DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Was muss wem wann wie gemeldet werden?

Geän­derte Mel­de­pflicht von Daten­schutz­ver­let­zungen nach DS-GVO

Schon nach altem Bun­des­da­ten­schutz­gesetz gab es die Pflicht, Daten­pannen selbst und aktiv an die zuständige Daten­schutz­auf­sichts­be­hörde und die Betrof­fenen mit­zu­teilen (§ 42a BDSG a.F.). Aller­dings nur für Pannen mit bestimmten Arten von Daten und schwer­wie­genden Beein­träch­ti­gungen für die Betrof­fenen, also für „schlimme” Daten­pannen. Die Anzahl der Mit­tei­lungen an die Auf­sichts­be­hörden hielt sich sehr in Grenzen, zum Teil sicher auch, weil die Pflicht zur Mit­teilung gar nicht bekannt war.

Die per Pres­se­mit­teilung vom BfDI (Bun­des­be­auf­tragter für den Daten­schutz und die Infor­ma­ti­ons­freiheit) am 27.01.2019 ver­öf­fent­lichte Zahl von mehr als 12.000 bun­desweit gemel­deten Daten­schutz­ver­let­zungen seit Anwen­dungs­beginn der DS-GVO zeigt, dass die ver­schärften Vor­schriften inzwi­schen bei vielen Unter­nehmen bekannt sind und ent­spre­chende Mel­de­pro­zesse eta­bliert wurden.

Das mag auch haupt­sächlich daran liegen, dass Ver­stöße gegen die Mel­de­pflicht mit Geld­bußen i.H.v. bis zu 2% des welt­weiten Jah­res­um­satzes oder 10.000.000 Euro sank­tio­niert werden können …

Mel­de­prozess und Ver­ant­wort­lichkeit muss defi­niert und im Unter­nehmen bekannt sein.

Um den gesetz­lichen Vor­gaben über­haupt nach­kommen zu können, muss in jedem Unter­nehmen eine Ver­ant­wort­lichkeit für den Umgang mit Daten­pannen („Daten­pannen-Ver­­an­t­wor­t­­licher”, das kann, muss aber nicht der Daten­schutz­be­auf­tragte sein) defi­niert und ein Mel­de­prozess für Daten­pannen eta­bliert sein. Alle Mit­ar­beiter müssen diese Ver­ant­wort­lichkeit und den Prozess natürlich auch kennen!

Was muss wem gemeldet werden?

Jede Daten­schutz­ver­letzung ist der Auf­sichts­be­hörde zu melden, außer sie führt vor­aus­sichtlich nicht zu einem Risiko für den oder die Betrof­fenen (Art. 33 Abs. 1 Satz 1 DS-GVO).

Zudem ist die Daten­schutz­ver­letzung an den oder die Betrof­fenen zu melden, wenn sie vor­aus­sichtlich zu einem hohen Risiko führt (Art. 34 Abs. 1 DS-GVO).

Wie bei vielen anderen Themen der DS-GVO wird auch hier in Ein­zel­fällen heiß dis­ku­tiert, was das nun bedeutet. Ist z. B. jeder ver­se­hent­liche Fehl­versand per­so­nen­be­zo­gener Daten an einen fal­schen Emp­fänger per Post oder E-Mail mel­de­pflichtig?

Was eine Daten­schutz­ver­letzung über­haupt ist, kann z. B. aus dem Mel­de­for­mular  der baye­ri­schen Daten­schutz­auf­sichts­be­hörde aus der Aus­wahl­liste bei der Frage „Was ist pas­siert?” her­aus­ge­lesen werden. Vom Cyber- über den Viren­an­griff, Soft­ware­fehler und Verlust ist auch der Fehl­versand aus­wählbar.

Einen guten Ein­stieg in das Thema bietet aus meiner Sicht zudem die Ver­öf­fent­li­chung der ham­bur­gi­schen Daten­schutz­auf­sichts­be­hörde zu Data-Breach-Mel­­dungen vom 15.11.2018. Hier sind auf den Seiten 4 und 5 Bei­spiele für Daten­pannen und deren Folgen nach Meinung der ham­bur­gi­schen Daten­schutz­auf­sichts­be­hörde auf­ge­führt.

So soll z. B. der Verlust eines USB-Sticks mit ver­schlüs­selten Daten (!) nicht zu einer Mel­de­pflicht führen. Der Versand eines Kon­to­auszugs an einen fal­schen Kunden soll dagegen die Mel­de­pflicht an die Auf­sichts­be­hörde aus­lösen, nicht aber die Mel­de­pflicht an den Betrof­fenen. Bei ver­se­hent­licher Ver­sendung von Schü­ler­daten an eine Mai­ling­liste seien sowohl Auf­sichts­be­hörde, als auch die Betrof­fenen zu infor­mieren.

Meine Meinung: im Zweifel sollten Sie die Meldung bei der Auf­sichts­be­hörde lieber durch­führen. Die Nicht-Durch­­­führung einer Meldung ist mit Geldbuße bewehrt …

Übrigens: auch wenn nicht gemeldet wird, muss die Daten­panne unter­neh­mens­intern doku­men­tiert werden. Diese Doku­men­tation muss der Auf­sichts­be­hörde die Über­prüfung der Ein­haltung der Mel­de­pflicht ermög­lichen (Art. 33 Abs. 5 DS-GVO).

Wann muss gemeldet werden?

Die Meldung an die Auf­sichts­be­hörde muss binnen 72 Stunden erfolgen. Die Frist beginnt mit Kennt­nis­nahme der wesent­lichen Tat­sachen durch das Unter­nehmen.

Die Meldung an die Betrof­fenen muss, sofern sie not­wendig ist, unver­züglich erfolgen, d. h. soll schnell wie möglich (ohne schuld­haftes Zögern).

Wie muss gemeldet werden?

Alle deut­schen Auf­sichts­be­hörden haben m. W. n. inzwi­schen die Mög­lichkeit einer Online-Meldung geschaffen, z. B. in Hamburg unter (s. Link oder in Bayern (wie oben) unter  (s. Link).

Die Meldung an die Betrof­fenen muss in klarer, ein­facher Sprache unter Mit­teilung der Art der Daten­schutz­ver­letzung, der Kon­takt­daten für weitere Infor­ma­tionen, einer Beschreibung der wahr­schein­lichen Folgen und der vom Ver­ur­sacher ergrif­fenen oder vor­ge­schla­genen Maß­nahmen zur Behebung oder Abmil­derung nach­tei­liger Folgen erfolgen. Ob dies schriftlich oder elek­tro­nisch (oder auf beiden Wegen) erfolgen muss, hängt sicherlich vom Ein­zelfall ab.

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werk­um­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.