Die Bereiche mit einem sehr hohen Risiko müssen vorrangig behandelt werden. Durch geeignete Maßnahmen wird das Risiko vermindert. Vorrangig sollten Risiken vermieden werden. Unvermeidbare Risiken, die sich nicht durch technisch-organistorsiche Maßnahmen reduzieren lassen, müssen delegiert (zum Beispiel an eine Versicherung) oder als Restrisiko getragen werden (siehe Abbildung 3.2). Die Entscheidung, welche Risiken delegiert und welche getragen werden, trifft letztendlich die Geschäftsleitung.
Abbildung 3.2: Durch die Risikostrategien Vermeiden, Reduzieren und Delegieren kann das Gesamtrisiko auf ein tragbares Restrisiko vermindert werden.
Eine Betrachtung der Risiken müssen Sie regelmäßig wiederholen, um eventuelle zwischenzeitlich veränderte Aspekte berücksichtigen zu können. Außerdem müssen Sie alle Überlegungen zu den Risiken dokumentieren, damit die Klassifizierungen und die daraus folgenden Entscheidungen jederzeit nachvollzogen werden können.
Meldepflichten bei Vorfällen
Kommt es zu einem Datenschutz- oder IT-Sicherheitsvorfall, müssen Sie ab einer gewissen Schwelle die Vorfälle an die zuständigen Behörden melden. Im Bereich der kritischen Infrastruktur müssen Sie Sicherheitsvorfälle an das BSI melden. Bei Datenschutzvorfällen müssen Sie in Abhängigkeit vom Risiko die Datenschutzaufsichtsbehörden und bei einem hohen Risiko sogar die betroffenen Personen informieren.
Durch eine Unachtsamkeit beim Bearbeiten von eingehenden E-Mails kommt es in einer Arztpraxis zu einer Schadsoftware-Infektion. Alle Patientendaten werden durch die Schadsoftware verschlüsselt, um ein Lösegeld zu erpressen. Auch wenn die Schadsoftware keine Daten kopiert hat, handelt es sich um einen Datenschutzvorfall, da die Verfügbarkeit der Patientendaten nicht mehr gegeben ist. Sie müssen prüfen, ob der Vorfall meldepflichtig ist. Wenn es ein Backup gibt und die Praxis nach kurzer Zeit wieder voll funktionsfähig ist, besteht kein Risiko für die Patienten. Also muss der Vorfall zwar dokumentiert, aber nicht gemeldet werden. Wenn es kein Backup gibt, und alle Patientendaten damit verloren sind, entstünde ein hohes Risiko für die Patienten, da ihre Behandlungshistorie nicht mehr existiert. Deshalb müssen Sie in diesem Fall neben der Aufsichtsbehörde auch die Patienten informieren.Die Meldung muss nach dem BSI-Gesetz und dem TKG unverzüglich und im Fall von Datenschutzverstößen innerhalb von 72 Stunden erfolgen. Eine Nicht-Meldung ist bußgeldbewehrt. Wer einen Sicherheitsvorfall nach § 8a Abs. 4 BSI-Gesetz »vorsätzlich oder fahrlässig …nicht richtig, nicht vollständig oder nicht rechtzeitig« meldet, erhält ein Bußgeld bis zu fünfhunderttausend Euro. Wer einen Datenschutzvorfall nach Art 33 DS-GVO nicht meldet, muss mit »Geldbußen von bis zu zehn Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs« rechnen. Es gilt die jeweils höhere Grenze für die Festsetzung des Bußgelds. In Deutschland wird eine Öffnungsklausel der DS-GVO genutzt, sodass gegen Behörden und sonstige öffentliche Stellen kein Bußgeld verhängt wird (§ 43 Abs. 3 BDSG und vergleichbare Regelungen in den Landesdatenschutzgesetzen).
Sofern eine öffentliche Stelle unter den Anwendungsbereich der EU-Richtlinie 2016/680 (das sind für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung zuständige Behörden) fällt, ist eine entsprechende Meldepflicht in § 65 BDSG geregelt. § 65 BDSG gilt für die entsprechenden Landesbehörden der Rechtspflege, soweit in den Landesdatenschutzgesetzen nichts anderes geregelt ist.
Relativ neu ist die Meldepflicht nach § 168 TKG für ein Unternehmen, das ein »öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt«. Ein derartiges Unternehmen muss einen »Sicherheitsvorfall mit beträchtlichen Auswirkungen auf den Betrieb der Netze oder die Erbringung der Dienste« unverzüglich dem BSI sowie der Bundesnetzagentur (BNA) als für die Telekommunikation zuständige Aufsichtsbehörde mitteilen. In § 169 TKG ist eine Meldepflicht für die Erbringer öffentlich zugänglicher Telekommunikationsdienste im Fall der Verletzung des Schutzes personenbezogener Daten aufgenommen worden. Auch hier erfolgt die Meldung nicht nur an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), wie bereits nach der DS-GVO erforderlich, sondern zusätzlich auch wieder an die Bundesnetzagentur.
Im TKG wird sowohl für Sicherheitsvorfälle als auch für Datenschutzvorfälle der Inhalt der Meldepflicht detailliert festgelegt.
Tabelle 3.1 zeigt eine Übersicht über den Inhalt der Meldepflichten im BSI-Gesetz, im TKG und in der DS-GVO. Zwei der Vorgaben beziehen sich auf IT-Sicherheitsvorfälle (§ 8b Abs. 4 BSI-Gesetz und § 168 Abs. 1 f. TKG) und zwei auf Datenschutzvorfälle (§ 169 Abs. 1 f. TKG und Art. 33 Abs. 3 DS-GVO). Die Tabelle zeigt, dass die Ausgestaltung der Meldepflicht in unterschiedlichen Gesetzen sehr unterschiedlich ist.
Inhalt Meldepflicht | § 8b BSIG | § 168 TKG | § 169 TKG | Art. 33 DS-GVO |
---|---|---|---|---|
IT-Sicherheit | Datenschutz | |||
Beschreibung Vorfall |
|
|
|
|
Ausmaß | - |
|
- | - |
Zahl der betroffenen Personen | - |
|
- |
|
Zahl der betroffenen Systeme | - |
|
- | - |
betroffene Technik/Dienste |
|
|
- | - |
Dauer des Vorfalls | - |
|