Meldepflicht im IT-Sicherheitsgesetz und in der DSGVO

72-Stunden-Frist für ordnungsgemäße Meldungen

| Autor / Redakteur: Alexander Frese* / Ulrike Ostler

Einfach einmal zum Telefon greifen, um zu melden wenn die Hütte brennt, damit ist es beim IT-Sicherheitsgesetz und der DSGVO nicht getan.
Einfach einmal zum Telefon greifen, um zu melden wenn die Hütte brennt, damit ist es beim IT-Sicherheitsgesetz und der DSGVO nicht getan. (Bild: gemeinfrei - PIX1861/Pixabay / CC0)

Dass IT-Sicherheitsgesetz und die EU-Datenschutz-Grundverordnung bringen Meldepflichten mit sich, die gar nicht so einfach zu erfüllen sind. Vor allem bei Datenschutzpannen haben die Unternehmen nur 72 Stunden Zeit zu reagieren.

Für IT-Störungen, Sicherheitsverstöße und Datenschutzverletzungen gibt es seit einiger Zeit verstärkte Meldepflichten, die von den Unternehmen innerhalb von recht kurzen Fristen befolgt werden müssen. Um diese Pflichten zu erfüllen, müssen sich Unternehmen gut vorbereiten und Vorkehrungen treffen. Die Unternehmen sollten bereits im Vorfeld wissen, welche Störungen und Datenschutzverletzungen gemeldet werden müssen. Darüber hinaus sind entsprechende organisatorische Vorkehrungen notwendig, sodass die Meldepflicht zeitnah erfüllt werden kann.

Bereits seit dem Juli 2015 gibt es das IT-Sicherheitsgesetz, das für Unternehmen mit kritischen Infrastrukturen Meldepflichten vorsieht. Ein Jahr später ist die NIS-Richtlinie (Netzwerk- und Informationssicherheits-Richtlinie) der EU in Kraft getreten, die Betreiber von IT-Systemen zu einem hohen Sicherheitsniveau verpflichtet und ebenfalls Meldepflichten vorsieht. Beide Regelungen decken sich in wesentlichen Teilen und Deutschland hat im Laufe des Jahres 2016 das IT-Sicherheitsgesetz an die EU-Regeln angepasst.

Meldepflichten gibt es nicht nur bei der DSGVO

Meldepflichten bei IT-Sicherheitsvorfällen

Meldepflichten gibt es nicht nur bei der DSGVO

08.01.18 - Viele Unternehmen haben bisher Schwierigkeiten damit, die verschärften Meldepflichten nach Datenschutz-Grundverordnung umzusetzen. Große Probleme bereitet Vielen dabei, dass die Meldung der Datenpanne innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde erfolgen soll. Dabei sind dies nicht die einzigen Meldepflichten, mit denen sich Unternehmen beschäftigen müssen. lesen

Meldepflichten nach dem IT-Sicherheitsgesetz

Die Meldepflichten nach dem IT-Sicherheitsgesetz gelten für Cyber-Angriffe in Unternehmen mit kritischen Infrastrukturen. Dazu gehören Betreiber aus den Sektoren Energie, Informations- und Telekommunikationstechnik (ITK), Wasser, Ernährung, Finanz- und Versicherungswesen, Transport und Verkehr sowie Gesundheit. Betroffen sind alle Unternehmen, die 500.000 oder mehr Bürger mit ihrer Dienstleistung versorgen. Sie müssen IT-Störungen größeren Ausmaßes an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Die NIS-Richtlinie gilt potenziell für eine größere Zahl an Unternehmen. In ihr ist als zusätzlicher Sektor etwas unscharf von „digitalen Diensten“ die Rede. Sie sind bei Überschreiten bestimmter Schwellwerte für den Umfang des Geschäftsbetriebs ebenfalls meldepflichtig. Das IT-Sicherheitsgesetz ist bisher nicht auf diese Unternehmenstypen erweitert worden. Es ist jedoch möglich, dass dies bald geschehen wird und in den nächsten Jahren auch Cloud Services, Suchmaschinen, Online-Händler und andere Services darunterfallen.

Melde- und Nachweispflicht für KRITIS-Betreiber

Countdown zum IT-Sicherheitsgesetz

Melde- und Nachweispflicht für KRITIS-Betreiber

22.02.18 - Das IT-Sicherheitsgesetz (IT-SiG) will ein gesetzlich verbindliches Mindestniveau an IT-Sicherheit erreichen. Als erstes sind KRITIS-Betreiber aus den Bereichen IKT, Energie, Wasser und Ernährung betroffen. Bis Mai 2018 müssen sie ihre IT nach dem Stand der Technik absichern. Ein Dokumentenmanagement-System (DMS) kann bei der transparenten Dokumentation der Maßnahmen helfen. lesen

Für die Meldepflichten sieht das IT-Sicherheitsgesetz drei unterschiedliche Fälle vor:

  • 1. Die kritische Dienstleistung des Betreibers ist bereits ausgefallen oder beeinträchtigt. Das könnte beispielsweise bedeuten, dass Rechenzentren eines Cloud-Anbieters ausfallen und damit die geschäftskritischen Anwendungen vieler Unternehmen nicht mehr erreichbar sind. In solchen Fällen ist eine namentliche Meldung zwingend erforderlich.
  • 2. Eine Beeinträchtigung oder ein Ausfall der kritischen Dienstleistung ist bei dem entsprechenden Sicherheitsvorfall nicht möglich. In diesem Fall wird auf die Meldung verzichtet.
  • 3. Besteht die Möglichkeit, dass die kritische Dienstleistung beeinträchtigt wird oder ausfällt, muss der Sicherheitsvorfall gemeldet werden - sofern es sich um eine außergewöhnliche IT-Störung handelt.

Der Knackpunkt der ganzen Regel ist die Definition des Begriffs „außergewöhnliche IT-Störung“. Das BSI versteht darunter Störungen, die nicht auf einfache Weise abgewehrt werden können. Malware, die vom Virenschutz erkannt wurde, Fehler auf einer Festplatte oder Hardware-Ausfälle müssen nicht gemeldet werden.

Verpflichtend ist die Meldung dagegen bei Störungen wie etwa bisher nicht veröffentlichten Schwachstellen in Software, unbekannten Schadprogrammen, außergewöhnlichen technischen Defekten sowie bei Spear-Phishing. Bei letzterem zielen Cyber-Kriminelle spezifisch auf Personen oder Einrichtungen eines Unternehmens und zeigen dabei intime Kenntnisse über das Unternehmen – ein Hinweis auf eine Sicherheitslücke.

Alexander Frese,Referent für Strategisches Marketing bei Itenos: „Für viele Unternehmen dürften die vorgesehenen Fristen ein Problem sein.“
Alexander Frese,Referent für Strategisches Marketing bei Itenos: „Für viele Unternehmen dürften die vorgesehenen Fristen ein Problem sein.“ (Bild: Itenos)

Meldepflichten nach EU-Datenschutz-Grundverordnung

Eine weitere Meldepflicht betrifft die Verletzung des Datenschutzes, beispielsweise die unbefugte Offenlegung solcher Daten, der unbefugte Zugang zu den verarbeitenden Systemen, die unbefugte Übermittlung oder Speicherung der Daten. In allen diesen Fällen müssen nicht nur die Aufsichtsbehörden, sondern auch die betroffenen Personen unterrichtet werden.

Diese Meldepflicht wird aktuell von der EU-DSGVO geregelt, ist aber nicht vollständig neu. Das Bundesdatenschutzgesetz kannte sie ebenfalls, allerdings begrenzt auf besonders sensible Bereiche wie Gesundheits- oder Finanzdaten.

Die neue EU-Regelung fordert solche Meldungen aber von allen Unternehmen, die personenbezogene Daten verarbeiten. Erschwerend kommt hinzu, dass die neue Meldepflicht auch eine erweiterte Dokumentationspflicht mit sich bringt: Die Unternehmen müssen die Datenschutzverletzung, ihre Auswirkungen und alle ergriffenen Gegenmaßnahmen penibel dokumentieren.

9 DSGVO-Mythen enttarnt!

Klarheit bei der Datenschutz-Grundverordnung

9 DSGVO-Mythen enttarnt!

09.01.18 - Die Vorbereitungen auf die DSGVO / GDPR kommen bei vielen Unternehmen nicht schnell genug voran. Umso wichtiger ist deshalb die Aufklärung, was wirklich hinter der Datenschutz-Grundverordnung steckt. Aktuell kursieren viele Mythen und falsche Informationen zur DSGVO im Netz. Wir klären auf. lesen

Einhaltung der Fristen

Ein gewisses Problem für viele Unternehmen dürften die vorgesehenen Fristen sein. Das IT-Sicherheitsgesetz nennt keine genauen Zeiträume, fordert aber eine umgehende Meldung. Unternehmen sollten also nicht lange zögern, die Störung zu melden. Die DSGVO ist da deutlich konkreter: Meldungen von Datenpannen müssen innerhalb von 72 Stunden bei der Datenschutzbehörde eintreffen.

Es wird für alle Unternehmen sinnvoll sein, die von ihnen zu erfüllenden Meldepflichten generell innerhalb von drei Tagen zu erledigen und dafür auch entsprechende Prozesse zu schaffen und Verantwortliche zu benennen. Denn Verstöße können teuer werden, vor allem beim Datenschutz. Sieht das IT-Sicherheitsgesetz für unterlassene Meldungen lediglich Strafen von 50.000 Euro vor, so ist die Strafandrohung bei DSGVO-Vorstößen deutlich höher: Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes, je nachdem, welcher Wert höher ist.

Wie kann sich das Melden vereinfachen?

Kurz: Es ist also besser für ein Unternehmen, wenn IT-Systeme und Daten nach aktuellen Sicherheitsstandards geschützt sind. Ein Rundumschutz beispielsweise in einem modernen Co-Location-Rechenzentrum mit Cloud-Infrastrukturen verringert auch für kleinere Unternehmen die Wahrscheinlichkeit von Verstößen gegen IT-Sicherheit und Datenschutz. Ein Rechenzentrumsbetreiber wie Itenos ist in aller Regel ohnehin auf dem Stand der Technik, den das IT-Sicherheitsgesetz und die EU-DSGVO fordern. So verhindert beispielsweise Redundanz auf Hardware-, aber auch Software-Ebene, dass kleinere Störungen zu kritischen Ausfällen werden. Rechenzentren sind zudem sehr gut vor allen Arten von Cyber-Angriffen geschützt und haben im Falle eines Falles die technischen Möglichkeiten und das Knowhow zur Verfügung, Angriffe abzuwehren oder ins Leere laufen zu lassen.

Was Industrieunternehmen für die DSGVO noch tun müssen

Datenschutz-Grundverordnung im Mittelstand

Was Industrieunternehmen für die DSGVO noch tun müssen

05.02.18 - Kein Unternehmen sollte glauben, von der Datenschutz-Grundverordnung höchstens am Rande betroffen zu sein. Auch die Industriebranchen verarbeiten personenbezogene Daten in großem Umfang. Dabei geht es nicht nur um die Daten der Kunden, Lieferanten und Mitarbeiter, es geht auch um die Maschinendaten, die durchaus einen Personenbezug haben können, wie ein Blick in die DSGVO zeigt. lesen

Allerdings entbindet die Nutzung eines modernen Datacenter-Anbieters oder Cloud-Providers nicht von den üblichen Sorgfaltspflichten. Denn leider helfen technische Vorkehrungen nicht gegen Spear-Phishing oder Versuche, mit „Social Engineering“ Zugang zu den IT-Systemen zu bekommen. Außerdem müssen alle auf Nutzerseite möglichen Schutzvorkehrungen auch eingesetzt werden. Einige Datenlecks der letzten Jahre sind durch Bedienungsfehler entstanden und wären vermeidbar gewesen. Immerhin erleichtert ein Rechenzentrum oder Cloud-Service auch die Meldepflichten und die Dokumentation von Vorfällen. So besitzen Rechenzentren Systeme zur Erkennung von Cyber-Angriffen und ihrer automatisierten Abwehr, deren Protokolldateien im Einzelfall für die entsprechenden Meldungen eingesetzt werden können.

* Alexander Frese ist Referent für Strategisches Marketing bei Itenos.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45265343 / Compliance und Datenschutz )