Behörden und Betroffene aufklären
Für jedes Unternehmen, das relevante Daten verarbeitet und speichert, ergeben sich aus der Novelle eine Reihe von neuen Pflichten. Falls festgestellt wird, dass solche Daten das Unternehmen unrechtmäßig verlassen oder Unbefugte darauf zugegriffen haben, muss dies unverzüglich der zuständigen Aufsichtsbehörde gemeldet werden. Dabei muss das Unternehmen die Ursachen des Datenverlustes nennen sowie über mögliche Folgen informieren. Zudem sollte es bereits erfolgte Notfallmaßnahmen aufführen.
Parallel dazu muss das Unternehmen die Betroffenen darüber aufklären, dass und in welcher Weise ihre Daten gefährdet wurden. Weiter müssen sie erfahren, was sie selbst unternehmen können, um mögliche Folgen zu mildern – zum Beispiel durch die umgehende Sperrung einer kompromittierten Kreditkarte oder gar die Änderung der Bankverbindung. Wird die individuelle Information der Betroffenen zu aufwändig, beispielsweise weil ihre Zahl in die Tausende oder gar Millionen geht, kann das Unternehmen diese Information auch alternativ durch mindestens halbseitige Anzeigen in zwei bundesweit erscheinenden Tageszeitungen veröffentlichen.
Keine Zeit verlieren beim Melden von Datenverlust
“Während die Meldung an die Behörde sofort geschehen muss, sollte das betroffene Unternehmen jedoch zunächst angemessene Maßnahmen zur Schadensbegrenzung und Datensicherung ergreifen, bevor die Betroffenen informiert werden. Diese Möglichkeit gewährt das Gesetz, um sicher zu stellen, dass dadurch eine mögliche Strafverfolgung nicht gefährdet wird”, so Schultze-Melling weiter.
Ungeklärt ist die für die Praxis wichtige Frage, wann genau ein Unternehmen festgestellt hat, dass Daten unrechtmäßig übermittelt wurden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. Ebenfalls offen bleibt, in welchen Fällen dadurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen, wie es das Gesetz beschreibt. Schultze-Melling: “So ist fraglich, ob ein dringender Verdacht ausreichend ist, oder ob ein noch höheres Maß an Sicherheit vorliegen muss. Es ist jedoch absehbar, dass auch eine fahrlässig nicht erfolgte Kenntniserlangung geahndet werden kann. Den Kopf in den Sand zu stecken ist also keine Lösung.” Dessen ungeachtet liegt es aber ohnehin im Interesse der Unternehmen, Datenlecks so früh wie möglich zu erkennen und zu stopfen. So lässt sich das mögliche Ausmaß des Schadens für das Unternehmen wie auch die Betroffenen erheblich reduzieren.
In Deutschland ist der Infostealer Formbook weiterhin Spitzenreiter und für rund 18,5 Prozent aller Malware-Infektionen…
HP Wolf Security-Studie: fehlende Lieferanten-Audits, schwache BIOS-Passwörter, Fear of Making Updates, Epidemie verlorener Geräte und…
Datenpannen sorgen nicht nur für aufmerksamkeitsstarke Schlagzeilen – sie sind eine Erinnerung an die Schwachstellen,…
Das Zusammenspiel von Cloud und KI stellt Hyperscaler, IT-Partner und Endkunden vor neue Herausforderungen.
Auf Basis der Lösungen Customer 360 und Data Cloud im Zusammenspiel mit Agentforce will Hotelkette…
Mikroautomatisierungen sind ein wichtiger Bestandteil der aktuellen Entwicklungen, sagt Sofiane Fessi von Dataiku im Interview.