Illustration: Absmeier, Myriams-Foto

Die Datenschutzreform 2018 hat eine Meldepflicht für Verletzungen des Schutzes personenbezogener Daten eingeführt (Art. 33 Datenschutzgrundverordnung – DSGVO1). Unter bestimmten Voraussetzungen wird diese Meldepflicht um eine Pflicht zur Benachrichtigung betroffener Personen über eine Datenschutzverletzung ergänzt (Art. 34 DSGVO). Diese Vorgaben gelten grundsätzlich für Unternehmen und öffentliche Stellen gleichermaßen. Dabei haben sich die neuen Regelungen in der Datenschutzpraxis bereits etabliert. Die Melde- und die Benachrichtigungspflicht wird aber immer wieder Gegenstand von Diskussionen, und auch von Beratungsanfragen an die zuständigen Behörden. Oftmals ist nicht ausreichend klar, welche Merkmale einer Datenschutzverletzung es gibt, was ein Verstoß gegen datenschutzrechtliche Vorschriften bedeutet und vor allem, welchem Handlungsablauf von der Feststellung einer Datenschutzverletzung in einer arbeitsteiligen Organisation bis hin zur Erfüllung der Melde- und der Benachrichtigungspflicht einzuhalten ist.

Wir haben zu diesem Themenkomplex mit Boris Cipot gesprochen, er ist Senior Sales Engineer bei der Synopsys Software Integrity Group.

Welche Vorgaben gelten bezüglich der Benachrichtigungspflicht bei Datenschutzverletzungen?

Boris Cipot: Die Vorschriften für die Benachrichtigung bei Datenschutzverletzungen legen die Maßnahmen fest, die im Falle einer Gefährdung der Sicherheit beziehungsweise des Datenschutzes durch die Organisation, die von diesem Vorfall betroffen ist, zu ergreifen sind. In der Regel leiten sich diese Vorschriften von den Gesetzen des Landes/des Staates und/oder von verschiedenen Sicherheitsstandards und bewährten Praktiken ab. Im Allgemeinen gilt, dass gemäß den Vorschriften zur Benachrichtigung alle betroffenen Parteien, wie Kunden und Partner, über die Datenschutzverletzung informiert werden müssen. Es muss dargelegt werden, in welcher Form und über welche Kanäle diese Benachrichtigung erfolgen wird. Normalerweise sind darin bereits Vorgaben enthalten, welche Maßnahmen zur Behebung der Datenschutzverletzung zu ergreifen sind und welche potenziellen strafrechtlichen Maßnahmen im Falle einer Datenschutzverletzung und bei Nichtbeachtung erfolgen können.

Welchen Veröffentlichungspflichten unterliegen Organisationen?

Die spezifischen Pflichten können unterschiedlich sein. Sie differieren je nach Branche, Dritten, mit denen das Unternehmen zusammenarbeitet, und nach Ländern oder sogar Regionen. Obwohl die Vorgaben sich in der Regel alle auf die gleichen Pflichten beziehen, gibt es spezifische Abweichungen. Zum Beispiel besagt das EU-Recht, oder genauer gesagt die EU-Datenschutzgrundverordnung (DSGVO), dass eine Verletzung von Daten mit hohem Risiko innerhalb von 72 Stunden, nachdem die Organisation von der Verletzung Kenntnis erlangt hat, eine Mitteilung an die betreffenden Personen erfolgen muss. Innerhalb dieser 72 Stunden muss die Organisation zusätzlich herausfinden, was passiert ist, wer betroffen ist, und sie muss das Problem eindämmen.

Gelten für Anbieter sogenannter »kritischer Infrastrukturen« strengere Vorschriften?

Auch wenn jede einzelne Datenschutzverletzung mit einem hohen Risiko verbunden ist, gibt es Infrastrukturen, bei denen eine Datenschutzverletzung in eine Katastrophe münden kann. Bei solchen Infrastrukturen ist es normal, dass zusätzliche Pflichten erfüllt und Protokolle eingehalten werden müssen, um sicherzugehen, dass nach einer Datenschutzverletzung tatsächlich alles wieder in Ordnung ist. In einer solchen Situation kommt es nicht nur auf jeden einzelnen Mitarbeiter an. Hier werden zur Behebung der Datenschutzverletzung auch externe Profis um Unterstützung gebeten. Je nachdem, welche Bereiche, Systeme und Daten von einer Datenschutzverletzung betroffen sind, kommen unterschiedliche Vorschriften zur Anwendung.

Wie viel sind Organisationen gehalten öffentlich bekanntzugeben und was können (und sollten) sie für sich behalten?

Wenn personenbezogene Daten betroffen sind, muss die Organisation die Personen entweder direkt (per E-Mail, App, schriftlich …) und/oder durch eine öffentliche Mitteilung in den Medien und auf ihren Webseiten informieren. Wie bereits erwähnt sind Besonderheiten und Abweichungen in den Vorschriften definiert. Das ist jedoch nur das Minimum, was eine Organisation tun muss oder tun sollte, um die betreffenden Personen darauf aufmerksam zu machen, dass ihre Daten gegenüber einer nicht autorisierten Partei (wie einem Cyberkriminellen) bekannt sind. Des Weiteren ist es hilfreich, den Betroffenen Hinweise zu geben, welche Maßnahmen sie selbst ergreifen sollten, um ihre Identität oder ihre Finanzen zu schützen. Stellen Sie sich verschiedene Fälle vor, etwa den Fall, bei dem die Namen der Betroffenen und deren Adressen bekannt geworden sind. In diesem konkreten Fall müssen die Betroffenen lediglich darauf aufmerksam gemacht werden. In Fällen, bei denen Benutzernamen und Passwörter abgezogen werden konnten oder die Sicherheit von Kreditkartendaten, Sozialversicherungsnummern und ähnlich sensiblen Daten verletzt wurde, muss sichergestellt werden, dass die Betroffenen ihrerseits geeignete Maßnahmen ergreifen, um den Schaden zu minimieren. Hier sind Empfehlungen hilfreich.

Es gibt allerdings auch Informationen, die nicht im Detail offengelegt werden sollten. Es besteht die Pflicht, anzugeben, was passiert ist und welche Auswirkungen der Vorfall hat. Andererseits liefern zu viele Details gleichzeitig Informationen zu möglichen neuen Angriffspunkten. Die sind entweder für einen erneuten Angriff auf dasselbe Unternehmen dienlich oder bei einem Angriff auf eine Firma mit ähnlich gelagerten Sicherheitsproblemen. Daher ist es durchaus sinnvoll einige Informationen vor der Öffentlichkeit zurückzuhalten, bis das Problem behoben ist. So hat das betreffende Unternehmen die Möglichkeit, durch Patches oder andere Maßnahmen Abhilfe zu schaffen.

Einerseits sollte man also dafür sorgen, dass detaillierte Informationen zunächst nicht an die Öffentlichkeit gelangen. Andererseits wird erwartet, dass die Organisation, die Opfer einer Datenschutzverletzung geworden ist, mit dem Hersteller der gefährdeten Geräte oder Komponenten zusammenarbeitet, um die Probleme so schnell wie möglich zu beheben. Schon allein, damit die betroffenen Organisationen und Einzelpersonen möglichst rasch von der bereitgestellten Lösung profitieren. Der Handlungsablauf wäre in diesem Fall: der Hersteller, der jetzt ein tieferes Verständnis des Software- oder Hardwareproblems gewonnen hat, muss diese Informationen zusammen mit einer Lösung seinen Kunden und Partnern und gegebenenfalls der allgemeinen Öffentlichkeit mitteilen. Dies wäre eine effektive Form, die nötigen Informationen mit den richtigen Empfängern zur richtigen Zeit zu teilen.

Was sollte getan werden, um die Vorschriften rund um die Veröffentlichung gegebenenfalls zu verschärfen?

Die Regeln für die Veröffentlichungspflichten im Falle einer Datenschutzverletzungen hängen von den gesetzlichen Anforderungen ab, denen ein Unternehmen unterliegt. Darüber hinaus spielt das Risikoniveau der betreffenden Datenschutzverletzung eine Rolle (etwa hinsichtlich der Daten, der jeweiligen Infrastruktur oder der Daten, die bei Kunden und Partnern betroffen sind). Und selbst dann, wenn wir davon ausgehen, dass die Vorgaben gut und umfassend definiert worden sind, wird es doch immer wieder Fälle geben, in denen wir betroffen sind – aber trotzdem nichts davon wissen. Eine stärkere Vereinheitlichung der Vorschriften trägt sicherlich dazu bei, den Umgang mit der Offenlegungspflicht strukturierter zu gestalten. Ein solcher Standard bietet zudem noch einen weiteren Vorteil. Auf dieser Basis kann ein Land etwa verlangen, dass nicht nur lokale, sondern auch internationale Dienstleister und Organisationen die gleichen Vorschriften bezüglich einer Offenlegung anwenden müssen, wenn sie vor Ort Dienstleistungen und Apps anbieten wollen.

Wie sollten verschärfte Vorschriften bezüglich der Benachrichtigung bei Datenschutzverletzungen funktionieren?

Ich würde an dieser Stelle weniger von verschärfen sprechen als von standardisieren. Wenn es einen international anerkannten Standard gäbe, der vorschreibt wie die Veröffentlichungspflicht im Falle einer Datenschutzverletzung auszusehen hat, würde der Prozess vermutlich sehr viel effizienter ablaufen.

Es würden Verfahren definiert, die festlegen, was zu geschehen hat und wann, wer informiert werden muss und was die betreffende Partei mit den bereitgestellten Informationen tun soll. Dadurch haben wir einen Audit-Trail zur Verfügung, der über den gesamten Prozess hinweg mehr Transparenz schafft. Eigentlich sollte das heute schon genau so funktionieren.

Sollte es Ausnahmen geben? Falls ja, welche?

In Bezug auf die Transparenz, eher nein. Alles sollte transparent und öffentlich gehandhabt werden. Was die Sicherheit betrifft, sollten Informationen auf Basis des »Need-to-know«-Prinzips weitergegeben werden. Einfach ausgedrückt: Wenn die Sicherheit meiner personenbezogenen Daten verletzt wurde, habe ich das Recht, davon zu erfahren. Die von der Datenschutzverletzung betroffene Organisation, muss mir sämtliche Informationen zu meinen privaten Daten zur Verfügung stellen. Und sie muss mich dazu informieren, welche Maßnahmen ich selbst ergreifen sollte und welche Maßnahmen das betroffene Unternehmen bereits ergriffen hat, um den Schaden zu minimieren. In Bezug auf sicherheitstechnische Erwägungen würde ich nicht erwarten, dass ein Unternehmen mir gegenüber vollständig offenlegt, warum mir das Ganze überhaupt passiert ist. Ich würde allerdings sehr wohl erwarten, dass diese Informationen an diejenigen weitergeleitet werden, die das Problem lösen können, wie etwa die Anbieter von Hardware und Software. Es liegt dann in deren Verantwortung den Veröffentlichungspflichten ihrerseits zu entsprechen. Um auf die Frage zurückzukommen, es gibt eigentlich keine Ausnahmen. Es gibt nur die richtige Art und Weise und den richtigen Zeitpunkt die Informationen bereitzustellen.

Abschließend gefragt: Was wäre aus Ihrer Sicht wünschenswert und richtig?

Wünschenswert wäre es in jedem Fall, wenn wir uns auf Benachrichtigungen verlassen können, die uns selbst, unsere Privatsphäre, unser Wohlergehen und unsere Gesundheit betreffen. Es wäre auch wünschenswert, von Rechten und Gesetzen ausgehen zu können, die diese Forderung durchsetzen. In vielen Fällen ist das schon so. Trotzdem gibt es immer noch Datenschutzverletzungen, die von Dritten zur Kenntnis gebracht werden (und nicht vom Unternehmen oder der betroffenen Organisation selbst). Im Idealfall sollten alle nach den gleichen Regeln spielen. Das würde bedeuten, dass internationale wie lokale Dienste über Standardverfahren bei Sicherheits- und Datenschutzverletzungen verfügen.

696 Artikel zu „Datenschutz DSGVO“

NEWS | FAVORITEN DER REDAKTION | IT-SECURITY | SERVICES | SICHERHEIT MADE IN GERMANY | TIPPS

Datenschutzkonformität: Schnell Klarheit zur EU DSGVO mit Self-Assessment

13. November 2019

Ein neu entwickeltes, webbasiertes Self-Assessment von TÜV SÜD hilft Unternehmen bei der Einschätzung ihrer aktuellen Datenschutzkonformität gemäß der EU DSGVO. Die Online-Analyse wird ergänzt durch eine kostenlose Erstberatung und einen frei erhältlichen Praxisleitfaden, speziell für kleine und mittelständische Unternehmen (KMU). »Besonders kleine und mittelständische Unternehmen sind oft unsicher, ob sie die Anforderungen der mit Frist…