Meldepflichten bei IT-Sicherheitsvorfällen

Meldepflichten gibt es nicht nur bei der DSGVO

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Meldepflichten bei der Verletzung personenbezogener Daten gibt es nicht erst seit der DSGVO. Diese bietet Unternehmen aber die Gelegenheit, sich des Themas noch einmal anzunehmen.
Meldepflichten bei der Verletzung personenbezogener Daten gibt es nicht erst seit der DSGVO. Diese bietet Unternehmen aber die Gelegenheit, sich des Themas noch einmal anzunehmen. (© kebox - stock.adobe.com)

Viele Unternehmen haben bisher Schwierigkeiten damit, die verschärften Meldepflichten nach Datenschutz-Grundverordnung umzusetzen. Große Probleme bereitet Vielen dabei, dass die Meldung der Datenpanne innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde erfolgen soll. Dabei sind dies nicht die einzigen Meldepflichten, mit denen sich Unternehmen beschäftigen müssen.

Die Meldepflichten aus Artikel 33 Datenschutz-Grundverordnung (DSGVO / GDPR) halten 44 Prozent der befragten Unternehmen für eine große Herausforderung, so eine „Umfragevon Varonis Systems“. Genau genommen, sollten die Unternehmen sogar eine weitere Herausforderung nennen: Neben Artikel 33 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde) gibt es ja noch den Artikel 34 DSGVO (Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person).

Auch wenn manche Schlagzeilen die Meldepflichten nach DSGVO als Novum vermelden, komplett neu sind die Meldepflichten nicht. So kennt bereits das Bundesdatenschutzgesetz (BDSG) die Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten (§ 42a BDSG). Entsprechend findet man auch heute schon Informationspflichten im Telemediengesetz (§ 15a TMG), und durch § 109a Telekommunikationsgesetz (TKG) werden die TK-Diensteanbieter verpflichtet, die Bundesnetzagentur (BNetzA) und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie unter bestimmten Umständen auch die Betroffenen zu benachrichtigen, wenn der Schutz personenbezogener Daten verletzt worden ist.

Neu in der DSGVO sind unter anderem die Bedingungen, wann an die zuständige Aufsichtsbehörde zu melden ist, wann man die Betroffenen nicht informieren muss und natürlich die häufig zitierte 72-Stunden-Frist. Es wäre tatsächlich falsch zu glauben, die Formulierung in Artikel 33 DSGVO, die Meldung müsse „unverzüglich und möglichst binnen 72 Stunden“ erfolgen, lasse einen wie auch immer gearteten Spielraum. Hierzu stellten die Aufsichtsbehörden für den Datenschutz wie die das Bayerische Landesamt für Datenschutzaufsicht bereits fest: Die Meldung der Datenpanne muss innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde stattfinden. Ein Überschreiten der Frist ist nur in begründeten Fällen möglich.

Meldepflichten gibt es viele: Möglichkeiten für Synergien

Der Hinweis, dass man als Unternehmen nicht nur an die Meldepflichten nach DSGVO denken soll, erscheint bei den aktuellen Umsetzungsproblemen wenig hilfreich. Anstatt das eine Problem zu lösen, werden weitere hinzugenommen. Doch zum einen hilft es nicht, sich alleine auf die DSGVO zu konzentrieren, da diese schon schwierig genug in der Umsetzung ist. Vielmehr erfordert die IT-Compliance und die Compliance generell, alle Vorgaben im Blick zu haben, auch die einzelvertraglichen Vereinbarungen mit Kunden, die auch spezielle Meldepflichten vorsehen können.

Zum anderen sollte man die verschiedenen Meldepflichten auch als Chance begreifen, als Chance für Synergien und zur Vermeidung unnötiger Aufwände. Banken zum Beispiel, die direkt von der Europäischen Zentralbank (EZB) beaufsichtigt werden, sollen alle wichtigen Cyber-Sicherheitsvorfälle melden (Payment Services Directive (PSD2)). Betreiber Kritischer Infrastrukturen haben nach IT-Sicherheitsgesetz definierte Meldepflichten. Zudem erklärt das BSI: Die Sichtbarkeit von IT-Angriffen, wie sie durch die Meldestelle des BSI verfolgt wird, sollte sich auch in der Strafverfolgung und der Kriminalstatistik wiederfinden. Dazu sind Meldungen an die Strafverfolgungsbehörden notwendig (pdf). Auch die Abteilungen Wirtschaftsschutz der Verfassungsschutzämter bieten sich als Anlaufstelle für Meldungen an, wenn es um einen Verdacht auf Wirtschaftsspionage geht.

Auch wenn alle Meldepflichten und Meldemöglichkeiten einzeln zu beachten sind, bietet es sich für Unternehmen an, die internen Prozesse bei IT-Sicherheitsvorfällen so zu gestalten, dass Informationen, die für eine Meldepflicht zusammengetragen werden, nach Möglichkeit (je nach Vertraulichkeit und Eignung) auch bei anderen Meldungen genutzt werden.

Ein Blick auf das Meldeformular des LDA Bayern lohnt sich, denn dort sieht man, welche Informationen über Datenpannen auch für andere meldepflichtige Bereiche wichtig sein können. In jedem Fall aber sollte man das Eintreten einer Meldepflicht als internen Trigger für mögliche, weitere Meldepflichten sehen. Aus gutem Grund fragt das LDA Bayern in seinem Meldeformular für Datenpannen: „Falls Sie die Polizei oder andere Behörden informiert haben, teilen Sie uns bitte mit, wen und wann Sie kontaktiert haben“.

Meldepflichten als Teil der Prävention erkennen

Trotz allem könnte man versucht sein, die Meldepflichten wo immer möglich zu umgehen. Immerhin verheißen Umfragen nichts Gutes, wenn IT-Sicherheitsvorfälle bekannt werden: Laut einer im Auftrag von Gemalto durchgeführten Umfrage unter mehr als 10.000 Anwendern weltweit würde die Mehrheit (70 Prozent) keine weiteren Geschäfte mit einer Organisation tätigen, wenn bei dieser eine Datenschutzverletzung bekannt würde.

Tatsächlich aber muss man die Meldepflichten ganz oben auf seine Agenda setzen, um die Compliance nicht zu gefährden, um mögliche Sanktionen und Bußgelder zu verhindern, aber auch, um es gar nicht erst zu einem meldepflichtigen Vorfall kommen zu lassen. In der Praxis zeigt sich: Wer ein Verfahren etabliert oder optimiert, um die Meldepflichten einzuhalten, findet häufig Lücken in internen Prozessen, die selbst zu einem Vorfall führen könnten. Wer also die Meldepflichten in seinen internen Prozessen abbildet, verbessert diese Prozesse, zum Beispiel durch bessere Monitoring-Verfahren und die Klärung fehlender Zuständigkeiten.

Ebenso sind die Meldepflichten ein gutes Argument, die Verschlüsselung umfassender in Angriff zu nehmen. So findet man in der DSGVO folgendes, gutes Argument für mehr Verschlüsselung: Die Benachrichtigung der betroffenen Person (Artikel 34 DSGVO) ist nicht erforderlich, wenn (…) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung.

Was meinen Sie zu diesem Thema?
Ihr Beitrag spricht mir aus der Seele. Die unmittelbaren Risiken aus der DSGVO entstehen genau...  lesen
posted am 31.01.2018 um 16:17 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45113753 / Services)