Behörden und Betroffene aufklären
Für jedes Unternehmen, das relevante Daten verarbeitet und speichert, ergeben sich aus der Novelle eine Reihe von neuen Pflichten. Falls festgestellt wird, dass solche Daten das Unternehmen unrechtmäßig verlassen oder Unbefugte darauf zugegriffen haben, muss dies unverzüglich der zuständigen Aufsichtsbehörde gemeldet werden. Dabei muss das Unternehmen die Ursachen des Datenverlustes nennen sowie über mögliche Folgen informieren. Zudem sollte es bereits erfolgte Notfallmaßnahmen aufführen.
Parallel dazu muss das Unternehmen die Betroffenen darüber aufklären, dass und in welcher Weise ihre Daten gefährdet wurden. Weiter müssen sie erfahren, was sie selbst unternehmen können, um mögliche Folgen zu mildern – zum Beispiel durch die umgehende Sperrung einer kompromittierten Kreditkarte oder gar die Änderung der Bankverbindung. Wird die individuelle Information der Betroffenen zu aufwändig, beispielsweise weil ihre Zahl in die Tausende oder gar Millionen geht, kann das Unternehmen diese Information auch alternativ durch mindestens halbseitige Anzeigen in zwei bundesweit erscheinenden Tageszeitungen veröffentlichen.
Keine Zeit verlieren beim Melden von Datenverlust
“Während die Meldung an die Behörde sofort geschehen muss, sollte das betroffene Unternehmen jedoch zunächst angemessene Maßnahmen zur Schadensbegrenzung und Datensicherung ergreifen, bevor die Betroffenen informiert werden. Diese Möglichkeit gewährt das Gesetz, um sicher zu stellen, dass dadurch eine mögliche Strafverfolgung nicht gefährdet wird”, so Schultze-Melling weiter.
Ungeklärt ist die für die Praxis wichtige Frage, wann genau ein Unternehmen festgestellt hat, dass Daten unrechtmäßig übermittelt wurden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. Ebenfalls offen bleibt, in welchen Fällen dadurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen, wie es das Gesetz beschreibt. Schultze-Melling: “So ist fraglich, ob ein dringender Verdacht ausreichend ist, oder ob ein noch höheres Maß an Sicherheit vorliegen muss. Es ist jedoch absehbar, dass auch eine fahrlässig nicht erfolgte Kenntniserlangung geahndet werden kann. Den Kopf in den Sand zu stecken ist also keine Lösung.” Dessen ungeachtet liegt es aber ohnehin im Interesse der Unternehmen, Datenlecks so früh wie möglich zu erkennen und zu stopfen. So lässt sich das mögliche Ausmaß des Schadens für das Unternehmen wie auch die Betroffenen erheblich reduzieren.
"Wir haben in unserem SOC den Level 1-Support vollständig automatisiert", sagt Thomas Maxeiner von Palo…
Das Bewusstsein für die Bedeutung von Diversität wächst, doch der Fortschritt bleibt zäh, obwohl gemischte…
Der Kommunale IT-Service (KitS) des thüringischen Landkreises Schmalkalden-Meiningen nutzt hyperkonvergente VxRail-Systeme von Dell Technologies.
Hersteller von digitalen Produkte können auch nach dem Kauf dauerhaft Zugriff auf Systeme und Informationen…
Meist steht die Sicherheit von Infrastruktur und Cloud im Fokus. Auch Anwendungen sollten höchsten Sicherheitsanforderungen…
Das finnische Facility-Service-Unternehmen ISS Palvelut hat eine umfassende Transformation seiner Betriebsabläufe und IT-Systeme eingeleitet.
