- silicon.de - http://www.silicon.de -

Cyberangriffe und DSGVO: Die Meldepflichten

In weniger als einem Jahr läuft die Übergangsfrist für die Umsetzung der EU-Datenschutzgrundverordnung – kurz EU-DSGVO – ab. Unternehmen bleiben also nur noch rund 12 Monate, um ihre Prozesse den neuen Vorschriften, Melde- und Informationspflichten anzupassen und bestehende Sicherheitsvorkehrungen kritisch zu prüfen. War es für Unternehmen bisher verlockend, Datenpannen unter den Tisch zu kehren, dürften die künftig deutlich verschärften Bußgeldvorschriften so manchen CEO und CIO zum Nachdenken bewegen.

Doch auch unabhängig von der DSGVO bestehen aktuell schon verschiedene Meldepflichten für Cyberangriffe und Datenschutzverletzungen basierend auf diversen Gesetzen. Doch unter welchen Voraussetzungen ist ein Unternehmen zur Meldung eines Cyberangriffs verpflichtet? Und was ist im Falle einer Datenpanne zu beachten?

Datenschutz (Bild: Shutterstock) [1]

Es dürfte wohl vor allem die Angst vor schlechter Presse, Rechtfertigungsnöten und Reputationsschäden sein, die Unternehmen dazu bewegen, Hackerangriffe und Cyber-Erpressungen vor Behörden, Polizei und der Öffentlichkeit zu verschweigen. Doch was aus unternehmerischer Sicht durchaus nachvollziehbar erscheint, ist aus rechtlicher Sicht heikel. Besonders kritisch wird es für ein Unternehmen, wenn Verletzungen der Datensicherheit stattgefunden haben, das heißt wenn sich unberechtigte Personen oder Institutionen Zugriff auf den Datenbestand und speziell sensible personenbezogene Daten verschaffen konnten. Dabei gilt ein Zugriff dann als unberechtigt, wenn der Betroffene diesem nicht zugestimmt hat und das Bundesdatenschutzgesetz (BDSG) oder andere Vorschriften den Zugriff untersagen. Welche Meldepflichten sich für Unternehmen nach Datenverlusten ergeben, möchte ich im Folgenden kurz erläutern:

Die Grundvorschrift zur Meldung von Datenschutzverletzungen wird durch das Bundesdatenschutzgesetzt (BDSG) geregelt: Hegen Unternehmen den begründeten Verdacht, dass ein unberechtigter Zugriff auf den Datenbestand eines Unternehmens stattgefunden hat, ist es gemäß § 42a BDSG zur Meldung des Vorfalls verpflichtet. Das betroffene Unternehmen muss demnach die jeweilige Datenschutz-Aufsichtsbehörde (in der Regel den Datenschutzbeauftragten des jeweiligen Bundeslandes) sowie die Betroffenen selbst nachweislich und vor allem unverzüglich über den Vorfall informieren. Kommt ein Unternehmen seiner Benachrichtigungspflicht nicht, unvollständig oder nicht rechtzeitig nach, begeht er eine Ordnungswidrigkeit (§ 43 Abs. 2 Nr. 6 BDSG) und unter Umständen auch eine Straftat (§ 44 Abs. 1 BDSG), die ein Bußgeld von bis zu 300.000 Euro nach sich ziehen kann.

[highlightbox id="41634292"]

Für Telemedienvertreter – und dazu zählt grundsätzlich jedweder Anbieter einer Webseite oder eines Internetshops – gelten zusätzlich zu den Meldepflichten des BDSG auch die des Telemediengesetzes (TMG). Dies wird von den betroffenen Unternehmen indes gerne übersehen. Dabei müssen nicht einmal besonders sensible Daten (Gesundheitsdaten etc.) betroffen sein. Selbst der Verlust von herkömmlichen Bestands- oder Nutzungsdaten wie Passwörtern oder IP-Adressen verpflichtet den Anbieter zur sofortigen Meldung des Vorfalls bei der Behörde.

Besondere Aufmerksamkeit sollten Unternehmen auch der im Jahr 2016 beschlossenen EU-Datenschutzgrundverordnung (EU-DSGVO) schenken, die bereits am 25. Mai 2018 in Kraft treten wird. Auch sie sieht vor, dass Unternehmen bei Datenschutzverletzungen Behörden sowie betroffene Personen und Institutionen unverzüglich informieren. Vor allem die nicht delegierbare Haftung durch die Unternehmensleitung sowie scharfe Bußgeldvorschriften (Art. 79 EU-DSGVO) können den Unternehmen – und speziell kleineren Firmen – im Fall einer Datenpanne ernsthafte bis existenzgefährdende Probleme bereiten. Immerhin können je nach Einzelfall und Verhältnismäßigkeit Bußgelder bis zu einer Höhe von 20 Millionen Euro oder vier Prozent des Jahresumsatzes anfallen – je nachdem, welcher Betrag höher ist.

[highlightbox id="41634264"]

Sind so manche Unternehmen bereits mit der Bewältigung des Cyberangriffs und des erlittenen Datenverlustes überfordert, stellt sie der Paragraphen-Dschungel rund um die verschiedenen Meldepflichten vor weitere Herausforderungen. Da die Bewertung der Datenpanne und die Entscheidung, ob eine Meldepflicht vorliegt, nicht immer ganz leicht sind, rate ich betroffenen Unternehmen, jeden Einzelfall genauestens zu prüfen und gegebenenfalls einen Fachjuristen zu konsultieren. Unternehmen müssen sich klar machen, dass die Bekanntmachung erlittener Cyberangriffe auch Gutes hat, denn nur wenn Angriffe und Erpressungen flächendeckend gemeldet und analysiert werden, können die Behörden das wahre Ausmaß der Cyberkriminalität erfassen,  Rückschlüsse auf organisierte Hackergruppen ziehen und entsprechende Ressourcen zur Cyberabwehr bereitstellen.

Neben Bußgeldern bei Verletzung der Meldepflichten drohen Unternehmen bei Cyberangriffen jedoch auch Haftungen und Schadensersatzansprüche. Was Unternehmen hier zu beachten haben, erkläre ich in meinem nächsten Blog.