Sie sind hier: Home » Markt » Hinweise & Tipps

EU-DSGVO: Benachrichtigung binnen 72 Stunden


EU-Datenschutzgrundverordnung: Benachrichtigung binnen 72 Stunden
Wenn bei einem Datenschutzvorfall persönliche, private Daten von Verbrauchern wahrscheinlich involviert sind, müssen die Betroffenen davon in Kenntnis gesetzt werden



Eine der wichtigsten Neuerungen in der EU-Datenschutzgrundverordnung und gleichzeitig eine von den Richtlinien, die äußerst kontrovers diskutiert wurden, ist die Benachrichtigungsfrist innerhalb von 72 Stunden nachdem ein Datenschutzvorfall bekannt geworden ist. Die Forderung richtet sich an Unternehmen und betrifft Datenschutzverstöße bei denen persönliche Daten von Verbrauchern betroffen sind.

"Wahrscheinlich beeinträchtigt/betroffen sind..."
Zunächst ist es wichtig zu unterscheiden, dass es im Hinblick auf den Geltungsbereich der Datenschutzgrundverordnung zwei unterschiedliche Grenzwerte zu beachten gilt: Eine Frist, innerhalb der potenziell betroffene Verbraucher benachrichtigt werden müssen und eine, die sich auf die Benachrichtigung der jeweiligen Data Protection Authority (DPA) bezieht.

Wenn bei einem Datenschutzvorfall persönliche, private Daten von Verbrauchern wahrscheinlich involviert sind, müssen die Betroffenen davon in Kenntnis gesetzt werden. Dass persönliche Daten von Verbrauchern "wahrscheinlich betroffen" sind, ist daher ein ziemlich weit gesteckter Rahmen.

Spricht man mit Juristen, die sich insbesondere mit dem Thema Compliance befassen, gehören zu diesen persönlichen Daten all die Informationen anhand derer sich eine Person identifizieren lässt. Das sind beispielsweise E-Mail-Adressen, sämtliche IDs von Onlinekonten, aber auch IP-Adressen. Sie alle fallen unter die "wahrscheinlich Betroffen"-Regelung.

Und die Verordnung greift an dieser Stelle sogar noch weiter. Sollten sich nämlich unter den von einem Datenschutzvorfall betroffenen persönlichen Daten auch solche befinden, die sich zu Geld machen lassen, wie Kontonummern und andere Identifizierungsmerkmale aus dem finanziellen Bereich, dann geht man davon aus, dass der Vorfall dieses Individuum "wahrscheinlich schädigt". Sollte das der Fall sein, müssen beide benachrichtigt werden, die betroffenen Verbraucher und die DPA des jeweiligen Landes.

Benachrichtigungsumfang betrifft mehr als nur die IT-Abteilung
Müssen wie im obigen Fall sowohl Verbraucher als auch die zuständige Data Protection Authority benachrichtigt werden muss die Meldung zusätzlich nähere Informationen zu dem betreffenden Datenschutzvorfall enthalten. Dazu gehört eine genaue Beschreibung um welche Art von Datenschutzverstoß es sich handelt, eine Auflistung welcher Typ von Daten betroffen ist, die Zahl der Betroffenen und die Zahl der betroffenen Datensätze.

Das jeweilige Unternehmen oder der, wie es in der EU-Sprechweise heißt, "Datenverantwortliche", ist gehalten nicht nur den Vorfall selbst, sondern auch alle potenziellen Folgen detailliert zu beschreiben, genauso wie die getroffenen Maßnahmen, um den Schaden zu begrenzen. Die DPA muss dabei innerhalb der 72-Stundenfrist benachrichtigt werden oder es muss eine "fundierte Begründung" abgegeben werden, warum ein Unternehmen nicht in der Lage ist, das geforderte Zeitfenster einzuhalten.

Natürlich brauchen Sie die IT-Abteilung, wenn Sie genau wissen wollen, welcher Typ von Dateien und wie viele Datensätze tatsächlich betroffen sind. Wenn man allerdings den juristischen Einschätzungen Glauben schenkt, sollte das Team, das in einem Unternehmen in diesen Fällen zuständig ist, aus mehr bestehen als nur der IT-Abteilung.

Bereits die Minimalanforderungen lesen sich anspruchsvoll. Juristen und Compliance-Experten empfehlen, dass mindestens ein Chief Privacy Officer (CPO), ein juristischer Experte (wenn eine der Führungskräfte nicht selbst Jurist ist), Mitarbeiter aus den Bereichen Risikomanagement und Public Relations und aus dem Finanzwesen zu dieser "schnellen Eingreiftruppe" gehören sollten.

Tatsache ist, dass die IT-Abteilung entscheidet ist, wenn es um den eigentlichen Fokus der Attacke, den Angriff selbst geht. Die anderen Beteiligten kommen ins Spiel wenn es um die Abschätzung der Folgen, die Kommunikation und die Schadensbegrenzung geht. Von einem Datenschutzvorfall sind wesentlich mehr Bereiche betroffen als die IT und die Implikationen sind weitreichend. Die Konsequenzen betreffen sowohl regulatorische als auch finanzielle und juristische Aspekte. Und um hier keinen Fehler zu machen, sollte man die entsprechenden Experten ins Boot holen. (Varonis: ra)

eingetragen: 24.11.16
Home & Newsletterlauf: 16.12.16

Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Hinweise & Tipps

  • Compliance, die gelebt wird

    Trotz strikterer Cybersecurity- und Compliance-Vorgaben behandeln viele KMU die Dokumentation ihrer IT-Infrastruktur noch stiefmütterlich. Dabei birgt fehlende oder unvollständige Dokumentation das Risiko von ineffizientem Troubleshooting und teuren Fehlentscheidungen. Ohne verlässliche Informationen zu Netzstrukturen, Systemabhängigkeiten oder Rechten wird jeder Incident zur Blackbox.

  • Echtzeitüberweisungen gemäß IPR

    Zahlungsdienstleister stehen unter Druck: Bis Oktober dieses Jahres müssen sie die Verification of Payee (VOP) umgesetzt haben und die Versendung von Echtzeitüberweisungen (Instant Payments) möglich machen. NTT Data erklärt die größten Hürden - und wie sie bis zur Deadline überwunden werden können.

  • PCI-DSS und Sichtbarkeit

    Als anerkanntes Security Framework ist der Payment-Card-Industry-Data-Security-Standard (kurz: PCI-DSS) für Anbieter von Kreditkartentransaktionen ein absolutes Compliance-Muss. Tiho Saric, Senior Sales Director bei Gigamon, verrät, wie die Einhaltung des Sicherheitsstandards dank Netzwerksichtbarkeit zum Kinderspiel wird.

  • Resilienz kritischer Infrastrukturen stärken

    Mit dem neuen KRITIS-Dachgesetz steht die deutsche Wirtschaft vor einer sicherheitspolitischen Zäsur. Ziel des juristischen Rahmenwerks ist es, die Resilienz kritischer Infrastrukturen zu stärken - und das über alle Sektoren hinweg: von Energie, Wasser und Telekommunikation über Gesundheit und Ernährung bis hin zum Transportwesen. Neben Konzernen geraten nun zunehmend auch mittelständische Betreiber in den Fokus.

  • E-Mails mit geschäftskritischen Inhalten

    Unternehmen, die ein falsches Bild von der grundsätzlichen Aufbewahrung von E-Mails mit geschäftskritischen Inhalten haben, laufen Gefahr, gesetzliche Vorgaben der GoBD oder DSGVO zu missachten. Folglich müssen sie dann mit juristischen und finanziellen Konsequenzen rechnen. Umso erstaunlicher ist es, dass zahlreiche Unternehmen ihrem Schutz noch immer nur wenig Bedeutung beimessen.

Neue verlängerte Fristen für die Abgabe Wichtige Tipps zur Einhaltung der GDPR

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen