Wie Incident Report Tools helfen

Datenschutz und Compliance sehen Meldepflichten vor

Die Aufsichtsbehörden für den Datenschutz stellen ebenso konkrete Forderungen an Meldepflichten bei IT-Sicherheitsvorfällen. So besagt die Entschließung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder "IT-Sicherheitsgesetz nicht ohne Datenschutz", dass die Datenschutzaufsichtsbehörden in die Meldewege eingebunden und bei der Beratung der Beteiligten im Sinne des Abwägungsprozesses zwischen Informationssicherheits- und Datenschutzmaßnahmen beteiligt werden sollten. Zudem könnte mit der Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle an das BSI eine datenschutzrechtliche Meldepflicht von Datenpannen verbunden sein.

Das Bundesdatenschutzgesetz (BDSG) sieht entsprechende Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten vor, ebenso die EU-Verordnung über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten. Entsprechende Meldepflichten bei Datenpannen sind auch von der EU-Datenschutz-Grundverordnung zu erwarten.

Laut BDSG müssen Unternehmen der zuständigen Datenschutzaufsichtsbehörde sowie den Betroffenen unverzüglich mitteilen, wenn zum Beispiel

• besondere Arten personenbezogener Daten (wie Gesundheitsdaten),

• personenbezogene Daten, die einem Berufsgeheimnis unterliegen, oder

• personenbezogene Daten zu Bank- oder Kreditkartenkonten

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen.

Neben dem IT-Sicherheits-Gesetz und dem Bundesdatenschutzgesetz sehen eine Reihe weiterer Gesetze und Compliance-Vorgaben Meldepflichten bei IT-Sicherheits-Vorfällen vor, teilweise abgeleitet aus den Vorgaben des BDSG, darunter das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG). Es gibt aber auch branchenspezifische Meldepflichten, wie die sich in Beratung befindlichen Vorgaben der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), zum Beispiel bei einem schwerwiegenden Zahlungssicherheitsvorfall, sowie die Richtlinie Security Incident Management der Kassenärztlichen Bundesvereinigung (KBV). Einen Überblick zu den Meldepflichten auf EU-Ebene gibt ENISA (European Union Agency for Network and Information Security) in der Publikation "Cyber Incident Reporting in the EU".