Was tun bei Datenverlust?
14. Februar 2018
Verfasst von Sarah Schaudel
Bild: © Falko Müller - Riesa - Fotolia.com
Industriespionage, Datenklau und –missbrauch… Wie würden Sie damit umgehen, wenn bspw. alle Kunden-, Vertrags- und Rechnungsdaten plötzlich gelöscht werden oder in fremde Hände gelangen?
Datenklau wird weltweit immer attraktiver!
Ein Angriff auf das Unternehmensnetzwerk kann fatale Folgen haben. Im schlimmsten Fall kommt es zum Stillstand des Kerngeschäfts, bis der Schaden analysiert und die Daten wiederhergestellt sind. Doch es geht in erster Linie nicht um die Wiederherstellung der Daten, sondern vielmehr um die Schadensbegrenzung.
Vertrauensverlust der Geschäftspartner
Der Datenklau betrifft nicht das Unternehmen, sondern auch die Geschäftspartner. Insbesondere für langjährige und mühevoll aufgebaute Geschäftsbeziehungen kann das ein KO-Kriterium sein.
Streng genommen gilt es sogar schon als Datenleck, wenn E-Mail-Adressen im CC-Feld anstatt im BCC-Feld steht.
Aktuelle Rechtslage nach BDSG
Laut §42 a BDSG muss ein Datenverlust „sensibler“ personenbezogener Daten, bspw. Bankdaten, unverzüglich der zuständigen Aufsichtsbehörde und den betroffenen Personen mitgeteilt werden. Zusätzlich müssen den betroffenen Personen geeignete Maßnahmen zur „Minderung möglicher nachteiliger Folgen“ vorgeschlagen werden. Stellt die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand dar, muss eine Anzeige in zwei bundesweit erscheinenden Tageszeitungen veröffentlicht werden. Die Größe der Anzeige ist mit mindestens einer halben Seite vorgegeben.
Und was sagt die DSGVO dazu?
Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung. Es müssen zukünftig Datenlecks aller personenbezogener Daten gemeldet werden. Die Meldung muss unverzüglich „und möglichst binnen 72 Stunden“ erfolgen und zwar gut dokumentiert:
Datenschutzverletzung, deren Auswirkungen und ergriffene Abhilfemaßnahmen. (§33 DSGVO)
Doch der größte Unterschied ist, dass die Meldepflicht schon bei einer Datenschutzverletzung, z.B. bei einem reinen Datenverlust, besteht.
Vom Datenverlust betroffene Personen hingegen müssen nur benachrichtigt werden, wenn „ein hohes Risiko für die persönlichen Rechte und Freiheiten“ besteht. (§ 34 DSGVO)
Das merkt doch keiner! Und wenn doch?
Während nach dem BDSG das Bußgeld bei Nichterfüllung der Meldepflicht bei 50.000 € lag, werden nach der DSGVO bis zu 10 Mio. € oder 2% des weltweiten Umsatzes aus dem vorangegangenem Geschäftsjahr verlangt. Das ist für jedes Unternehmen schmerzlich!
Sind Sie auf die DSGVO ausreichend vorbereitet?
Wir stellen Ihnen zwei Checklisten zum Thema Datenschutz und DSGVO zur Verfügung. Anhand dieser können Sie herausfinden in wie weit Handlungsbedarf besteht.
