Was tun bei Datenverlust?
14. Februar 2018
Verfasst von Sarah Schaudel
Bild: © Falko Müller - Riesa - Fotolia.com
Industriespionage, Datenklau und -missbrauch… wie würden Sie damit umgehen, wenn zum Beispiel alle Kunden-, Vertrags- und Rechnungsdaten plötzlich gelöscht werden oder in fremde Hände gelangen?
Datenklau nimmt weltweit zu!
Ein Angriff auf das Unternehmensnetzwerk kann fatale Folgen haben. Im schlimmsten Fall kommt es zum Stillstand des Kerngeschäfts, bis der Schaden analysiert und die Daten wiederhergestellt sind. Doch es geht in erster Linie nicht um die Wiederherstellung der Daten, sondern vielmehr um die Schadensbegrenzung.
Vertrauensverlust der Geschäftspartner
Der Datenklau betrifft nicht das Unternehmen, sondern auch die Geschäftspartner. Insbesondere für langjährige und mühevoll aufgebaute Geschäftsbeziehungen kann das ein K.-o.-Kriterium sein.
Streng genommen gilt es sogar schon als Datenleck, wenn E-Mail-Adressen im CC-Feld anstatt im BCC-Feld steht.
Aktuelle Rechtslage nach BDSG
Laut §42 a BDSG muss ein Datenverlust „sensibler“ personenbezogener Daten, bspw. Bankdaten, unverzüglich der zuständigen Aufsichtsbehörde und den betroffenen Personen mitgeteilt werden. Zusätzlich müssen den betroffenen Personen geeignete Maßnahmen zur „Minderung möglicher nachteiliger Folgen“ vorgeschlagen werden. Stellt die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand dar, muss eine Anzeige in zwei bundesweit erscheinenden Tageszeitungen veröffentlicht werden. Die Größe der Anzeige ist mit mindestens einer halben Seite vorgegeben.
Und was sagt die DSGVO dazu?
Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung. Es müssen zukünftig Datenlecks aller personenbezogener Daten gemeldet werden. Die Meldung muss unverzüglich „und möglichst binnen 72 Stunden“ erfolgen und gut dokumentiert sein. Details zur Datenschutzverletzung, deren Auswirkungen und ergriffene Abhilfemaßnahmen enthält §33 DSGVO.
Doch der größte Unterschied zwischen beiden Gesetzgebungen ist, dass die Meldepflicht schon bei jeglicher Verletzung personenbezogener Daten besteht, z. B. bei einem reinen Datenverlust. Vom Datenverlust betroffene Personen hingegen müssen nur benachrichtigt werden, wenn „ein hohes Risiko für die persönlichen Rechte und Freiheiten“ besteht. (§ 34 DSGVO)
Das merkt doch keiner! Und wenn doch?
Während nach dem BDSG das Bußgeld bei Nichterfüllung der Meldepflicht bei 50.000 Euro lag, werden nach der DSGVO bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes aus dem vorangegangenem Geschäftsjahr verlangt. Das ist für jedes Unternehmen schmerzlich!
Sind Sie auf die DSGVO ausreichend vorbereitet?
Gerne beraten wir Sie zum Thema Datenschutz - kommen Sie gerne auf uns zu.