Читать книгу IT-Sicherheit für Dummies - Rainer W. Gerling - Страница 49
Meldepflichten bei Vorfällen
ОглавлениеKommt es zu einem Datenschutz- oder IT-Sicherheitsvorfall, müssen Sie ab einer gewissen Schwelle die Vorfälle an die zuständigen Behörden melden. Im Bereich der kritischen Infrastruktur müssen Sie Sicherheitsvorfälle an das BSI melden. Bei Datenschutzvorfällen müssen Sie in Abhängigkeit vom Risiko die Datenschutzaufsichtsbehörden und bei einem hohen Risiko sogar die betroffenen Personen informieren.
Durch eine Unachtsamkeit beim Bearbeiten von eingehenden E-Mails kommt es in einer Arztpraxis zu einer Schadsoftware-Infektion. Alle Patientendaten werden durch die Schadsoftware verschlüsselt, um ein Lösegeld zu erpressen. Auch wenn die Schadsoftware keine Daten kopiert hat, handelt es sich um einen Datenschutzvorfall, da die Verfügbarkeit der Patientendaten nicht mehr gegeben ist. Sie müssen prüfen, ob der Vorfall meldepflichtig ist. Wenn es ein Backup gibt und die Praxis nach kurzer Zeit wieder voll funktionsfähig ist, besteht kein Risiko für die Patienten. Also muss der Vorfall zwar dokumentiert, aber nicht gemeldet werden. Wenn es kein Backup gibt, und alle Patientendaten damit verloren sind, entstünde ein hohes Risiko für die Patienten, da ihre Behandlungshistorie nicht mehr existiert. Deshalb müssen Sie in diesem Fall neben der Aufsichtsbehörde auch die Patienten informieren.
Die Meldung muss nach dem BSI-Gesetz und dem TKG unverzüglich und im Fall von Datenschutzverstößen innerhalb von 72 Stunden erfolgen. Eine Nicht-Meldung ist bußgeldbewehrt. Wer einen Sicherheitsvorfall nach § 8a Abs. 4 BSI-Gesetz »vorsätzlich oder fahrlässig …nicht richtig, nicht vollständig oder nicht rechtzeitig« meldet, erhält ein Bußgeld bis zu fünfhunderttausend Euro. Wer einen Datenschutzvorfall nach Art 33 DS-GVO nicht meldet, muss mit »Geldbußen von bis zu zehn Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs« rechnen. Es gilt die jeweils höhere Grenze für die Festsetzung des Bußgelds. In Deutschland wird eine Öffnungsklausel der DS-GVO genutzt, sodass gegen Behörden und sonstige öffentliche Stellen kein Bußgeld verhängt wird (§ 43 Abs. 3 BDSG und vergleichbare Regelungen in den Landesdatenschutzgesetzen).
Sofern eine öffentliche Stelle unter den Anwendungsbereich der EU-Richtlinie 2016/680 (das sind für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung zuständige Behörden) fällt, ist eine entsprechende Meldepflicht in § 65 BDSG geregelt. § 65 BDSG gilt für die entsprechenden Landesbehörden der Rechtspflege, soweit in den Landesdatenschutzgesetzen nichts anderes geregelt ist.
Relativ neu ist die Meldepflicht nach § 168 TKG für ein Unternehmen, das ein »öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt«. Ein derartiges Unternehmen muss einen »Sicherheitsvorfall mit beträchtlichen Auswirkungen auf den Betrieb der Netze oder die Erbringung der Dienste« unverzüglich dem BSI sowie der Bundesnetzagentur (BNA) als für die Telekommunikation zuständige Aufsichtsbehörde mitteilen. In § 169 TKG ist eine Meldepflicht für die Erbringer öffentlich zugänglicher Telekommunikationsdienste im Fall der Verletzung des Schutzes personenbezogener Daten aufgenommen worden. Auch hier erfolgt die Meldung nicht nur an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), wie bereits nach der DS-GVO erforderlich, sondern zusätzlich auch wieder an die Bundesnetzagentur.
Im TKG wird sowohl für Sicherheitsvorfälle als auch für Datenschutzvorfälle der Inhalt der Meldepflicht detailliert festgelegt.
Tabelle 3.1 zeigt eine Übersicht über den Inhalt der Meldepflichten im BSI-Gesetz, im TKG und in der DS-GVO. Zwei der Vorgaben beziehen sich auf IT-Sicherheitsvorfälle (§ 8b Abs. 4 BSI-Gesetz und § 168 Abs. 1 f. TKG) und zwei auf Datenschutzvorfälle (§ 169 Abs. 1 f. TKG und Art. 33 Abs. 3 DS-GVO). Die Tabelle zeigt, dass die Ausgestaltung der Meldepflicht in unterschiedlichen Gesetzen sehr unterschiedlich ist.
| Inhalt Meldepflicht | § 8b BSIG | § 168 TKG | § 169 TKG | Art. 33 DS-GVO |
|---|---|---|---|---|
| IT-Sicherheit | Datenschutz | |||
| Beschreibung Vorfall | ||||
| Ausmaß | - | - | - | |
| Zahl der betroffenen Personen | - | - | ||
| Zahl der betroffenen Systeme | - | - | - | |
| betroffene Technik/Dienste | - | - | ||
| Dauer des Vorfalls | - | - | - | |
| geografische Ausdehnung | - | - | ||
| Ursache | - | - | ||
| Folgen | - | |||
| Maßnahmen | - | - | ||
| Kontakt für Nachfragen | - | - | ||
| Meldefrist | unverzüglich | unverzüglich | unverzüglich | 72 Stunden |
| Meldestelle | BSI | BNA, BSI | BNA, BfDI | DS-Aufsicht |
Tabelle 3.1: Die expliziten gesetzlichen Vorgaben für Unternehmen bezüglich der Meldepflicht eines IT-Sicherheits- beziehungsweise Datenschutzvorfalls.
Das BSI hat auf Basis des § 8b Abs. 4 ein siebenseitiges Meldeformular erstellt, das sehr detailliert die Einzelheiten eines Vorfalls (»Angaben zur Störung«) erhebt. Auch die Datenschutzaufsichtsbehörden haben Papier- oder Web-Formulare zur Erhebung von meldepflichtigen Datenschutzverletzungen erstellt. Diese Formulare bieten Ihnen eine gute Orientierung für die Erstellung eigener, organisationsinterner Meldeformulare. Hierauf gehen wir in Kapitel 15 noch detailliert ein.
Die Meldepflichten sollen den Druck auf Unternehmen und Behörden erhöhen, die Vorgaben auch ernst zu nehmen. Hinzu kommt, dass das BSI regelmäßig Lagebilder zur Situation der IT-Sicherheit in Deutschland erstellt. Auch hierzu werden Daten über Vorfälle benötigt. Der Austausch von Informationen zu Vorfällen kann bisher nicht betroffenen Unternehmen helfen, sich selber besser aufzustellen. Der Austausch und das Voneinander-Lernen sind ein wesentlicher Aspekt der Verbesserung der Informationssicherheit, auf den wir im Kapitel 15 ausführlich eingehen.
Im Rahmen der Evaluierung der NIS-Richtlinie war die Europäische Kommission unzufrieden mit der Bandbreite der Umsetzungen der Meldepflicht in den verschiedenen Mitgliedsländern. Unternehmen, die in Ländern mit weniger stringenten Vorgaben ansässig sind, haben Wettbewerbsvorteile, da die weniger aufwendigen Meldevorgaben weniger Kosten verursachen. Unternehmen, die in mehreren Mitgliedsländern tätig sind, müssen die unterschiedlichen Meldepflichten beachten und haben dadurch Nachteile. Insofern will die Kommission die Vorgaben zur Meldepflicht stringenter fassen und damit vereinheitlichen.
