Mangelnde IT-Compliance: Wann der „Ölboom“ mit Daten schnell vorüber sein kann

Karsten Krupna Datensicherheit, IT-Recht 0 Kommentare

Die digitale Datenverarbeitung ist ein wichtiger Motor für eine zukunftssichere Unternehmensentwicklung und Daten hierbei – wie es regelmäßig zu lesen ist – das neue (Motoren)Öl. Dabei spielt die Vernetzung und plattformübergreifende Zugriffsmöglichkeit auf sämtliche Datenarten eine zentrale Rolle. Fintechs haben hier z.B. Bankdaten, Hersteller von Gesundheits-Apps oder Wearables hingegen Gesundheitsdaten im Fokus. Werden die entsprechenden Datenschutzanforderungen berücksichtigt, kann ein derartiges Geschäftsmodell wirtschaftlich sehr lukrativ sein.

Problematisch ist es allerdings dann, wenn die „Öl-Pipeline“ ein „Leck“ hat oder – mit anderen Worten – Daten unbefugt an Dritte geraten. Die Gründe für einen Datenverlust sind mannigfaltig. Neben einem Datenklau durch Mitarbeiter, stellen insbesondere Cyberattacken eine zunehmende Gefahr dar. Bei einem Datenverlust steht allerdings nicht nur das Renommee des Unternehmens auf dem Spiel. Ein Verlust von Daten kann zudem Meldepflichten auslösen, bei deren Nichterfüllung hohe Geldbußen drohen.

I. Bußgelder bei einem Verstoß gegen datenschutzrechtliche Meldepflichten

Nach dem bisher geltenden Bundesdatenschutzgesetz (BDSG) können Verstöße gegen Benachrichtigungspflichten mit Bußgeldern in Höhe von bis zu EUR 300.000,00 pro Fall geahndet werden. Die EU-Datenschutzgrundverordnung (DSGVO), welche am 25. Mai 2018 in Kraft tritt, sieht bei einer Pflichtverletzung sogar Bußgelder in Höhe von bis zu EUR 10 Mio. oder 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor. Soweit noch nicht erfolgt, sollten Unternehmen daher dringend interne Verfahren etablieren, um die Erfüllung von Meldepflichten sicherstellen zu können. Andernfalls ist der „Ölboom“ schnell vorüber. Welche grundlegenden Voraussetzungen eine Meldepflicht nach dem BDSG auslösen und welche wesentlichen Änderungen die DSGVO hierzu enthält, werden nachfolgend dargestellt. Zum Abschluss des Beitrags folgen Handlungsempfehlungen zum Umgang mit Datenschutzverletzungen.

II. Was gilt nach dem BDSG?

Nach § 42a BDSG muss ein Unternehmen die Aufsichtsbehörde und die jeweiligen Betroffenen informieren, wenn es feststellt, dass besonders schutzwürdige bei ihr gespeicherte Daten Dritten unrechtmäßig zur Kenntnis gelangt sind und dadurch schwerwiegende Beeinträchtigungen für die Rechte und Interessen des Betroffenen drohen. Als besonders schutzwürdig gelten gemäß § 42a Satz 1 BDSG die folgenden Datenarten:

  1. besondere Arten personenbezogener Daten,
  2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
  3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
  4. personenbezogene Daten zu Bank- oder Kreditkartenkonten

Sind keine der vorgenannten Datenarten betroffen, entfällt die Prüfung der weiteren Voraussetzungen von § 42a BDSG und damit die Benachrichtigungspflicht (zumindest) nach dem BDSG. Zu beachten sind von den betroffenen Unternehmen allerdings weitere Meldepflichten, die sich z.B. aus dem IT-Sicherheitsgesetz oder aus dem Vertrag mit dem Betroffenen (z.B. Kunden) ergeben können.
Sind hingegen z.B. Bankdaten betroffen und die weiteren Voraussetzungen einer Benachrichtigungspflicht gemäß § 42a BDSG erfüllt, müssen die Aufsichtsbehörde und die Betroffenen grundsätzlich „unverzüglich“ informiert werden. In entsprechender Anwendung von § 121 Abs. 1 Satz 1 Bürgerliches Gesetzbuch (BGB) ist hierunter ein Handeln „ohne schuldhaftes Zögern“ zu verstehen.

III. Was ändert sich mit der DSGVO?

Die Datenschutzgrundverordnung hält mit den Bestimmungen in Art. 33, 34 DSGVO an der Grundstruktur des § 42a BDSG fest, erweitert jedoch den Anwendungsbereich sowie einzelne Pflichten.

1. Meldung an die Aufsichtsbehörde

Art. 33 DSGVO normiert eine Meldepflicht an die Aufsichtsbehörde „im Falle einer Verletzung des Schutzes personenbezogener Daten“. Ausreichend für ein solches Ereignis ist dabei die „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstiger Weise verarbeitet wurden“ (vgl. Art. 4 Nr. 12 DSGVO). Neben z.B. Cyberattacken, können somit bereits Datenverluste durch Systemabstürze eine Meldepflicht auslösen.

Darüber hinaus wird die Meldepflicht nach der DSGVO nicht mehr auf bestimmte Datenarten beschränkt. Vielmehr muss gegenüber der Aufsichtsbehörde stets eine Meldung erfolgen, es sei denn, die Datenschutzverletzung führt „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten des Betroffenen“. Anhand welcher Kriterien die vorgenannte Risikobewertung vorzunehmen ist, bleibt offen und obliegt letztlich der Beurteilung des verantwortlichen Unternehmens. Da die Meldepflicht jedoch an eine Verletzung der Sicherheit anknüpft, welche von dem Unternehmen bereits gemäß Art. 32 DSGVO unter Berücksichtigung der Risiken für die Betroffenen gewährleistet werden muss, ist von dem Grundsatz auszugehen, dass die Risikobewertung nach Art. 33 DSGVO der vorherigen Bewertung nach Art. 32 Abs. 1 und Abs. 2 DSGVO folgt.

Im Falle einer Meldepflicht muss sodann, außer in begründeten Ausnahmefällen, die Meldung an die Aufsichtsbehörde unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach dem Bekanntwerden der Datenschutzverletzung erfolgen.

2. Benachrichtigung des Betroffenen

Für die Benachrichtigung der Betroffenen gilt ebenfalls die bereits zuvor genannte Erweiterung der Meldepflichten (Art. 4 Nr. 12 DSGVO). Die Betroffenen müssen allerdings gemäß Art. 34 DSGVO nur dann benachrichtigt werden, wenn „voraussichtlich ein hohes Risiko“ für deren Rechte und Freiheiten droht. Die Schwelle zur Benachrichtigungspflicht gegenüber einem Betroffenen ist damit höher als die einer Meldepflicht gegenüber der Aufsichtsbehörde. Zwar obliegt auch in diesem Fall die Risikobewertung dem jeweiligen Unternehmen. Allerdings soll der Europäische Datenschutzausschuss gemäß Art. 70 Abs. 1 Buchst. h DSGVO hier zumindest Leitlinien und Empfehlungen bereitstellen. Droht im Ergebnis voraussichtlich ein hohes Risiko, muss die Benachrichtigung der Betroffenen unverzüglich erfolgen, sofern keine Ausnahme nach Art. 34 Abs. 3 DSGVO greift. So entfällt z.B. die Benachrichtigungspflicht, wenn durch eine Verschlüsselung ein unbefugter Zugang auf die personenbezogenen Daten praktisch ausgeschlossen ist.

IV. Handlungsempfehlungen

Unternehmen die bisher den Aspekt der Meldepflichten bei Datenschutzverletzungen im Rahmen ihrer IT-Compliance nicht oder nur unzureichend berücksichtigt haben, sollten ein Notfallmanagement etablieren, das das bestehende Konzept zunächst bewertet, sofern erforderlich anpasst und sodann nach Maßgabe der DSGVO regelmäßig erneut überprüft. Dabei sollte das Konzept bereits bei Präventivmaßnahmen ansetzen und sodann einen Maßnahmenkatalog für den Fall einer Datenschutzverletzung entwickeln.
Präventiv muss beispielsweise Folgendes betrachtet werden:

  • Prüfung der Datenverarbeitungsprozesse sowie der technischen und organisatorischen Maßnahmen auf Gesetzeskonformität,
  • Identifizierung und Minimierung besonders riskanter Sachverhalte unter Berücksichtigung der Sensibilität der Daten,
  • Sicherstellung einer internen Meldung relevanter Ereignisse (Informationskette),
  • Anpassung und Schulung der IT-Richtlinien für alle Mitarbeiter,
  • Prüfung der Notwendigkeit und des Umfanges eines Versicherungsschutzes,
  • kontinuierliche Auswertung aller informell oder öffentlich bekannt gewordenen Schadensfälle im Sinne einer „lernenden Organisation“,
  • Etablierung eines Krisenstabes für den Fall eines Datenverlustes und dessen Meldung.

 

Im Falle eines Datenverlustes hat der Krisenstab neben IT-technischen Maßnahmen ein umfangreiches Szenario abzuarbeiten:

  • Beachtung gesetzlicher und vertraglicher Informationspflichten (z.B. gegenüber Betroffenen, der Aufsichtsbehörde oder dem BSI),
  • Prüfung und Abwehr von Schadenersatzansprüchen betroffener Personen,
  • Prüfung und Durchsetzung von Schadenersatzansprüchen gegen einen Vertragspartner wegen einer Vertragsverletzung,
  • Stellung einer Strafanzeige,
  • Prüfung und Durchsetzung von Schadenersatzansprüchen gegen den Täter,
  • Geltendmachung des Versicherungsschadens,
  • Abstimmung der Öffentlichkeitsarbeit

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.