Datenschutz: Wann Sicherheitsvorfälle gemeldet werden müssen

Meldepflichten sind geregelt

Wann ein Sicherheitsvorfall an Aufsichtsbehörden und an die Betroffenen oder sogar an die Presse gemeldet werden muss, klärt das Bundesdatenschutzgesetz (BDSG). Das Gesetz regelt auch, welche Arten von Daten zur Informationspflicht gegenüber der Aufsichtsbehörde sowie den Betroffenen führen und wann die Presse einzuschalten ist.

Im Datenschutz gibt es Datenkategorien, bei denen ein Sicherheitsvorfall gemeldet werden muss. Dies sind die sogenannten besonderen Arten personenbezogener Daten (also Angaben über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben). Zu den personenbezogenen Daten gehören auch Informationen:

• die einem Berufsgeheimnis unterliegen.
• die sich auf strafbare Handlungen oder Ordnungswidrigkeiten, beziehungsweise auf dessen Verdacht beziehen.
• zu Bank- oder Kreditkartenkonten.

Besonderheiten für Telekommunikationsanbieter

In der jüngeren Vergangenheit waren auch immer wieder Telekommunikationsanbieter von Sicherheitsvorfällen und Datenpannen betroffen, so dass auch das Telekommunikationsgesetz (TKG) hinsichtlich Meldepflichten bereits häufiger zum Tragen kam. Hier ist geregelt, dass Telekommunikationsanbieter im Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur und den Bundesbeauftragten für den Datenschutz sowie die Informationsfreiheit von der Verletzung zu benachrichtigen haben. Sind schwerwiegende Konsequenzen für die betroffenen Kunden oder Nutzer anzunehmen, müssen auch die Betroffenen informiert werden. Anders sieht dies aus, wenn die Daten nachweislich verschlüsselt waren, so dass eine Information der Betroffenen nicht gefordert wird.

Für die Meldung eines Sicherheitsvorfalls nach dem Telekommunikationsgesetz (TKG) an den Bundesdatenschutzbeauftragten und an die Bundesnetzagentur gibt es geregelte Prozesse und Meldeverfahren.

Vorgaben auf EU-Ebene

Entsprechende Regelungen bestehen auch auf EU-Ebene. In der Verordnung (EU) Nr. 611/2013 der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten findet sich auch ein Anhang, der genau regelt, was an die zuständigen nationalen Behörden zu kommunizieren ist und was den Betroffenen mitgeteilt werden muss.

Zudem werden hier weitere konkrete Datenkategorien genannt, die bei einem Sicherheitsvorfall zur Meldepflicht führen können, darunter Standortdaten, Internet-Protokolldateien, Webbrowser-Verläufe, E-Mail-Daten und Aufstellungen von Einzelverbindungen.

Keine Meldung auf Verdacht

Nicht gefordert wird, dass bei einem reinen Verdacht bereits eine Meldung an die Aufsichtsbehörden oder gar die Betroffenen erfolgt. Auch die bloße Feststellung eines Vorfalls, über den trotz größtmöglicher Bemühungen des Betreibers keine ausreichenden Informationen vorliegen, ist noch kein Anlass für eine umfassende Meldung. Eine Verletzung des Datenschutzes gilt als festgestellt, sobald der Betreiber von einer Nichteinhaltung hinreichende Kenntnis erlangt hat, um eine sinnvolle Benachrichtigung nach den Vorschriften vornehmen zu können, so die EU-Verordnung.

Sicherheitsvorfall muss zuerst erkannt werden

Die umfangreichen Informationspflichten lassen sich insbesondere nicht erfüllen, wenn die Datenpanne unerkannt bleibt. Es macht also wenig Sinn, als Unternehmen einen internen Prozess aufzusetzen, wer wann an wen und wie einen Sicherheitsvorfall zu melden hat. Das ist gemäß den Vorgaben aus dem BDSG oder TKG erforderlich, reicht aber letztlich nicht aus.

Unternehmen und Behörden sollten vielmehr einen durchgehenden Informationsprozess etablieren, der mit der Erkennung von möglichen Sicherheitsvorfällen beginnt, die Bewertung der Risiken für die personenbezogenen Daten einschließt und in die Meldung an Aufsichtsbehörden und gegebenenfalls Betroffenen mündet. Wie ein geeignetes Security Incident Management technisch umgesetzt wird, hat die Europäische Agentur ENISA in einer Empfehlung beschrieben.

Freiwillige Meldungen sinnvoll, aber kein Ersatz

Neben den Informationspflichten bei Sicherheitsvorfällen, von denen personenbezogene Daten betroffen sind, gibt es die freiwillige Meldung von Sicherheitsereignissen an das Bundesamt für Sicherheit in der Informationstechnik.

Diese helfen dabei, ein besseres Lagebild zur IT-Sicherheit in Deutschland und der EU zu erreichen. Mit den Informationspflichten nach BDSG oder TKG jedoch sollten diese Meldungen nicht verwechselt werden. Wichtig für die Unterscheidung ist insbesondere, ob sensible, personenbezogene Daten durch den Sicherheitsvorfall Unbefugten zugänglich geworden sein können oder nicht.