:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Melden von Datenschutzverletzungen Nicht Bußgelder, sondern Datenpannen vermeiden
In den letzten Wochen wurde viel über das Bußgeld-Konzept der deutschen Aufsichtsbehörden für den Datenschutz berichtet. Das Interesse daran ist hoch, denn man will wissen, was im Fall einer Datenschutzverletzung drohen kann. Dabei sollte nicht aber vergessen werden, wie sich das Risiko für Bußgelder senken lässt, zum Beispiel durch die richtige Meldung von Datenpannen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die Datenschutz-Grundverordnung (DSGVO / GDPR) hat zweifellos eine hohe Aufmerksamkeit erlangt. Bereits Monate vor Beginn der Anwendbarkeit der DSGVO wurde darüber berichtet und diskutiert, und auch über ein Jahr danach ist GDPR ein Thema für Umfragen, Berichte und Diskussionen.
Die hohe Sichtbarkeit der DSGVO in den Medien ist gut, um die Aufmerksamkeit für den Datenschutz wach zu halten. Ein wesentlicher Grund aber für das hohe Interesse ist nicht immer der Datenschutz an sich, sondern die Sorge, eine Datenschutzverletzung könne zu einem Bußgeld führen.
:quality(80)/images.vogel.de/vogelonline/bdb/1639000/1639007/original.jpg "Wegen eines eklatanten Verstoßes gegen den Datenschutz muss die Deutsche Wohnen jetzt womöglich tief in die Tasche greifen. (© Sergey Yarochkin - stock.adobe.com)")
Für die Deutsche Wohnen könnte es teuer werden
Datenschützer verhängen Millionen-Bußgeld
Davon abgesehen, dass es noch andere Sanktionen durch die Aufsichtsbehörden gibt, sollte man sich eher sorgen, dass es zu einer Datenschutzverletzung kommt und sich dafür interessieren, wie man eine Datenpanne vermeidet. Kommt es zu einer Datenschutzverletzung, sollte man genau wissen, wie man diese richtig meldet. Dann auch die richtige Meldung hat Einfluss auf die mögliche Höhe eines Bußgeldes.
Bußgeld-Konzept der Aufsichtsbehörden
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat vor einigen Wochen ihr Konzept zur Zumessung von Geldbußen bei Verstößen gegen die DSGVO durch Unternehmen vorgelegt, mit entsprechender Resonanz in den Medien.
Mit der Veröffentlichung der vorliegenden Fassung des Konzeptes zur Bemessung von Geldbußen (https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf) soll ein Beitrag zur Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts geleistet werden, so die Aufsichtsbehörden.
Das Konzept gestaltet im Wesentlichen die Vorgaben des Artikels 83 der Datenschutz-Grundverordnung aus. Dort findet man auch Aussagen dazu, wie sich die richtige Meldung einer Datenschutzverletzung auf ein Bußgeld auswirken wird:
Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall unter anderem gebührend berücksichtigt:
- jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
- Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat
Wer also besorgt ist wegen der möglichen Bußgelder, sollte genau solche Punkte angehen, was deutlich wichtiger ist, als zu versuchen, die mögliche Höhe eines Bußgeldes zu ermitteln.
:quality(80)/images.vogel.de/vogelonline/bdb/1610000/1610060/original.jpg "Die meisten Unternehmen fürchten die Datenschutz-Grundverordnung (DSGVO) vor allem wegen möglicher Bußgeldzahlungen. (alfexe - stock.adobe.com)")
Sanktionen nach DSGVO
Was eine Datenschutzverletzung wirklich kostet
Bußgeld bei Meldung einer Datenpanne?
Nun könnte man befürchten, dass die korrekte Meldung einer Datenschutzverletzung genau dazu führt, dass man ein Bußgeld bekommt. Die Furcht vor Bußgeldern würde dann dazu führen, dass man lieber keine Datenpanne meldet anstatt die Datenschutzverletzung richtig zu melden.
Auch hierzu hat bereits eine Aufsichtsbehörde Stellung bezogen. „Es stellt sich natürlich die Frage, ob die Meldung einer Datenschutzverletzung zu einem Bußgeldverfahren führt; also quasi die Verpflichtung besteht, sich selbst zu belasten. Das ist nicht der Fall!“, erklärte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit.
Mit der Vorschrift des § 43 Abs. 4 Bundesdatenschutzgesetz (BDSG) wird klargestellt, dass die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder seine Angehörigen nur mit Zustimmung des Meldepflichtigen verwendet werden darf. Gleiches gilt bei der Einleitung eines Strafverfahrens nach § 42 BDSG. Verantwortliche müssen daher bei einer Meldung nicht fürchten, dass auf dieser Grundlage ein Bußgeldverfahren eingeleitet wird.
Allerdings, so die Aufsichtsbehörde: Versäumte oder verspätete Meldungen stellen einen Verstoß dar und können mit Bußgeld geahndet werden. Daher raten die Aufsichtsbehörden dringend, bei Verletzungen des Schutzes personenbezogener Daten eine Meldung zu machen. Sofern von einer Meldung abgesehen wird, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen bestand, ist dies sorgfältig zu dokumentieren und zu begründen.
Wenn hingegen Dritte die Datenpanne melden, dann steht die Frage im Raum, warum die Verantwortlichen diese Panne nicht selbst gemeldet haben. Es lohnt sich also, auch ein weiteres Konzept der Aufsichtsbehörden anzusehen, zur Meldung einer Datenschutzverletzung.
:quality(80)/images.vogel.de/vogelonline/bdb/1644200/1644205/original.jpg "Betroffenenrechte sind das Herzstück der DSGVO. (mixmagic - stock.adobe.com)")
Wichtige Hinweise der Aufsichtsbehörden
Was bei Betroffenenrechten nach DSGVO zu beachten ist
Leitlinien zur Meldung von Datenschutzverletzungen
Die frühere Artikel 29 Datenschutzgruppe als Vorläufer des Europäischen Datenschutzausschusses (EDPB) hatte sich bereits mit der Meldung von Datenschutzverletzungen befasst (Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)). Der EDPB hatte diese Leitlinie übernommen.
Man findet darin viele wichtige Antworten auf Fragen, die sich Unternehmen stellen und die mangels weiterer Informationen dann dazu führen können, dass keine oder eine nicht konforme Meldung durchgeführt wird. So wissen viele Unternehmen nicht, ab wann die bekannte 72-Stunden-Frist läuft, was dazu führen kann, dass eine Meldung zu spät erfolgt, was wiederum zu einem Bußgeld führen könnte.
So verlangt die DSGVO, dass der Verantwortliche eine Datenschutzverletzung unverzüglich und, falls möglich, binnen höchstens 72 Stunden meldet, nachdem ihm die Verletzung bekannt wurde. Hier könnte sich die Frage stellen, wann davon auszugehen ist, dass einem Verantwortlichen eine Datenschutzverletzung „bekannt“ wurde, so die Aufsichtsbehörden.
Nach Auffassung der Artikel-29-Datenschutzgruppe ist anzunehmen, dass einem Verantwortlichen eine Datenschutzverletzung „bekannt“ wurde, wenn der Verantwortliche eine hinreichende Gewissheit darüber hat, dass ein Sicherheitsvorfall aufgetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat.
Die DSGVO sieht jedoch vor, dass die Verantwortlichen alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen treffen, um sofort feststellen zu können, ob eine Datenschutzverletzung aufgetreten ist, und um die Aufsichtsbehörde und die betroffenen Personen umgehend unterrichten zu können. Ferner wird erklärt, dass bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, die Art und Schwere der Datenschutzverletzung sowie deren Folgen und nachteiligen Auswirkungen für die betroffene Person berücksichtigt werden sollten. Daher obliegt es den Verantwortlichen sicherzustellen, dass ihnen etwaige Datenschutzverletzungen rechtzeitig „bekannt“ werden, um angemessene Maßnahmen ergreifen zu können.
Wann genau davon auszugehen ist, dass einem Verantwortlichen eine bestimmte Datenschutzverletzung „bekannt“ wurde, hängt von den konkreten Umständen der Datenschutzverletzung ab. In einigen Fällen dürfte von Anfang an klar sein, dass eine Datenschutzverletzung vorliegt, in anderen hingegen kann womöglich erst nach einer gewissen Zeit festgestellt werden, ob personenbezogene Daten beeinträchtigt wurden.
Der Schwerpunkt sollte jedoch auf sofortigen Maßnahmen zur Untersuchung des Vorfalls liegen, damit festgestellt wird, ob der Schutz personenbezogener Daten tatsächlich verletzt wurde, und um Abhilfemaßnahmen zu ergreifen und die Datenschutzverletzung gegebenenfalls zu melden, falls sich diese bestätigt.
Keine Frage: Diese Erläuterungen der Aufsichtsbehörden sind hilfreich für das weitere Verständnis. Deshalb sollte man auch nicht nur dann Konzepte und Leitlinien der Aufsichtsbehörden besonders wahrnehmen, wenn das Wort „Bußgeld“ auftaucht, sondern grundsätzlich. Es geht immer darum, eine Datenpanne zu vermeiden, also gegen die DSGVO zu verstoßen, und nicht nur um die Vermeidung von Bußgeldern.
(ID:46275184)
:quality(80)/p7i.vogel.de/wcms/ad/7b/ad7b5861d2c5330840721a4d6a917d38/0112820620.jpeg "Der beste Weg, um hohe Bußgelder nach DSGVO zu minimieren oder gar zu vermeiden, sind wirksame Datenschutzmaßnahmen. (Bild: vladischern - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/de/7dde4303ee2028c8baac0e3119cb724f/0109199656.jpeg "Aus Fehlern lernt man. Deshalb lohnt es sich für Unternehmen und Behörden, jetzt zum Jahresbeginn 2023 auf die größten Datenpannen aus 2022 zu blicken. (Bild: Skórzewiak - stock.adobe.com)")