Sie sind hier: Home » Markt » Hinweise & Tipps

EU-DSGVO: Benachrichtigung binnen 72 Stunden


EU-Datenschutzgrundverordnung: Benachrichtigung binnen 72 Stunden
Wenn bei einem Datenschutzvorfall persönliche, private Daten von Verbrauchern wahrscheinlich involviert sind, müssen die Betroffenen davon in Kenntnis gesetzt werden



Eine der wichtigsten Neuerungen in der EU-Datenschutzgrundverordnung und gleichzeitig eine von den Richtlinien, die äußerst kontrovers diskutiert wurden, ist die Benachrichtigungsfrist innerhalb von 72 Stunden nachdem ein Datenschutzvorfall bekannt geworden ist. Die Forderung richtet sich an Unternehmen und betrifft Datenschutzverstöße bei denen persönliche Daten von Verbrauchern betroffen sind.

"Wahrscheinlich beeinträchtigt/betroffen sind..."
Zunächst ist es wichtig zu unterscheiden, dass es im Hinblick auf den Geltungsbereich der Datenschutzgrundverordnung zwei unterschiedliche Grenzwerte zu beachten gilt: Eine Frist, innerhalb der potenziell betroffene Verbraucher benachrichtigt werden müssen und eine, die sich auf die Benachrichtigung der jeweiligen Data Protection Authority (DPA) bezieht.

Wenn bei einem Datenschutzvorfall persönliche, private Daten von Verbrauchern wahrscheinlich involviert sind, müssen die Betroffenen davon in Kenntnis gesetzt werden. Dass persönliche Daten von Verbrauchern "wahrscheinlich betroffen" sind, ist daher ein ziemlich weit gesteckter Rahmen.

Spricht man mit Juristen, die sich insbesondere mit dem Thema Compliance befassen, gehören zu diesen persönlichen Daten all die Informationen anhand derer sich eine Person identifizieren lässt. Das sind beispielsweise E-Mail-Adressen, sämtliche IDs von Onlinekonten, aber auch IP-Adressen. Sie alle fallen unter die "wahrscheinlich Betroffen"-Regelung.

Und die Verordnung greift an dieser Stelle sogar noch weiter. Sollten sich nämlich unter den von einem Datenschutzvorfall betroffenen persönlichen Daten auch solche befinden, die sich zu Geld machen lassen, wie Kontonummern und andere Identifizierungsmerkmale aus dem finanziellen Bereich, dann geht man davon aus, dass der Vorfall dieses Individuum "wahrscheinlich schädigt". Sollte das der Fall sein, müssen beide benachrichtigt werden, die betroffenen Verbraucher und die DPA des jeweiligen Landes.

Benachrichtigungsumfang betrifft mehr als nur die IT-Abteilung
Müssen wie im obigen Fall sowohl Verbraucher als auch die zuständige Data Protection Authority benachrichtigt werden muss die Meldung zusätzlich nähere Informationen zu dem betreffenden Datenschutzvorfall enthalten. Dazu gehört eine genaue Beschreibung um welche Art von Datenschutzverstoß es sich handelt, eine Auflistung welcher Typ von Daten betroffen ist, die Zahl der Betroffenen und die Zahl der betroffenen Datensätze.

Das jeweilige Unternehmen oder der, wie es in der EU-Sprechweise heißt, "Datenverantwortliche", ist gehalten nicht nur den Vorfall selbst, sondern auch alle potenziellen Folgen detailliert zu beschreiben, genauso wie die getroffenen Maßnahmen, um den Schaden zu begrenzen. Die DPA muss dabei innerhalb der 72-Stundenfrist benachrichtigt werden oder es muss eine "fundierte Begründung" abgegeben werden, warum ein Unternehmen nicht in der Lage ist, das geforderte Zeitfenster einzuhalten.

Natürlich brauchen Sie die IT-Abteilung, wenn Sie genau wissen wollen, welcher Typ von Dateien und wie viele Datensätze tatsächlich betroffen sind. Wenn man allerdings den juristischen Einschätzungen Glauben schenkt, sollte das Team, das in einem Unternehmen in diesen Fällen zuständig ist, aus mehr bestehen als nur der IT-Abteilung.

Bereits die Minimalanforderungen lesen sich anspruchsvoll. Juristen und Compliance-Experten empfehlen, dass mindestens ein Chief Privacy Officer (CPO), ein juristischer Experte (wenn eine der Führungskräfte nicht selbst Jurist ist), Mitarbeiter aus den Bereichen Risikomanagement und Public Relations und aus dem Finanzwesen zu dieser "schnellen Eingreiftruppe" gehören sollten.

Tatsache ist, dass die IT-Abteilung entscheidet ist, wenn es um den eigentlichen Fokus der Attacke, den Angriff selbst geht. Die anderen Beteiligten kommen ins Spiel wenn es um die Abschätzung der Folgen, die Kommunikation und die Schadensbegrenzung geht. Von einem Datenschutzvorfall sind wesentlich mehr Bereiche betroffen als die IT und die Implikationen sind weitreichend. Die Konsequenzen betreffen sowohl regulatorische als auch finanzielle und juristische Aspekte. Und um hier keinen Fehler zu machen, sollte man die entsprechenden Experten ins Boot holen. (Varonis: ra)

eingetragen: 24.11.16
Home & Newsletterlauf: 16.12.16

Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

  • NIS-2-Umsetzung in Deutschland

    Mit dem neuen für NIS-2-Gesetz kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen zu - doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben. Jetzt ist die Zeit zum Handeln. Seit der Verabschiedung der NIS-2-Richtlinie durch die EU im Jahr 2022 war die Umsetzung in den Mitgliedstaaten ein komplexer Prozess.

  • Dem Fiskus drei Schritte voraus

    Teure Materialien sowie steigende Energie- und Transportpreise sind nur zwei Gründe, warum in zahlreichen Unternehmen der Sparzwang wächst. "Unvorhergesehene und potenziell kostspielige Steuernachzahlungen können in einer ohnehin angespannten Situation den Druck auf die finanziellen Ressourcen empfindlich erhöhen", weiß Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld.

  • Gesetze über Gesetze

    Der Countdown läuft: Die NIS2-Richtlinie steht praktisch schon vor der Tür und Betreiber kritischer Infrastrukturen (KRITIS) arbeiten auf Hochtouren daran, bis Oktober alle notwendigen Maßnahmen zu treffen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen