1.2 Bedeutung für die Praxis

Die Neuregelung ist von hoher praktischer Relevanz, da sie beinahe jedes Unternehmen betrifft. Es gibt kaum ein Unternehmen, das weder im operativen Geschäft (etwa Bank- oder Kreditkartendaten von Kunden) noch im Personalbereich (etwa Gesundheitsdaten oder Daten zur Religionszugehörigkeit von Mitarbeitern) personenbezogene Daten zumindest einer der oben genannten Datenkategorien erhebt, speichert und/oder verarbeitet.

Im Falle einer Sicherheitspanne sollte sich daher ab sofort jedes Unternehmen die Frage stellen, ob, wann, mit welchem Inhalt und in welcher Form eine Benachrichtigung der zuständigen Datenschutzbehörde und der Betroffenen erforderlich ist. Angesichts der deutlich gestiegenen öffentlichen Aufmerksamkeit und Sensibilität für Fragen der Datensicherheit dürfte allgemein mit einer strengen Ahndung durch die Datenschutzbehörden zu rechnen sein.

Auch im Rahmen der Gestaltung von Auftragsdatenverarbeitungsverträgen sollte der Umgang mit Sicherheitspannen künftig adressiert werden. Zwar ist – trotz des insoweit nicht eindeutigen Wortlauts des § 42a BDSG – eine originäre Benachrichtigungspflicht für den Auftragsdatenverarbeiter wohl zu verneinen. Der Auftragsdatenverarbeiter sollte jedoch vertraglich dazu verpflichtet werden, den Auftraggeber über alle Sicherheitspannen, die Daten des Auftraggebers betreffen können, unverzüglich zu informieren und den Auftraggeber bei der Erfüllung von dessen etwaigen Benachrichtigungspflichten bei Bedarf auch darüber hinaus zu unterstützen.

2. Technische und organisatorische Schutzmaßnahmen gemäß § 9 BDSG

2.1 Regelungsinhalt

Gemäß § 9 BDSG sind Unternehmen und andere Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen, dazu verpflichtet, die erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um die Einhaltung der Regelungen des BDSG zu gewährleisten. Die Datensicherheitsanforderungen des BDSG sind in der Anlage zu § 9 Satz 1 BDSG näher dargestellt. Als verschiedene Aspekte der Datensicherheit sind dort eine den Umständen nach geeignete Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle und Verfügbarkeitskontrolle sowie die getrennte Verarbeitung personenbezogener Daten mit unterschiedlicher Zweckbestimmung (sog. Trennungsgebot) genannt. Gemäß § 9 Satz 2 BDSG sind Maßnahmen nur dann erforderlich, wenn der mit ihnen verbundene Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Dabei ist davon auszugehen, dass der einem Unternehmen zumutbare Aufwand proportional zur Sensibilität der zu sichernden personenbezogenen Daten steigt. Dies gilt insbesondere hinsichtlich der Sicherung personenbezogener Daten vor einer Einsichtnahme durch Dritte und damit für die Aspekte der Zutritts-, Zugangs-, Zugriffsund Weitergabekontrolle.

2.2 Zusammenspiel mit betrieblicher Mitbestimmung

Bei der Implementierung technischer Schutzmaßnahmen in einem Unternehmen können betriebliche Mitbestimmungsrechte gemäß § 87 Abs. 1 Nr. 6 des Betriebsverfassungsgesetzes (BetrVG) zu beachten sein. Danach hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Nach der Rechtsprechung ist eine technische Einrichtung bereits dann zur Überwachung bestimmt, wenn ihre Nutzung zu diesem Zweck lediglich möglich ist.

Dies ist der Fall, wenn eine technische Einrichtung leistungs- und/oder verhaltensbezogene Daten der Arbeitnehmer so verarbeitet, dass eine Beurteilung bestimmter Leistungen und/oder Verhaltensweisen ermöglicht wird. Unmaßgeblich ist, ob der Arbeitgeber eine solche Beurteilung ermöglichen möchte und anschließend tatsächlich vornimmt. Ob eine technische Maßnahme zum Schutz personenbezogener Daten diesen Tatbestand erfüllt, ist im Einzelfall zu prüfen. An die Mitbestimmung ist etwa zu denken, wenn im Rahmen der Zugangskontrolle zu einem Server-Raum, in dem personenbezogene Daten gespeichert sind, eine Beobachtungskamera oder ein biometrisches Fingerabdruck- System eingeführt wird. Auch bei der Einführung von Softwareprogrammen zum Zweck der Weitergabekontrolle kann unter Umständen das Mitbestimmungsrecht eingreifen, wenn die Software zur Überwachung des Verhaltens einzelner Arbeitnehmer geeignet ist. Dies gilt insbesondere etwa dann, wenn die Weitergabekontrolle an den E-mail-Ausgängen der Arbeitnehmer anknüpft und der Arbeitgeber die private Nutzung der dienstlichen E-mail-Accounts zumindest duldet.

2.3 Rechtsfolgen eines Verstoßes

Ein Verstoß gegen § 9 BDSG erfüllt per se noch keinen Bußgeldtatbestand des § 43 BDSG. Die zuständige Datenschutzbehörde kann die Umsetzung der gemäß § 9 BDSG erforderlichen Maßnahmen jedoch überprüfen, ggf. anordnen und unter Verhängung von Zwangsgeldern durchsetzen (vgl. § 38 Abs. 5 BDSG). Kommt es infolge unzureichender technischer oder organisatorischer Schutzmaßnahmen zu einem unberechtigten Zugriff auf personenbezogene Daten einer der oben unter Ziffer 1.1(a) genannten Kategorien oder werden solche Daten unberechtigt weitergegeben oder auf sonstige Weise von einem Sicherheitsleck betroffen, so greifen zudem die Benachrichtigungspflichten gemäß § 42a BDSG ein.

3. Organhaftung

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) aus dem Jahr 1998 verpflichtet Vorstände von Aktiengesellschaften sowie die Geschäftsführung großer und mittelgroßer Kapitalgesellschaften zur Einrichtung eines funktionsfähigen IT-Sicherheitssystems. Die Konzeption und Einführung eines solchen ITSicherheitssystems ist Teil der allgemeinen Pflicht des Managements zur Einrichtung eines Überwachungssystems, das die frühzeitige Erkennung von Entwicklungen ermöglicht, die den Unternehmensfortbestand gefährden. Zum IT-Risikomanagement gehört auch das sog. "Business Continuity Management" (BCM), bei dessen Konzeption auch weniger offensichtliche Sicherheitsrisiken (etwa im Rahmen der Fernwartung von IT-Systemen) zu erfassen sind. Für den Vorstand einer Aktiengesellschaft ergibt sich dies unmittelbar aus § 91 Abs. 2 AktG; entsprechende Pflichten gelten aber auch für die Geschäftsführung einer GmbH und das Management anderer Kapitalgesellschaften. Der Aufsichtsrat hat wiederum den Vorstand bei der Erfüllung seiner Pflicht zur Einrichtung einer IT-Sicherheitsstruktur zu überwachen (vgl. § 111 Abs. 1 AktG).

Geschäftsführer und Vorstände haften gegenüber ihrem Unternehmen persönlich, falls sie ihre Pflicht zur Einführung eines tauglichen IT-Sicherheitssystems verletzen. Sie haben dabei grundsätzlich mit der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters zu handeln. Entsprechendes gilt für den Aufsichtsrat, sofern er seine diesbezüglichen Überwachungspflichten verletzt.

Kommt es zu einer Sicherheitspanne, sollte das Management mithin nachweisen können, dass es die der Komplexität des Unternehmens angemessene Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewendet, ein umfassendes ITSicherheitssystem eingeführt und auch für dessen regelmäßige Aktualisierung und Durchsetzung (einschließlich der unternehmensweiten Einhaltung von Sicherheitsregeln) gesorgt hat.

4. Verlust des Schutzes für betriebliches Know-how (§ 17 UWG)

Sicherheitspannen können dazu führen, dass betriebliches Know-How ungewollt an die Öffentlichkeit gelangt. In rechtlicher Hinsicht kann daraus folgen, dass Know-How den (geheimen) Charakter eines Betriebs- oder Geschäftsgeheimnisses und damit den wettbewerbsrechtlichen Know-How-Schutz aus § 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) verliert.

5. Verstoß gegen Vertraulichkeitsvereinbarungen (NDA)

Ein ungewollter Abfluss vertraulicher Informationen kann zu vertraglichen Ansprüchen Dritter führen, soweit diese mit dem Unternehmen, das die Sicherheitspanne erleidet, Vertraulichkeitsvereinbarungen (Non-Disclosure Agreement, NDA) abgeschlossen haben und gerade die von der Sicherheitspanne betroffenen Daten bzw. Informationen von der Vertraulichkeitsvereinbarung umfasst sind. Das betroffene Unternehmen wird den Vorwurf einer fahrlässigen Pflichtverletzung nur dann erfolgreich entkräften, wenn die Sicherheitspanne trotz eines umfassenden und intakten IT-Sicherheitssystems eingetreten ist.

Weitergehende Risiken ergeben sich aus solchen NDAs, die – wie im deutschen Recht nicht unüblich – auch Schadenspauschalen oder verschuldensunabhängige Vertragsstrafenregelungen für Verletzungen der Vertraulichkeit regeln. Hier zeigt sich, je nach Gestaltung im Einzelnen (einschließlich etwaiger Regelungen der Beweislast), der Wert umfassender Maßnahmen zur IT- und Datensicherheit und die Notwendigkeit, einen entsprechenden Nachweis darüber zu führen.

Zum 19. Dezember 2009 hat die EU eine Richtlinie erlassen, nach der alle EUMitgliedsstaaten die Betreiber von öffentlich zugänglichen elektronischen Kommunikationsdiensten verpflichten müssen, im Falle von Sicherheitspannen unverzüglich die zuständigen Aufsichtsbehörden und unter bestimmten Umständen auch die betroffenen Personen zu benachrichtigen (Richtlinie 2009/136/EG).

Das Erfordernis einer Benachrichtigung der betroffenen Personen entfällt, wenn der Betreiber zur Zufriedenheit der zuständigen Behörde nachgewiesen hat, dass er geeignete technische Schutzmaßnahmen getroffen hat und dass diese Maßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet wurden.

Es bleibt abzuwarten, inwieweit der deutsche Gesetzgeber bei der Umsetzung der Richtlinie auch Anbieter betriebsinterner Telekommunikationsnetze (Corporate Networks) oder anderer Telekommunikationsangebote für geschlossene Benutzergruppen erfassen und zur Mitteilung von Sicherheitspannen verpflichten wird. Der Begriff der öffentlichen Zugänglichkeit von Telekommunikationsdiensten hat in der Vergangenheit gelegentlich Anlass zur Diskussion gegeben, seitdem das Telekommunikationsgesetz seit 2004 keine generelle Regulierungsausnahme für Angebote an geschlossene Benutzergruppen mehr vorsieht. Unabhängig hiervon gelten die spezifisch datenschutzrechtlichen Regelungen des Telekommunikationsgesetzes jedoch mit wenigen Ausnahmen auch für nicht öffentliche, betriebsinterne Telekommunikationsnetze. Es ist somit durchaus vorstellbar, dass der deutsche Gesetzgeber die zu erwartenden EUVorgaben in das bisherige telekommunikationsrechtliche Datenschutzsystem einfügen und ggf. auch ihren Anwendungsbereich entsprechend weit gestalten könnte. In diesem Fall wären auch Unternehmen telekommunikationsfremder Branchen im Falle von Sicherheitspannen ggf. von telekommunikationsrechtlichen Benachrichtigungspflichten betroffen.

Eine Sicherheitslücke in einem in Deutschland befindlichen IT-System löst unter Umständen zusätzliche Benachrichtigungspflichten nach US-amerikanischem Recht aus.

1. "Security Breach" – Benachrichtigungspflichten nach US-Recht

Bisher haben 45 Bundesstaaten der Vereinigten Staaten von Amerika sowie Washington, D.C., Puerto Rico und die Virgin Islands "security breach notification laws" erlassen. Die Gesetze der einzelnen Bundesstaaten unterscheiden sich hinsichtlich der genauen Voraussetzungen und Anforderungen der normierten Benachrichtigungspflichten.1 Ihnen gemeinsam ist aber, dass sie Unternehmen, bei denen eine Sicherheitspanne eintritt/auftritt, dazu verpflichten, unverzüglich sämtliche Betroffenen davon in Kenntnis zu setzen. Nach den Gesetzen der meisten Bundesstaaten gelten die Benachrichtigungspflichten für alle Personen oder Unternehmen, die in dem jeweiligen Bundesstaat Geschäfte tätigen.

Der Anwendungsbereich des Rechts der einzelnen Bundesstaaten ist nicht auf Unternehmen beschränkt, die in dem jeweiligen Bundesstaat ihren Sitz oder eine Niederlassung haben. Vielmehr haben alle Bundesstaaten der USA Gesetze zur "long arm"- Jurisdiktion erlassen, nach denen ihre Gesetze unter bestimmten Voraussetzungen auch für Personen und Unternehmen aus anderen US-Bundesstaaten oder anderen Staaten gelten. Die gesetzlichen Voraussetzungen zwischen den Bundesstaaten variieren im Einzelnen, wobei vielfach auf das Bestehen zumindest minimaler Kontakte (minimum contacts) zu dem jeweiligen Bundesstaat abgestellt wird. Solche minimalen Kontakte werden angenommen, wenn Verbindungen (zumindest auch) zu dem jeweiligen Bundesstaat kontinuierlich und systematisch gepflegt werden. Für einen Internetauftritt wird dies nicht erst dann angenommen, wenn über die Webseite Geschäfte mit Ansässigen des jeweiligen Bundesstaats abgeschlossen werden, sondern unter Umständen bereits dann, wenn die Webseite lediglich eine interaktive Kontaktaufnahme vorsieht, ohne dass es zu Geschäftsabschlüssen über die Webseite kommt.

Ob diese Voraussetzungen im Einzelfall gegeben sind, bedarf natürlich der Prüfung anhand der konkreten Umstände und Gegebenheiten. Europäische Unternehmen, die die USA als einen Zielmarkt betrachten, sollten sich jedoch bewusst sein, dass sie im Falle einer Sicherheitspanne selbst dann unter US-bundesstaatliche security breach notification laws fallen können, wenn sie keine Niederlassung oder sonstige Betriebsstätte in den USA unterhalten.

2. Praktische Erfahrungen

Es kommt vor, dass in Europa ansässige Unternehmen, bei denen eine Sicherheitspanne eintritt, von Betroffenen (oder deren Anwälten) in den USA benachrichtigt und – unter Vorbehalt der Geltendmachung aller Rechte einschließlich Schadensersatz und Mitteilung an die zuständigen Behörden – zur Einhaltung der anwendbaren security breach notification laws angehalten werden.

Die Vielzahl der security breach notification laws der einzelnen US-Bundesstaaten und ihrer unterschiedlichen Voraussetzungen stellt in der Praxis hohe Herausforderungen an das Krisenmanagement und die umgehend erforderliche rechtliche Analyse. Dabei ist es schwierig und häufig unverhältnismäßig, die Anwendbarkeit und Rechtsfolgen der Gesetze jedes einzelnen Bundesstaats zu prüfen, zumal die security breach notification laws in vielen Fällen unverzügliches Handeln erfordern und die einzuhaltenden Fristen zum Teil extrem kurz sind (oftmals unter zwei Wochen).

Sofern ein Unternehmen geschäftliche Beziehungen in die USA pflegt oder vor Ort sogar eine Niederlassung betreibt, ist es daher im Zweifel ratsam, alle von der Sicherheitspanne betroffenen Personen gleichermaßen zeitnah und in möglichst unaufwendiger und wenig reputationsgefährdender Weise von der Sicherheitspanne zu unterrichten, wobei die logistischen Herausforderungen eines solchen Vorgehens beachtlich sind. Diese Maßnahme ist jedoch zum einen kostengünstiger als eine umfassende Prüfung aller ggf. einschlägigen bundesstaatlichen Gesetze oder ein etwaiger Rechtsstreit über deren Anwendbarkeit. Zum anderen dokumentiert ein solches Mailing die datenschutzrechtliche "Awareness" des betreffenden Unternehmens sowie sein Bemühen um Compliance mit den entsprechenden US-amerikanischen Regelungen, was sich in einer etwaigen gerichtlichen oder außergerichtlichen Auseinandersetzung mit zuständigen bundesstaatlichen Behörden als nützlich erweisen kann. Es ist ferner darauf hinzuweisen, dass eine Verletzung anwendbarer security breach notification laws Geldbußen in Höhe von bis zu USD 250.000 pro Bundesstaat zur Folge haben kann.

Liegt es angesichts der geschäftlichen Aktivitäten eines Unternehmens nahe, dass zumindest nach dem Recht eines US-Bundesstaats Benachrichtigungspflichten bestehen, so ist eine vorbeugende Benachrichtigung aller Betroffenen (auch in anderen USBundesstaaten) zur Vermeidung umfassender rechtlicher Prüfungen sowie der Kosten und Öffentlichkeitswirkung etwaiger Auseinandersetzungen über die Anwendbarkeit einzelner bundesstaatlicher Regelungen häufig angeraten. Dies gilt nicht zuletzt auch deshalb, weil Präzedenzfälle der Anwendung bundesstaatlicher Benachrichtigungspflichten auf Non-US residents bisher rar sind, so dass eine entsprechende Auseinandersetzung US-weite Aufmerksamkeit seitens der Datenschutzbehörden, der Federal Trade Commission sowie der Medien auf sich ziehen könnte. Demgegenüber erscheint der mögliche Reputationsverlust durch eine einmalige Benachrichtigung der Betroffenen, deren Ton und Formulierung das betreffende Unternehmen letztlich selbst in der Hand hat, unter Umständen hinnehmbar.

¹Die meisten einzelstaatlichen Regelungen verlangen eine Benachrichtigung nur in Fällen des unerlaubten Zugriffs auf Vor- und Nachname (oder Anfangsbuchstabe des Vornamens und Nachname) einer Person in Verbindung mit dem Führerschein, der Sozialversicherungsnummer oder Kredit/Debit-Kartennummer. Einige Gesetze sehen eine entsprechende Verpflichtung auch mit Blick auf weitere Datentypen wie solcher auf Geldautomaten- Karten, Pässen oder Geburtsurkunden oder für Gesundheitsdaten vor. Zur praktischen Umsetzung der Benachrichtigungspflichten vgl. allgemein www.privacyrights.org/ar/ChronDataBreaches.htm.