DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Daten­panne

Hätten Sie es gewusst? Pas­siert in Ihrem Unter­nehmen eine Daten­panne, so müssen Sie, unter bestimmten Vor­aus­set­zungen, unver­züglich die für Sie zuständige Auf­sichts­be­hörde sowie die Betrof­fenen infor­mieren. Tun Sie das nicht, ris­kieren Sie, neben den sons­tigen nega­tiven Aus­wir­kungen der Daten­panne, ein recht def­tiges Bußgeld von bis zu 300.000 Euro.

Gesetz­liche Rege­lungen

Die Infor­ma­ti­ons­pflicht ist im § 42a des Bun­des­da­ten­schutz­ge­setzes (BDSG) geregelt und bereits seit 01.09.2009 in Kraft. Sie gilt für Pannen mit bestimmten per­so­nen­be­zo­genen Daten:

  • per­so­nen­be­zogene Daten, die einem Berufs­ge­heimnis unter­liegen (z.B. der ärzt­lichen oder anwalt­lichen Schwei­ge­pflicht, dem Steu­er­­be­­rater- oder Wirt­schafts­prüf­erge­heimnis etc.)
  • per­so­nen­be­zogene Daten, die sich auf strafbare Hand­lungen oder Ord­nungs­wid­rig­keiten beziehen
  • per­so­nen­be­zogene Daten zu Bank- oder Kre­dit­kar­ten­konten
  • besondere Arten per­so­nen­be­zo­gener Daten (d.h. Angaben über ras­sische und eth­nische Her­kunft, poli­tische Mei­nungen, reli­giöse oder phi­lo­so­phische Über­zeu­gungen, Gewerk­schafts­zu­ge­hö­rigkeit, Gesundheit oder Sexu­al­leben)

Unter­liegt Ihr Unter­nehmen dem Tele­kom­mu­ni­ka­ti­ons­gesetz (TKG) bzw. dem Tele­me­di­en­gesetz (TMG) gelten bereichs­spe­zi­fische Rege­lungen.

Das kann auf Ihr Unter­nehmen nicht zutreffen? Ich denke schon. Sie haben sicherlich Infor­ma­tionen zu Bank- oder Kre­dit­kar­ten­konten Ihrer Lie­fe­ranten und Kunden gespei­chert. Zumindest ent­halten die zur Lohn­ab­rechnung und –buch­haltung über Ihre Mit­ar­beiter vor­lie­genden Daten Angaben zur Kir­chen­zu­ge­hö­rigkeit und damit zu reli­giösen Über­zeu­gungen oder Angaben zur Schwer­be­hin­derung und damit Gesund­heits­daten.

Was ist eine Daten­panne

Was ist nun eine Daten­panne? Im BDSG findet sich der etwas sperrige Begriff der unrecht­mä­ßigen Kennt­nis­er­langung. Wenn die Offen­barung der Daten an einen Unbe­rech­tigten wahr­scheinlich erfolgt ist, liegt eine Daten­panne vor. Das kann die aus Ver­sehen an den fal­schen Emp­fänger gesendete E‑Mail, aber auch das ver­lorene Notebook oder Smart­phone mit gespei­cherten Daten sein. Zu melden sind Daten­pannen aller­dings nur, wenn schwer­wie­gende Beein­träch­ti­gungen für die Betrof­fenen drohen. Die Ein­schätzung, ob dies im Ein­zelfall zutrifft, ist natürlich schwierig. Hier muss die Gefahr bewertet werden, ob ein unbe­rech­tigter Emp­fänger die Daten in einer für die Betrof­fenen schä­di­genden Weise ver­wendet, z.B. durch Wei­tergabe oder Ver­öf­fent­li­chung. Im Zweifel sollten Sie der Infor­ma­ti­ons­pflicht lieber nach­kommen, als eine Benach­rich­tigung zu unter­lassen. Ansonsten droht ein Bußgeld von bis zu 300.000 Euro. Dabei ist es uner­heblich, ob Sie der Infor­ma­ti­ons­pflicht absichtlich nicht nach­ge­kommen sind oder die Meldung fahr­lässig, z.B. aus Unkenntnis, nicht durch­ge­führt haben.

Sie sollten also in Ihrem Unter­nehmen unbe­dingt Ihre Mit­ar­beiter infor­mieren und Mel­de­pro­zesse defi­nieren, damit Sie auch jede Daten­panne kennen. Gemeinsam mit Ihrem Daten­schutz­be­auf­tragten müssen Sie dann vor­kom­mende Daten­pannen bewerten. Sofern Sie keinen Daten­schutz­be­auf­tragten bestellen müssen, trifft die Pflicht zur Umsetzung des BDSG den Leiter des Unter­nehmens.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werk­um­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.