Sie sind hier: Home » Markt » Hinweise & Tipps

EU-DSGVO: Benachrichtigung binnen 72 Stunden


EU-Datenschutzgrundverordnung: Benachrichtigung binnen 72 Stunden
Wenn bei einem Datenschutzvorfall persönliche, private Daten von Verbrauchern wahrscheinlich involviert sind, müssen die Betroffenen davon in Kenntnis gesetzt werden



Eine der wichtigsten Neuerungen in der EU-Datenschutzgrundverordnung und gleichzeitig eine von den Richtlinien, die äußerst kontrovers diskutiert wurden, ist die Benachrichtigungsfrist innerhalb von 72 Stunden nachdem ein Datenschutzvorfall bekannt geworden ist. Die Forderung richtet sich an Unternehmen und betrifft Datenschutzverstöße bei denen persönliche Daten von Verbrauchern betroffen sind.

"Wahrscheinlich beeinträchtigt/betroffen sind..."
Zunächst ist es wichtig zu unterscheiden, dass es im Hinblick auf den Geltungsbereich der Datenschutzgrundverordnung zwei unterschiedliche Grenzwerte zu beachten gilt: Eine Frist, innerhalb der potenziell betroffene Verbraucher benachrichtigt werden müssen und eine, die sich auf die Benachrichtigung der jeweiligen Data Protection Authority (DPA) bezieht.

Wenn bei einem Datenschutzvorfall persönliche, private Daten von Verbrauchern wahrscheinlich involviert sind, müssen die Betroffenen davon in Kenntnis gesetzt werden. Dass persönliche Daten von Verbrauchern "wahrscheinlich betroffen" sind, ist daher ein ziemlich weit gesteckter Rahmen.

Spricht man mit Juristen, die sich insbesondere mit dem Thema Compliance befassen, gehören zu diesen persönlichen Daten all die Informationen anhand derer sich eine Person identifizieren lässt. Das sind beispielsweise E-Mail-Adressen, sämtliche IDs von Onlinekonten, aber auch IP-Adressen. Sie alle fallen unter die "wahrscheinlich Betroffen"-Regelung.

Und die Verordnung greift an dieser Stelle sogar noch weiter. Sollten sich nämlich unter den von einem Datenschutzvorfall betroffenen persönlichen Daten auch solche befinden, die sich zu Geld machen lassen, wie Kontonummern und andere Identifizierungsmerkmale aus dem finanziellen Bereich, dann geht man davon aus, dass der Vorfall dieses Individuum "wahrscheinlich schädigt". Sollte das der Fall sein, müssen beide benachrichtigt werden, die betroffenen Verbraucher und die DPA des jeweiligen Landes.

Benachrichtigungsumfang betrifft mehr als nur die IT-Abteilung
Müssen wie im obigen Fall sowohl Verbraucher als auch die zuständige Data Protection Authority benachrichtigt werden muss die Meldung zusätzlich nähere Informationen zu dem betreffenden Datenschutzvorfall enthalten. Dazu gehört eine genaue Beschreibung um welche Art von Datenschutzverstoß es sich handelt, eine Auflistung welcher Typ von Daten betroffen ist, die Zahl der Betroffenen und die Zahl der betroffenen Datensätze.

Das jeweilige Unternehmen oder der, wie es in der EU-Sprechweise heißt, "Datenverantwortliche", ist gehalten nicht nur den Vorfall selbst, sondern auch alle potenziellen Folgen detailliert zu beschreiben, genauso wie die getroffenen Maßnahmen, um den Schaden zu begrenzen. Die DPA muss dabei innerhalb der 72-Stundenfrist benachrichtigt werden oder es muss eine "fundierte Begründung" abgegeben werden, warum ein Unternehmen nicht in der Lage ist, das geforderte Zeitfenster einzuhalten.

Natürlich brauchen Sie die IT-Abteilung, wenn Sie genau wissen wollen, welcher Typ von Dateien und wie viele Datensätze tatsächlich betroffen sind. Wenn man allerdings den juristischen Einschätzungen Glauben schenkt, sollte das Team, das in einem Unternehmen in diesen Fällen zuständig ist, aus mehr bestehen als nur der IT-Abteilung.

Bereits die Minimalanforderungen lesen sich anspruchsvoll. Juristen und Compliance-Experten empfehlen, dass mindestens ein Chief Privacy Officer (CPO), ein juristischer Experte (wenn eine der Führungskräfte nicht selbst Jurist ist), Mitarbeiter aus den Bereichen Risikomanagement und Public Relations und aus dem Finanzwesen zu dieser "schnellen Eingreiftruppe" gehören sollten.

Tatsache ist, dass die IT-Abteilung entscheidet ist, wenn es um den eigentlichen Fokus der Attacke, den Angriff selbst geht. Die anderen Beteiligten kommen ins Spiel wenn es um die Abschätzung der Folgen, die Kommunikation und die Schadensbegrenzung geht. Von einem Datenschutzvorfall sind wesentlich mehr Bereiche betroffen als die IT und die Implikationen sind weitreichend. Die Konsequenzen betreffen sowohl regulatorische als auch finanzielle und juristische Aspekte. Und um hier keinen Fehler zu machen, sollte man die entsprechenden Experten ins Boot holen. (Varonis: ra)

eingetragen: 24.11.16
Home & Newsletterlauf: 16.12.16

Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Cyber-Resilienz stärken

    Verlust sensibler Daten, enormer finanzieller Schaden oder die Störung der öffentlichen Ordnung - Cyberangriffe auf Kritische Infrastrukturen und Finanzinstitute können erhebliche gesellschaftliche Auswirkungen haben. Die Europäische Union hat deshalb die NIS2-Richtlinie und den Digital Operational Resilience Act (DORA) eingeführt, um diese zu minimieren.

  • KI im Arbeitsalltag: Werkzeug, kein Wundermittel

    Knapp 60 Prozent der deutschen Unternehmen mit mehr als 500 Mitarbeitenden nutzen laut einer Studie des Branchenverbands Bitkom inzwischen KI-basierte Chatbots. Wie gut die Ergebnisse ausfallen, die diese Bots und andere KI-Tools liefern, hängt allerdings wesentlich von der verwendeten Datengrundlage und einem wirklich sinnvollen Einsatzszenario ab.

  • Generationenkonflikt der IT-Security

    Unternehmen sind auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Es darf jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, braucht es einen Security-Ansatz, der Platz für Fortschritt schafft, anstatt ihn zu behindern.

  • Ist NIS-2 zu anspruchsvoll?

    Die politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und der Stärkung der Cybersicherheit noch vor der Bundestagswahl ist gescheitert. SPD, Grüne und FDP konnten sich nicht auf zentrale Punkte einigen. Damit bleibt über zwei Jahre nach der Verabschiedung der EU-Richtlinie die dringend notwendige gesetzliche Verschärfung aus. Die Umsetzungsfrist wird weiter überschritten

  • Seit 1. Januar 2025 gilt die E-Rechnungspflicht

    Stellen Sie sich vor, Ihr Unternehmen kann plötzlich Rechnungen nicht mehr rechtssicher verschicken. Verzögerte Zahlungen, rechtliche Konsequenzen und möglicherweise ein belastetes Geschäftsverhältnis könnten die Folge sein - und das alles, weil Sie die E-Rechnungspflicht ohne die richtige Software kaum einhalten können.

Neue verlängerte Fristen für die Abgabe Wichtige Tipps zur Einhaltung der GDPR

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen