Benachrichtungspflicht und Veröffentlichungspflicht bei Verletzung des Datenschutzes

Illustration: Absmeier, Myriams-Foto

Die Datenschutzreform 2018 hat eine Meldepflicht für Verletzungen des Schutzes personenbezogener Daten eingeführt (Art. 33 Datenschutzgrundverordnung – DSGVO1). Unter bestimmten Voraussetzungen wird diese Meldepflicht um eine Pflicht zur Benachrichtigung betroffener Personen über eine Datenschutzverletzung ergänzt (Art. 34 DSGVO). Diese Vorgaben gelten grundsätzlich für Unternehmen und öffentliche Stellen gleichermaßen. Dabei haben sich die neuen Regelungen in der Datenschutzpraxis bereits etabliert. Die Melde- und die Benachrichtigungspflicht wird aber immer wieder Gegenstand von Diskussionen, und auch von Beratungsanfragen an die zuständigen Behörden. Oftmals ist nicht ausreichend klar, welche Merkmale einer Datenschutzverletzung es gibt, was ein Verstoß gegen datenschutzrechtliche Vorschriften bedeutet und vor allem, welchem Handlungsablauf von der Feststellung einer Datenschutzverletzung in einer arbeitsteiligen Organisation bis hin zur Erfüllung der Melde- und der Benachrichtigungspflicht einzuhalten ist.

 

Wir haben zu diesem Themenkomplex mit Boris Cipot gesprochen, er ist Senior Sales Engineer bei der Synopsys Software Integrity Group.

Anzeige

 

Welche Vorgaben gelten bezüglich der Benachrichtigungspflicht bei Datenschutzverletzungen?

Boris Cipot: Die Vorschriften für die Benachrichtigung bei Datenschutzverletzungen legen die Maßnahmen fest, die im Falle einer Gefährdung der Sicherheit beziehungsweise des Datenschutzes durch die Organisation, die von diesem Vorfall betroffen ist, zu ergreifen sind. In der Regel leiten sich diese Vorschriften von den Gesetzen des Landes/des Staates und/oder von verschiedenen Sicherheitsstandards und bewährten Praktiken ab. Im Allgemeinen gilt, dass gemäß den Vorschriften zur Benachrichtigung alle betroffenen Parteien, wie Kunden und Partner, über die Datenschutzverletzung informiert werden müssen. Es muss dargelegt werden, in welcher Form und über welche Kanäle diese Benachrichtigung erfolgen wird. Normalerweise sind darin bereits Vorgaben enthalten, welche Maßnahmen zur Behebung der Datenschutzverletzung zu ergreifen sind und welche potenziellen strafrechtlichen Maßnahmen im Falle einer Datenschutzverletzung und bei Nichtbeachtung erfolgen können.

Anzeige

 

Welchen Veröffentlichungspflichten unterliegen Organisationen?

Die spezifischen Pflichten können unterschiedlich sein. Sie differieren je nach Branche, Dritten, mit denen das Unternehmen zusammenarbeitet, und nach Ländern oder sogar Regionen. Obwohl die Vorgaben sich in der Regel alle auf die gleichen Pflichten beziehen, gibt es spezifische Abweichungen. Zum Beispiel besagt das EU-Recht, oder genauer gesagt die EU-Datenschutzgrundverordnung (DSGVO), dass eine Verletzung von Daten mit hohem Risiko innerhalb von 72 Stunden, nachdem die Organisation von der Verletzung Kenntnis erlangt hat, eine Mitteilung an die betreffenden Personen erfolgen muss. Innerhalb dieser 72 Stunden muss die Organisation zusätzlich herausfinden, was passiert ist, wer betroffen ist, und sie muss das Problem eindämmen.

 

Gelten für Anbieter sogenannter »kritischer Infrastrukturen« strengere Vorschriften?

Auch wenn jede einzelne Datenschutzverletzung mit einem hohen Risiko verbunden ist, gibt es Infrastrukturen, bei denen eine Datenschutzverletzung in eine Katastrophe münden kann. Bei solchen Infrastrukturen ist es normal, dass zusätzliche Pflichten erfüllt und Protokolle eingehalten werden müssen, um sicherzugehen, dass nach einer Datenschutzverletzung tatsächlich alles wieder in Ordnung ist. In einer solchen Situation kommt es nicht nur auf jeden einzelnen Mitarbeiter an. Hier werden zur Behebung der Datenschutzverletzung auch externe Profis um Unterstützung gebeten. Je nachdem, welche Bereiche, Systeme und Daten von einer Datenschutzverletzung betroffen sind, kommen unterschiedliche Vorschriften zur Anwendung.

 

Wie viel sind Organisationen gehalten öffentlich bekanntzugeben und was können (und sollten) sie für sich behalten?

Wenn personenbezogene Daten betroffen sind, muss die Organisation die Personen entweder direkt (per E-Mail, App, schriftlich …) und/oder durch eine öffentliche Mitteilung in den Medien und auf ihren Webseiten informieren. Wie bereits erwähnt sind Besonderheiten und Abweichungen in den Vorschriften definiert. Das ist jedoch nur das Minimum, was eine Organisation tun muss oder tun sollte, um die betreffenden Personen darauf aufmerksam zu machen, dass ihre Daten gegenüber einer nicht autorisierten Partei (wie einem Cyberkriminellen) bekannt sind. Des Weiteren ist es hilfreich, den Betroffenen Hinweise zu geben, welche Maßnahmen sie selbst ergreifen sollten, um ihre Identität oder ihre Finanzen zu schützen. Stellen Sie sich verschiedene Fälle vor, etwa den Fall, bei dem die Namen der Betroffenen und deren Adressen bekannt geworden sind. In diesem konkreten Fall müssen die Betroffenen lediglich darauf aufmerksam gemacht werden. In Fällen, bei denen Benutzernamen und Passwörter abgezogen werden konnten oder die Sicherheit von Kreditkartendaten, Sozialversicherungsnummern und ähnlich sensiblen Daten verletzt wurde, muss sichergestellt werden, dass die Betroffenen ihrerseits geeignete Maßnahmen ergreifen, um den Schaden zu minimieren. Hier sind Empfehlungen hilfreich.

Es gibt allerdings auch Informationen, die nicht im Detail offengelegt werden sollten. Es besteht die Pflicht, anzugeben, was passiert ist und welche Auswirkungen der Vorfall hat. Andererseits liefern zu viele Details gleichzeitig Informationen zu möglichen neuen Angriffspunkten. Die sind entweder für einen erneuten Angriff auf dasselbe Unternehmen dienlich oder bei einem Angriff auf eine Firma mit ähnlich gelagerten Sicherheitsproblemen. Daher ist es durchaus sinnvoll einige Informationen vor der Öffentlichkeit zurückzuhalten, bis das Problem behoben ist. So hat das betreffende Unternehmen die Möglichkeit, durch Patches oder andere Maßnahmen Abhilfe zu schaffen.

Einerseits sollte man also dafür sorgen, dass detaillierte Informationen zunächst nicht an die Öffentlichkeit gelangen. Andererseits wird erwartet, dass die Organisation, die Opfer einer Datenschutzverletzung geworden ist, mit dem Hersteller der gefährdeten Geräte oder Komponenten zusammenarbeitet, um die Probleme so schnell wie möglich zu beheben. Schon allein, damit die betroffenen Organisationen und Einzelpersonen möglichst rasch von der bereitgestellten Lösung profitieren. Der Handlungsablauf wäre in diesem Fall: der Hersteller, der jetzt ein tieferes Verständnis des Software- oder Hardwareproblems gewonnen hat, muss diese Informationen zusammen mit einer Lösung seinen Kunden und Partnern und gegebenenfalls der allgemeinen Öffentlichkeit mitteilen. Dies wäre eine effektive Form, die nötigen Informationen mit den richtigen Empfängern zur richtigen Zeit zu teilen.

 

Was sollte getan werden, um die Vorschriften rund um die Veröffentlichung gegebenenfalls zu verschärfen?

Die Regeln für die Veröffentlichungspflichten im Falle einer Datenschutzverletzungen hängen von den gesetzlichen Anforderungen ab, denen ein Unternehmen unterliegt. Darüber hinaus spielt das Risikoniveau der betreffenden Datenschutzverletzung eine Rolle (etwa hinsichtlich der Daten, der jeweiligen Infrastruktur oder der Daten, die bei Kunden und Partnern betroffen sind). Und selbst dann, wenn wir davon ausgehen, dass die Vorgaben gut und umfassend definiert worden sind, wird es doch immer wieder Fälle geben, in denen wir betroffen sind – aber trotzdem nichts davon wissen. Eine stärkere Vereinheitlichung der Vorschriften trägt sicherlich dazu bei, den Umgang mit der Offenlegungspflicht strukturierter zu gestalten. Ein solcher Standard bietet zudem noch einen weiteren Vorteil. Auf dieser Basis kann ein Land etwa verlangen, dass nicht nur lokale, sondern auch internationale Dienstleister und Organisationen die gleichen Vorschriften bezüglich einer Offenlegung anwenden müssen, wenn sie vor Ort Dienstleistungen und Apps anbieten wollen.

 

Wie sollten verschärfte Vorschriften bezüglich der Benachrichtigung bei Datenschutzverletzungen funktionieren?

Ich würde an dieser Stelle weniger von verschärfen sprechen als von standardisieren. Wenn es einen international anerkannten Standard gäbe, der vorschreibt wie die Veröffentlichungspflicht im Falle einer Datenschutzverletzung auszusehen hat, würde der Prozess vermutlich sehr viel effizienter ablaufen.

Es würden Verfahren definiert, die festlegen, was zu geschehen hat und wann, wer informiert werden muss und was die betreffende Partei mit den bereitgestellten Informationen tun soll. Dadurch haben wir einen Audit-Trail zur Verfügung, der über den gesamten Prozess hinweg mehr Transparenz schafft. Eigentlich sollte das heute schon genau so funktionieren.

 

Sollte es Ausnahmen geben? Falls ja, welche?

In Bezug auf die Transparenz, eher nein. Alles sollte transparent und öffentlich gehandhabt werden. Was die Sicherheit betrifft, sollten Informationen auf Basis des »Need-to-know«-Prinzips weitergegeben werden. Einfach ausgedrückt: Wenn die Sicherheit meiner personenbezogenen Daten verletzt wurde, habe ich das Recht, davon zu erfahren. Die von der Datenschutzverletzung betroffene Organisation, muss mir sämtliche Informationen zu meinen privaten Daten zur Verfügung stellen. Und sie muss mich dazu informieren, welche Maßnahmen ich selbst ergreifen sollte und welche Maßnahmen das betroffene Unternehmen bereits ergriffen hat, um den Schaden zu minimieren. In Bezug auf sicherheitstechnische Erwägungen würde ich nicht erwarten, dass ein Unternehmen mir gegenüber vollständig offenlegt, warum mir das Ganze überhaupt passiert ist. Ich würde allerdings sehr wohl erwarten, dass diese Informationen an diejenigen weitergeleitet werden, die das Problem lösen können, wie etwa die Anbieter von Hardware und Software. Es liegt dann in deren Verantwortung den Veröffentlichungspflichten ihrerseits zu entsprechen. Um auf die Frage zurückzukommen, es gibt eigentlich keine Ausnahmen. Es gibt nur die richtige Art und Weise und den richtigen Zeitpunkt die Informationen bereitzustellen.

 

Abschließend gefragt: Was wäre aus Ihrer Sicht wünschenswert und richtig?

Wünschenswert wäre es in jedem Fall, wenn wir uns auf Benachrichtigungen verlassen können, die uns selbst, unsere Privatsphäre, unser Wohlergehen und unsere Gesundheit betreffen. Es wäre auch wünschenswert, von Rechten und Gesetzen ausgehen zu können, die diese Forderung durchsetzen. In vielen Fällen ist das schon so. Trotzdem gibt es immer noch Datenschutzverletzungen, die von Dritten zur Kenntnis gebracht werden (und nicht vom Unternehmen oder der betroffenen Organisation selbst). Im Idealfall sollten alle nach den gleichen Regeln spielen. Das würde bedeuten, dass internationale wie lokale Dienste über Standardverfahren bei Sicherheits- und Datenschutzverletzungen verfügen.

 

696 Artikel zu „Datenschutz DSGVO“

Datenschutzkonformität: Schnell Klarheit zur EU DSGVO mit Self-Assessment

Ein neu entwickeltes, webbasiertes Self-Assessment von TÜV SÜD hilft Unternehmen bei der Einschätzung ihrer aktuellen Datenschutzkonformität gemäß der EU DSGVO. Die Online-Analyse wird ergänzt durch eine kostenlose Erstberatung und einen frei erhältlichen Praxisleitfaden, speziell für kleine und mittelständische Unternehmen (KMU). »Besonders kleine und mittelständische Unternehmen sind oft unsicher, ob sie die Anforderungen der mit Frist…

DSGVO steigert das Vertrauen der Mitarbeiter in die Datensicherheit – Datenschutz ist keine Einmalaufgabe

Seit Mai 2018 ist die DSGVO anzuwenden, um den Schutz der personenbezogenen Daten zu verbessern und die Privatsphäre der Menschen zu gewährleisten. Die Umsetzung der DSGVO zeitigt einen erheblichen Vertrauenszuwachs bei den Beschäftigten. Qualitätsorientierte Unternehmen streben eine Maximallösung an, um eine belastbare Datenverarbeitungsgrundlage für die Zukunft zu schaffen.

DSGVO: Ein Jahr Datenschutzgrundverordnung

Fast 150.000 Anfragen und Beschwerden mit DSGVO-Bezug sind seit Mai 2018 bei Datenschutzbehörden in Europa aufgelaufen – davon rund 90.000 Benachrichtigung über Datenschutzverletzungen. Zum ersten Jahrestag der neuen europäischen Datenschutzvorschriften ziehen Andrus Ansip, Vizepräsident der Kommission und Kommissar für den digitalen Binnenmarkt‚ und Věra Jourová, Kommissarin für Justiz, Verbraucher und Gleichstellung, eine positive Bilanz: »Durch…

DSGVO und umfassender Datenschutz – wann wird ein Schuh daraus?

Statement zum Europäischen Datenschutztag 2019.   Liviu Arsene, Leitender Bedrohungsanalyst bei Bitdefender Vor einem Dreivierteljahr trat die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Eine wichtige Verordnung, um die Daten von Verbrauchern besser zu schützen. Man könnte annehmen, damit wähnt sich der jährlich mahnende Europäische Datenschutztag an seinem Ziel, erinnert er doch schon zum 13. Mal an das…

DSGVO: Umsetzung der Datenschutzregeln an vielen Stellen weiterhin unklar

■  100 Tage Datenschutzgrundverordnung: Bitkom zieht Bilanz. ■  Dehmel: »Die DSGVO hat die Unternehmen viel Zeit und Geld gekostet.«    Die Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) hat viele Unternehmen vor große Herausforderungen gestellt. Nach einer Umfrage des Digitalverbands Bitkom hatten drei von vier Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. »Auch jetzt noch…

Herausforderung DSGVO: Beim Datenschutz den Durchblick haben

Die Datenschutzgrundverordnung (DSGVO) ist in diesen Tagen omnipräsent. Seit dem Stichtag am 25. Mai herrscht in vielen Unternehmen immer noch Unklarheit. Laut einer aktuellen Bitkom-Studie haben 75 % der deutschen Unternehmen die Frist der DSGVO verfehlt [1]. Lediglich ein Viertel haben ihre Datenverarbeitungsprozesse bereits vor Gültigkeit der Verordnung vollständig an die neuen Datenschutzregeln angepasst. Doch…

US-Cloud Act vs. EU-DSGVO – Steht unser Datenschutz auf dem Spiel?

  Seit dem Inkrafttreten der DSGVO vor knapp vier Wochen könnte man meinen, wir befänden uns datenschutzrechtlich auf der Insel der Glückseligen. Nach jahrelangem Hin und Her hat die Europäische Union klar geregelt, ob, wann und wie personenbezogene Daten künftig erhoben, gespeichert und verarbeitet werden dürfen. Im Tagesgeschäft höchst bürokratisch, aber ein notwendiger Schritt in…

Die DSGVO als Chance zur Verbesserung von Datenschutz und Sicherheit

Regulierung und Verbrauchererwartungen führen dazu, dass Unternehmen ihre Sicht auf Datenhaltung überdenken; 80 Prozent der befragten Unternehmen planen Verringerung der Menge an gespeicherten personenbezogenen Daten. Eine neue Studie von IBM zeigt, dass fast 60 Prozent der befragten Unternehmen die Datenschutzgrundverordnung (DSGVO) als Chance zur Verbesserung der Privatsphäre, Sicherheit, Datenverwaltung und Katalysator für neue Geschäftsmodelle ansehen…

Datenschutzgrundverordnung: Deutsche Unternehmen überwiegend nicht DSGVO-Ready

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Mit der DSGVO soll die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Datenschutzverstöße können nach Inkrafttreten der Verordnung mit Geldbußen in Höhe von bis zu vier Prozent des weltweiten Umsatzes pro Verstoß bestraft werden. Eine realistische Gefahr für…

DSGVO gilt auch für stoffliche Dokumente: Toxische Papiere gefährden Datenschutz

Die »Europäische Datenschutzgrundverordnung« (DSGVO) hat in Marketing-, Vertriebs- und Rechtsabteilungen von Unternehmen ein mittleres Erdbeben ausgelöst. Die Herausforderungen sind immens. Und die Uhr tickt: In wenigen Wochen tritt die DSGVO in Kraft. Die meisten Unternehmen konzentrieren sich jedoch bei der Umsetzung der neuen Verordnung auf ihre digitalen Daten. Völlig außer Acht gelassen wird dabei, dass…

DSGVO: Datenschutz und Datensicherheit

  Ob Datenschutztag, Data Protection Day oder Data Privacy Day – gemeint ist stets der 28. Januar. Das Datum steht für einen 2007 vom Europarat initiierten, jährlich wiederkehrenden Tag, der das Bewusstsein für Datenschutz und Datensicherheit schärfen soll. Selten aber kam dem Datenschutztag eine so besondere, aktuelle Bedeutung zu wie dieses Jahr. Denn ab dem…

Wie geht es nach dem Start der DSGVO weiter?

Ausblick zu Datensicherheit, künstlicher Intelligenz und Datenmanagement. Angesichts der nahenden Frist für die Einhaltung der Vorschriften der EU-DSGVO ist es höchste Zeit für eine Bestandsaufnahme: Wie weit sind Unternehmen aktuell mit der Umsetzung der DSGVO und welche Schritte sind noch erforderlich, um sich vor möglichen negativen Auswirkungen nach dem 25. Mai 2018 zu schützen? Rubrik,…

Neue Gesetzgebung der EU zur Cybersicherheit – warum Unternehmen sich damit befassen sollten

Zwei wichtige neue Gesetze für Sicherheit und Privatsphäre stehen derzeit in Europa im Rampenlicht: die Richtlinie zur Netz- und Informationssicherheit (NIS) und die Datenschutz-Grundverordnung (GDPR). Palo Alto Networks hat einen Leitfaden formuliert, wie sich Unternehmen auf die beschlossenen Regelungen und Vorschriften vorbereiten können. Warum sind NIS und GDPR wichtig für global agierende Unternehmen? Mit diesen…

Neuer EU-Datenschutz wird Anforderungen an BYOD massiv erhöhen

Der Entwurf der neuen Datenschutz-Grundverordnung der EU [1] betrifft auch Unternehmen, die Bring-Your-Own-Device zulassen. Drastisch erhöhte Strafen von bis zu 100 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes bei Verstößen zwingen die IT-Administration dazu, sich jetzt schon vorzubereiten. Unternehmen stehen laut dem Entwurf, der nach Verabschiedung aber sofort EU-weit gültiges Recht wäre, mehrfach in…