Deutsche Unternehmen sind unter bestimmten Voraussetzungen verpflichtet, Sicherheitsmängel bei der Datenverarbeitung unaufgefordert anzuzeigen. Die Idee, dass Unternehmen Sicherheitsmängel anzeigen müssen, ist nicht neu. In den USA gibt es derartige gesetzliche Vorschriften schon länger.
Nach Deutschland kam diese Anzeigepflicht mit dem neuen Bundesdatenschutzgesetz im September vergangenen Jahres. Thomas Feil, Fachanwalt für IT-Recht und Arbeitsrecht, hat zusammengestellt, worum es sich bei der Anzeigepflicht handelt und was CIOs beachten müssen.
Die Anzeigepflicht besteht dann, wenn Dritte unrechtmäßig an bestimmte sensible Daten gelangen. Dazu zählen die Bank- oder Kreditkartendaten, Daten, die sich auf strafbare Handlungen beziehen, die einem Berufsgeheimnis unterliegen oder besondere Arten personenbezogener Daten. Desweiteren müssen "schwerwiegende Beeinträchtigungen für die Rechte oder die schutzwürdigen Interessen der Betroffenen" drohen.
Bisher ist noch nicht endgültig geklärt, wann im Sinne des Gesetzes schwerwiegende Rechts- oder Interessenbeeinträchtigungen anzunehmen sind. In der Gesetzesbegründung heißt es, dass etwa materielle Schäden oder soziale Nachteile einschließlich des Identitätsbetrugs schwerwiegende Beeinträchtigungen darstellen können.
Reagieren und Beweise sichern
Die Regelung greift ihrem Wortlaut nach nicht nur dann ein, wenn die Datenpanne aufgrund eigenen Verschuldens herbeigeführt worden ist, sondern auch bei unverschuldeten Hackerangriffen.
Die Anzeigepflicht besteht sowohl gegenüber der zuständigen Datenschutzbehörde, als auch andererseits gegenüber den betroffenen Personen.
Die Benachrichtigung muss Informationen über die Art der unrechtmäßigen Kenntniserlangung sowie Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen beinhalten. Der Aufsichtsbehörde muss zudem gemeldet werden, welche Maßnahmen ergriffen wurden.
Beachtet ein Unternehmen die Informationspflicht nicht, kann ein Bußgeld in Höhe von bis zu 300.000 Euro verhängt werden. Die genaue Höhe liegt im Ermessen der Behörde. Feil rät CIOs, dies nicht zu unterschätzen: "Sofern die Unternehmensleitung die Verantwortung für die Datensicherheit oder den Umgang mit personenbezogenen Daten auf den CIO delegiert, ist dieser auch persönlich verantwortlich." Aus diesem Grund empfiehlt er CIOs, Mitarbeiter anzuweisen, Unregelmäßigkeiten im Umgang mit personenbezogenen Daten sofort zu melden.
Fällt eine Unregelmäßigkeit bei personenbezogenen Daten auf, hält Feil es für zulässig, zunächst die Sicherheitslücke zu schließen und Beweise für die Strafverfolgung zu sichern. "Im Zweifel sollte lieber binnen Stunden und nicht binnen Tagen reagiert werden", sagt er. Jegliches Warten müsse gegebenenfalls gerechtfertigt werden können.
Thomas Feil ist Fachanwalt für Informationstechnologierecht und Arbeitsrecht in Hannover. Mehr unter www.recht-freundlich.de.