Wie golem.de am 12.05.2014 berichtete, hat die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), Andrea Voßhoff, die Nichteinhaltung der Meldepflicht bei Datenschutzverstößen nach § 42 BDSG und § 109a TKG seitens der Unternehmen kritisiert und gleichzeitig – zumindest indirekt – die Bundesnetzagentur (BNetzA) zur Verhängung von Bußgeldern aufgefordert. Die BfDI beanstandet, dass in der Presse über Unternehmen berichtet wird, bei denen es zu einer Verletzung des Schutzes/ geschützter personenbezogener Daten gekommen sei, gleichzeitig eine Meldung darüber an BNetzA und BfDI seitens der Unternehmen jedoch nicht erfolgte.
Hotspot-Betreiber müssen Datenschutzverstöße nach § 109a BDSG melden. Wichtig ist insoweit, dass die Regelung eine Meldepflicht für jegliche Datenschutzverstöße vorsieht. Es ist gerade nicht erforderlich, dass es sich um einen besonders schweren Verstoß handelt oder bestimmte Kategorien von Daten betroffen sind. Vielmehr hat bereits bei der fehlgeleiteten Rechnungsinformation eine Meldung an BfDI und BNetzA für den Datenschutz und die Informationssicherheit zu erfolgen. Für die (Erst-) Meldung gilt dabei eine Frist von 24 Stunden. Erfolgt eine Meldung nicht, so droht ein Bußgeld von bis zu € 300.000.
Hotspot-Betreiber sollten daher sicherstellen, dass diese Verpflichtung innerhalb des Unternehmens bekannt ist. Die derzeitige Anzahl von Meldungen spricht dafür, dass entweder eine entsprechende Kenntnis über die Meldepflicht noch nicht besteht oder die Verpflichtung vielfach ignoriert wird. Zudem ist ein Prozess für die Meldung zu etablieren. Hierbei helfen zum Beispiel die Leitlinien der Bundesnetzagentur. Eine Meldepflicht kann sich auch aus der – weitgehend parallelen – Verordnung 611/2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten ergeben.