Datenschutz: Wann Sicherheitsvorfälle gemeldet werden müssen
Wenn Unbefugte Zugang zu personenbezogene Daten haben, betrifft das datenschutzrechtliche Vorgaben. Bestimmte Vorfälle müssen daher gemeldet werden.
Sicherheitsvorfälle und Datenpannen bei bekannten Unternehmen füllen fast täglich die Schlagzeilen. Fast immer sind personenbezogene Daten und damit der Datenschutz betroffen. Beispiele sind ein erfolgreicher Hackerangriff, die ungewollte Veröffentlichung von vertraulichen Daten im Internet und verlorene Speichermedien.
Das Projekt Datenschutz sammelt bereits seit über vier Jahren Meldungen zu Datenpannen. Für das erste Halbjahr 2013 wurden 15 Sicherheitsvorfälle registriert, im Oktober 2013 waren es fünf. Das klingt vielleicht nicht viel, aber die Zahl der Betroffenen kann mehrere Millionen umfassen.
Bei der Bewertung der Häufigkeit von Datenpannen sowie Verstöße gegen den Datenschutz muss man zudem bedenken, dass nur die Sicherheitsvorfälle gelistet und in den Medien gemeldet werden können, die auch bekannt geworden sind. Bekannt werden, hat hier zwei Dimensionen: die Bekanntheit in der Öffentlichkeit und die Kenntnis des jeweiligen Unternehmens oder der Behörde über die Datenpanne.
Zweifellos kann man von einer großen Dunkelziffer ausgehen. Viele Datenpannen werden nicht bekannt, weil sie nicht entdeckt beziehungsweise gemeldet werden. Das Land Niedersachsen zum Beispiel hat eine Dunkelfeldstudie für den Bereich Cybercrime veröffentlicht: Die Dunkelziffer beträgt bei Betrug über das Internet etwa das Vierfache, bei Phishing das Zehnfache und bei Datenverlusten sowie finanziellen Einbußen durch Viren, Trojaner sogar mehr als das Zwanzigfache des der Polizei bekannt gewordenen Fallvolumens.
Meldepflichten sind geregelt
Wann ein Sicherheitsvorfall an Aufsichtsbehörden und an die Betroffenen oder sogar an die Presse gemeldet werden muss, klärt das Bundesdatenschutzgesetz (BDSG). Das Gesetz regelt auch, welche Arten von Daten zur Informationspflicht gegenüber der Aufsichtsbehörde sowie den Betroffenen führen und wann die Presse einzuschalten ist.
Im Datenschutz gibt es Datenkategorien, bei denen ein Sicherheitsvorfall gemeldet werden muss. Dies sind die sogenannten besonderen Arten personenbezogener Daten (also Angaben über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben). Zu den personenbezogenen Daten gehören auch Informationen:
- die einem Berufsgeheimnis unterliegen.
- die sich auf strafbare Handlungen oder Ordnungswidrigkeiten, beziehungsweise auf dessen Verdacht beziehen.
- zu Bank- oder Kreditkartenkonten.
Besonderheiten für Telekommunikationsanbieter
In der jüngeren Vergangenheit waren auch immer wieder Telekommunikationsanbieter von Sicherheitsvorfällen und Datenpannen betroffen, so dass auch das Telekommunikationsgesetz (TKG) hinsichtlich Meldepflichten bereits häufiger zum Tragen kam. Hier ist geregelt, dass Telekommunikationsanbieter im Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur und den Bundesbeauftragten für den Datenschutz sowie die Informationsfreiheit von der Verletzung zu benachrichtigen haben. Sind schwerwiegende Konsequenzen für die betroffenen Kunden oder Nutzer anzunehmen, müssen auch die Betroffenen informiert werden. Anders sieht dies aus, wenn die Daten nachweislich verschlüsselt waren, so dass eine Information der Betroffenen nicht gefordert wird.
Für die Meldung eines Sicherheitsvorfalls nach dem Telekommunikationsgesetz (TKG) an den Bundesdatenschutzbeauftragten und an die Bundesnetzagentur gibt es geregelte Prozesse und Meldeverfahren.
Vorgaben auf EU-Ebene
Entsprechende Regelungen bestehen auch auf EU-Ebene. In der Verordnung (EU) Nr. 611/2013 der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten findet sich auch ein Anhang, der genau regelt, was an die zuständigen nationalen Behörden zu kommunizieren ist und was den Betroffenen mitgeteilt werden muss.
Zudem werden hier weitere konkrete Datenkategorien genannt, die bei einem Sicherheitsvorfall zur Meldepflicht führen können, darunter Standortdaten, Internet-Protokolldateien, Webbrowser-Verläufe, E-Mail-Daten und Aufstellungen von Einzelverbindungen.
Keine Meldung auf Verdacht
Nicht gefordert wird, dass bei einem reinen Verdacht bereits eine Meldung an die Aufsichtsbehörden oder gar die Betroffenen erfolgt. Auch die bloße Feststellung eines Vorfalls, über den trotz größtmöglicher Bemühungen des Betreibers keine ausreichenden Informationen vorliegen, ist noch kein Anlass für eine umfassende Meldung. Eine Verletzung des Datenschutzes gilt als festgestellt, sobald der Betreiber von einer Nichteinhaltung hinreichende Kenntnis erlangt hat, um eine sinnvolle Benachrichtigung nach den Vorschriften vornehmen zu können, so die EU-Verordnung.
Sicherheitsvorfall muss zuerst erkannt werden
Die umfangreichen Informationspflichten lassen sich insbesondere nicht erfüllen, wenn die Datenpanne unerkannt bleibt. Es macht also wenig Sinn, als Unternehmen einen internen Prozess aufzusetzen, wer wann an wen und wie einen Sicherheitsvorfall zu melden hat. Das ist gemäß den Vorgaben aus dem BDSG oder TKG erforderlich, reicht aber letztlich nicht aus.
Unternehmen und Behörden sollten vielmehr einen durchgehenden Informationsprozess etablieren, der mit der Erkennung von möglichen Sicherheitsvorfällen beginnt, die Bewertung der Risiken für die personenbezogenen Daten einschließt und in die Meldung an Aufsichtsbehörden und gegebenenfalls Betroffenen mündet. Wie ein geeignetes Security Incident Management technisch umgesetzt wird, hat die Europäische Agentur ENISA in einer Empfehlung beschrieben.
Freiwillige Meldungen sinnvoll, aber kein Ersatz
Neben den Informationspflichten bei Sicherheitsvorfällen, von denen personenbezogene Daten betroffen sind, gibt es die freiwillige Meldung von Sicherheitsereignissen an das Bundesamt für Sicherheit in der Informationstechnik.
Diese helfen dabei, ein besseres Lagebild zur IT-Sicherheit in Deutschland und der EU zu erreichen. Mit den Informationspflichten nach BDSG oder TKG jedoch sollten diese Meldungen nicht verwechselt werden. Wichtig für die Unterscheidung ist insbesondere, ob sensible, personenbezogene Daten durch den Sicherheitsvorfall Unbefugten zugänglich geworden sein können oder nicht.