Meldepflichten für Unternehmen bei Online-Attacken


Unternehmen gehen oft davon aus, dass Hacker-Attacken auf ihre Daten nur sie allein betreffen. Vielleicht ist manchen zwar bewusst, dass es eine Meldepflicht gibt. Doch lieber vertuschen sie den Vorfall aus Angst vor einem Reputations- und Vertrauensverlust bei ihren Kunden. Das kann allerdings hohe Strafen nach sich ziehen.

Diese Meldepflicht ist bereits seit mehreren Jahren gesetzlich geregelt. Der entsprechende Paragraph 42a des Bundesdatenschutzgesetzes (BDSG) ist in dieser Hinsicht eindeutig: Wenn personenbezogene Daten unrechtmäßig übermittelt wurden und dadurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen, müssen diese persönlich informiert werden. Als personenbezogene Daten gelten bereits Post- oder E-Mail-Adressen oder auch Passwörter. Falls es sich um sehr viele Personen handelt, muss das Unternehmen Anzeigen mit einem Umfang von wenigstens einer halben Seite in mindestens zwei überregionalen Tageszeitungen schalten oder gleichwertige Maßnahmen ergreifen. Zusätzlich muss eine Benachrichtigung der zuständigen Aufsichtsbehörde erfolgen.

Auch das neue IT-Sicherheitsgesetz ist relevant

Bereits 2015 wurde zudem das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz, so geändert, dass die Betreiber sicherheitskritischer Systeme Störungen an der IT sofort dem Bundesamt für Sicherheit in der Informationstechnik melden müssen. Zu diesen Systemen zählen beispielsweise Telekommunikationseinrichtungen oder Anlagen zur Stromversorgung. Das Bundesamt analysiert die Meldungen und die Ursachen für die Störungen und stellt daraus gegebenenfalls zusammen mit Informationen aus anderen Quellen ein Lagebild zusammen.

Verschweigen? Kein schlauer Gedanke

Die gleiche Informationspflicht ergibt sich aus Paragraph 15a des Telemediengesetzes (TMG). Es definiert die Rechte und Pflichten von Telemedien-Anbietern, wozu nach der gängigen Rechtsprechung jedes Unternehmen gehört, das auch nur eine Website betreibt. In der Frage der Details verweist das TMG auf den Paragraphen 42a BDSG. Ob im Einzelfall das Bundesdatenschutz- oder das Telemediengesetz zuständig ist, muss in den meisten Fällen ein Jurist entscheiden. Davon unabhängig drohen jedoch bei einem Verstoß gegen die Meldepflicht hohe Bußgelder. Hinzu können von Fall zu Fall noch Schadensersatzforderungen der Betroffenen kommen. Die Hoffnung, dass man durch das Verschweigen eines Datendiebstahls mit einem blauen Auge davonkommt, erweist sich daher für viele Unternehmen als Trugschluss.

Zudem muss das Unternehmen nachweisen, dass es seiner Sorgfaltspflicht nachgekommen ist. Es muss also beweisen können, dass es die bei ihm gespeicherten, personenbezogenen Daten datenschutzkonform gespeichert und verarbeitet hat. Das kann beispielsweise durch ISO-Zertifizierungen und Audits erfolgen.

Während das Bundesdatenschutz- und das Telemediengesetz die Höhe des Bußgeldes den Behörden überlassen, gibt die Europäische Datenschutzgrundverordnung (DSGVO) bereits einen festen Rahmen vor. Sie wird voraussichtlich im Mai 2018 in Kraft treten und legt in ihrem Artikel 83 fest, dass Unternehmen bei Verletzungen der Meldepflicht mit bis zu 20 Millionen Euro oder vier Prozent ihres Jahresumsatzes – je nachdem, welcher Betrag höher ist – zur Kasse gebeten werden können. Das Bußgeld muss dabei auf jeden Fall „wirksam, verhältnismäßig und abschreckend“ sein.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (0)

Skip to main content