Meldepflichten an Behörden nach DSGVO, ITSiG und NIS-Richtlinie

Ob Sicherheits- oder Datenschutzvorfall – jede Organisation sollte einen Plan und Prozess pro futuro etabliert haben, bevor es zu einem Incident kommt. Meldepflichten gegenüber Behörden spielen in Vorfalls-, Notfall- und Krisenmanagement zunehmend eine wichtige Rolle. Nicht zuletzt die enormen Bußgeldrahmen nach der EU-Datenschutz-Grundverordnung (DSGVO) machen nun auch eine vertiefte Auseinandersetzung mit datenschutzrechtlichen Meldepflichten erforderlich. Organisationen, die bereits möglichen Meldepflichten unterliegen, können hierbei bereits bestehende Prozesse nutzen, um auch die neuen Anforderungen nach der DSGVO abzudecken.

Dieser Beitrag stellt die neuen datenschutzrechtlichen Anforderungen den nicht mehr ganz so neuen Meldepflichten für Betreiber kritischer Infrastrukturen (KRITIS) und Anbieter digitaler Dienste gegenüber – vor allem mit Blick auf ein mögliches Konsolidierungspotenzial. Benachrichtigungspflichten gegenüber Betroffenen wurden hierbei bewusst ausgeklammert (siehe dazu etwa [11]).

Meldepflichten nach BSIG

Mit der „Directive of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common levels of security of network and information systems across the Union“ (kurz NIS-Richtlinie – NIS-RL [2]) hat sich die Europäische Union zum Ziel gesetzt, EU-übergreifend ein höheres Niveau an Netz- und Informationssicherheit zu schaffen und so Nutzer und Unternehmen besser vor den Risiken durch Cyberattacken, Computerspionage oder Onlinekriminalität zu schützen (s. a. [1]).

Deutschland hat große Teile des Regelungsumfangs der NIS-Richtlinie bereits mit dem am 25. Juli 2015 in Kraft getretenen „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz – ITSiG [4]) vorweggenommen. „Mit diesem Gesetz sind wir europaweit Vorreiter und Vorbild“, stellte der damalige Bundesinnenminister Thomas de Maizière das IT-Sicherheitsgesetz vor: „Es leistet seinen Beitrag dazu, dass das Netz sicherer wird und die digitalen Infrastrukturen Deutschlands künftig zu den sichersten weltweit gehören.“

Mit dem am 29. Juni 2017 verkündeten Umsetzungsgesetz zur NIS-RL [3] sollte das ITSiG nachträglich an die zwischenzeitlich erlassene Richtlinie angepasst werden. Danach ergaben sich vor allem neue Anforderungen für Betreiber sogenannter „digitaler Dienste“ sowie in Bezug auf die Aufsicht. Entsprechend können nunmehr sowohl kritische Infrastrukturen als auch Anbieter digitaler Dienste (Digital-Service-Provider) zur Meldung eines Sicherheitsvorfalls verpflichtet sein (s. a. 2018# 3, S. 20).

Das ITSiG führte erstmalig Meldepflichten über Sicherheitsvorfälle für alle relevanten KRITIS-Sektoren, mit Ausnahme von öffentlichen Stellen, ein (§ 8b Abs. 4 BSI-Gesetz – BSIG [6]). Auch für Anbieter digitaler Dienste besteht eine Pflicht, dem BSI jeden Sicherheitsvorfall zu melden, der erhebliche Auswirkungen auf die Bereitstellung des KRITIS hat (§ 8c Abs. 3 BSIG). Ausnahmen, bei denen Meldepflichten nicht anzuwenden sind, definiert § 8d Abs. 3 BSIG: Darunter fallen unter anderem Betreiber öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher TK-Dienste, Betreiber von Energieversorgungsnetzen oder -anlagen, Genehmigungsinhaber nach Atom-Gesetz (AtG) et cetera.

Zwecke der Meldepflicht

Mit der Meldepflicht soll das nationale Lagebild zur IT-Sicherheit verbessert werden. Zudem soll durch einen schnellen Informationsaustausch zwischen BSI und KRITIS-Betreibern die Reaktionskompetenz erhöht werden – inklusive der Einbindung von zuständigen Aufsichts- und sonstigen Behörden sowie bei Bedarf auch einer Warnung der Allgemeinheit. Konkret: „Das BSI bewertet und analysiert die eingehenden Meldungen und setzt sie mit weiteren Meldungen und Erkenntnissen aus anderen Quellen in Beziehung. Daraus entsteht ein Lagebild, auf dessen Basis […] kurzfristige Warn- und Alarmierungsmeldungen sowie Handlungsempfehlungen für Betroffene erstellt werden können. Diese tragen dazu bei, dass sich KRITIS-Betreiber […] frühzeitig auf die Angriffe oder Ausfälle vorbereiten bzw. entsprechende Gegenmaßnahmen treffen können“ [5].

Das BSI ist die zentrale Stelle für die Sicherheit in der Informationstechnik kritischer Infrastrukturen und zentrale Meldestelle in Angelegenheiten der Sicherheit in der Informationstechnik (§ 8b Abs. 1 BSIG). Als solches ist das Amt zur Unterrichtung des Bundesministeriums des Innern (BMI) verpflichtet und muss zur Aufklärung der Öffentlichkeit mindestens einmal im Jahr einen zusammenfassenden Bericht erstellen (§ 13 Abs. 1 u. 2 BSIG). Die Ergebnisse aus den Meldepflichten nach dem ITSiG wurden erstmalig im Lagebericht 2015 berücksichtigt – darin enthalten sind Meldungen, die nach Sachverhalt, Angriffsmethode, Schadenswirkung, Zielgruppe und technischen Fähigkeiten der Angreifer strukturiert sind.

Kontaktstelle im Unternehmen

Die Meldung wesentlicher Sicherheitsvorfälle an die Meldestelle (BSI) erfolgt durch eine vom Unternehmen zu benennende Kontaktstelle für die von ihm betriebenen KRITIS (§ 8b Abs. 3 BSIG). Der sogenannte „Single Point of Contact“ (SPOC) sollte innerhalb von sechs Monaten nach Inkrafttreten der BSI-KritisV [7] benannt werden. Gemäß § 8b Abs. 5 BSIG können KRITIS-Betreiber, die demselben Sektor angehören, zusätzlich zur Kontaktstelle nach Abs. 3 eine gemeinsame übergeordnete Ansprechstelle benennen – wurde eine solche benannt, erfolgen die Meldungen über ebendiese Stelle. Die Frist für eine derartige Benennung lief am 3. November 2017 ab.

Eine Ausnahme bildeten Telekommunikationsunternehmen, für welche die Meldepflicht sofort mit dem Inkrafttreten des ITSiG galt, da eine bestehende Meldepflicht gegenüber der Bundesnetzagentur lediglich erweitert wurde (vgl. [5]).

Auslöser, Fristen und Inhalte

Gemeldet werden müssen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit informationstechnischer Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der KRITIS führen können (§ 8b Abs. 4 Nr. 1 BSIG) oder geführt haben (Nr. 2).

Das BSI hat hier den Begriff einer „IT-Störung“ eingeführt: Bei IT-Störungen, die zu einem Ausfall oder einer erheblichen Beeinträchtigung führen können, wird zudem zwischen „außergewöhnlichen“ und „gewöhnlichen“ IT-Störungen unterschieden – diese Differenzierung stützt sich nicht auf das BSIG. Gewöhnliche IT-Störungen fallen jedoch laut BSI nicht unter die Meldepflicht [8].

Anbieter digitaler Dienste müssen dem BSI jeden Sicherheitsvorfall melden, der „erhebliche Auswirkungen“ auf die Bereitstellung eines von ihnen innerhalb der EU erbrachten digitalen Dienstes hat (§ 8c Abs. 3 BSIG). Diese Pflicht entfällt, wenn der Anbieter keinen ausreichenden Zugang zu den Informationen hat, um die Auswirkungen des Vorfalls zu bewerten.

Über gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen Mitgliedstaat haben, hat das BSI gegebenenfalls die zuständige Behörde dieses Landes zu unterrichten. Die Voraussetzungen für die „Erheblichkeit“ eines Sicherheitsvorfalls werden durch § 8c Abs. 3 BSIG nach Durchführungsakte der Kommission nach Artikel 16 Abs. 8 der NIS-RL bestimmt.

Meldungen sind „unverzüglich“, und zwar über die Kontaktstelle, an das BSI weiterzugeben und müssen alle bekannten relevanten Informationen umfassen, die zum Zeitpunkt der Meldung vorliegen. Sind diese noch nicht vollständig, ist die Meldung als „Erstmeldung“ zu qualifizieren, wobei „Schnelligkeit vor Vollständigkeit“ geht. Sobald fehlende Informationen bekannt werden, sind eine Folgemeldung und eine Abschlussmeldung (nach vollständiger Umsetzung der Maßnahmen zur Vorfallbearbeitung) abzusetzen. Meldet sich das BSI nicht binnen fünf Tagen nach der Einreichung der Abschlussmeldung beim Betreiber, dann gilt die Meldepflicht als vollständig erfüllt (vgl. [8]).

In der Meldung müssen überdies die im BSIG geforderten Informationen enthalten sein (siehe Tab. 1 auf S. 24 – § 8b Abs. 4 und § 8c Abs. 3 BSIG). Die einfachste Möglichkeit zur Meldung führt über das Melde- und Informationsportal des BSI (https://mip.bsi.bund.de/ – Registrierung erforderlich). Das Amt quittiert die Meldung und leitet sie – falls relevant – gemäß Atom-Gesetz (AtG) oder Energiewirtschaftsgesetz (EnWG) an die zuständigen Aufsichtsbehörden weiter (Zielreaktionszeit: Minuten). Rückfragen an den Betreiber sowie eine erste Einschätzung erfolgen binnen Stunden, Experteneinschätzung in Tagen und Detailbewertung in Wochen – jeweils in Interaktion mit der Branche und der zuständigen Aufsichtsbehörde.

Nachweise und Sanktionen

Unternehmen halten sich gerne bedeckt, wenn sie Opfer von Cyberangriffen, -spionage oder -kriminalität werden. Um dem entgegenzuwirken und die Effektivität getroffener Maßnahmen, darunter auch Meldepflichten, zu gewährleisten, wurden im BSIG Auditierungspflichten mindestens alle zwei Jahre, Nachweise gegenüber dem BSI sowie bei Sicherheitsmängeln die Einbindung des BSI festgeschrieben (§ 8a Abs. 3 BSIG). Das BSI kann zudem die Einhaltung der Anforderungen selbst oder durch Beauftragung eines „qualifizierten Dritten“ überprüfen (§ 8a Abs. 4 BSIG).

Die im BSIG definierten Ordnungswidrigkeitstatbestände für KRITIS-Betreiber wurden auf Anbieter digitaler Dienste erweitert – demnach können Verstöße gegen die Pflichten zur Vornahme von Sicherheitsvorkehrungen mit Bußgeldern bis zu 100.000 € geahndet werden, § 14 Abs. 1 Nr. 2 BSIG). Wer eine Meldung nach § 8b Abs. 4 Satz 1 Nr. 2 oder § 8c Abs. 3 Satz 1 nicht richtig, nicht vollständig oder nicht rechtzeitig erledigt, kann mit einer Geldbuße von bis zu 50.000 € belegt werden.

Meldepflichten nach DSGVO

Der primäre Zweck der Meldepflicht nach der DSGVO [9,10] ist der Schutz der Betroffenen. Eine Pflicht zur Meldung an die Aufsichtsbehörde gemäß Art. 33 DSGVO ist daher auf Fälle der Verletzung des Schutzes personenbezogener Daten (i. S. v. Art. 4 Nr. 12 DSGVO) beschränkt und damit von sonstigen Sicherheitsvorfällen ohne solchen Personenbezug abzugrenzen. Dementsprechend bedingt nicht jede Verletzung der IT-Sicherheit auch eine Verletzung des Schutzes personenbezogener Daten. Solche IT-Sicherheitsvorfälle können jedoch dem Anwendungsbereich anderer Informations-, Melde- oder Benachrichtigungspflichten unterliegen (neben den vorstehend dargestellten Pflichten nach BSIG ist z. B. an die bereichsspezifischen Pflichten aus § 52EnWG oder § 54 Zahlungsdiensteaufsichtsgesetz – ZAG zu denken).

Nach der Legaldefinition in Art. 4 Nr. 12 DSGVO umfasst die Verletzung des Schutzes personenbezogener Daten jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die vom Verantwortlichen übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Der Verletzungsfall muss weder beabsichtigt oder bewusst herbeigeführt worden sein noch aus einer unrechtmäßigen Handlung resultieren. Es ist mithin unerheblich, ob die Datenschutzverletzung beispielsweise durch einen Cyberangriff, Softwarefehler, Hardwareausfall oder bloß durch das Versehen eines Sachbearbeiters verursacht wurde.

Die in der Definition genannten Verletzungsfälle Vernichtung, Verlust, Veränderung, unbefugte Offenlegung und unbefugter Zugang lassen sich dabei unter die auch für andere Meldepflichten maßgeblichen klassischen Schutzziele der Datensicherheit fassen – Integrität, Vertraulichkeit und Verfügbarkeit von Daten: So stellt die Vernichtung personenbezogener Daten eine Beeinträchtigung der Integrität des ursprünglichen Datenbestands dar und ist allem voran bei der Zerstörung eines Datenträgers gegeben – und zwar unabhängig davon, ob es sich um „analoge“ (z. B. Papier), elektronische (z. B. USB-Stick, Speicherkarten), magnetische (z. B. Festplattenspeicher) oder optische (z. B. DVD) Datenträger handelt (vgl. [12]).

Unter das Merkmal der Veränderung fällt jede Modifizierung des Informationsgehalts von personenbezogenen Daten, wie es beispielsweise beim Austausch oder Überschreiben von Datenfeldern der Fall sein kann. Kein Verletzungsfall liegt indes vor, soweit eine Vernichtung oder Veränderung personenbezogener Daten gesetzlich angeordnet oder durch eine wirksame Einwilligung der betroffenen Person legitimiert ist (so auch [13]).

Unter den Verlust personenbezogener Daten als Beeinträchtigung der Verfügbarkeit fällt jede Aufhebung der Verfügungsgewalt über Daten (vgl. [14]) einschließlich der dauerhaften Löschung (dass eine Löschung keine Vernichtung ist, erfolgt aus der separaten Aufzählung beider Begriffe in Art. 4 Nr. 2 DSGVO). Offenbar in Anlehnung an die Praxis der Informationssicherheit möchten die Aufsichtsbehörden – vor allem mit Blick auf Attacken durch sogenannte Ransomware – Fälle der temporären Unterbrechung der Verfügbarkeit als Verletzung des Schutzes personenbezogener Daten erfassen, soweit die Unterbrechung nicht durch planmäßige Wartungsarbeiten bedingt ist. Diese extensive Auslegung begegnet Bedenken, weil die DSGVO an keiner Stelle die ständige Verfügbarkeit von personenbezogenen Daten garantiert (soweit Art. 32 Abs. 1 lit. b DSGVO die Implementierung von Maßnahmen zur Sicherstellung der Verfügbarkeit vorsieht, kann ein Verstoß gegen diese Vorgabe separat sanktioniert werden, führt aber nicht automatisch zu einer Datenschutzverletzung). Dieses Problem stellt sich allerdings nicht, wenn etwa ein Ransomwareangriff durch den Drittzugriff auf Daten mit einer Verletzung der Integrität oder Vertraulichkeit einhergeht.

Die Fälle der unbefugten Offenlegung von oder des unbefugten Zugangs zu personenbezogenen Daten bewirken eine Aufhebung der Vertraulichkeit von Daten und betreffen vor allem Fälle, in denen nichtautorisierte Personen Zugriff auf die Daten nehmen können. Dies kann zum Beispiel bei einem Diebstahl von Datenträgern, beim Zugang zu Datenbanken mit rechtswidrig erlangten Zugangsdaten oder bei der versehentlichen Veröffentlichung von Daten der Fall sein.

Meldung durch den Verantwortlichen

Die DSGVO verpflichtet den Verantwortlichen (i. S. v. Art. 4 Nr. 7 DSGVO) zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die gemäß Art. 51 und 55 zuständige Aufsichtsbehörde (Art. 33 Abs. 1 DSGVO) – dies kann bei grenzüberschreitenden Verarbeitungen auch die federführende Aufsichtsbehörde gemäß Art. 56 Abs. 1 DSGVO beziehungsweise § 19 BDSG sein. Im Falle gemeinsamer Verantwortlichkeit besteht die Pflicht für den Verantwortlichen, dem diese Aufgabe nach der gemäß Art. 26 DSGVO mit den weiteren Verantwortlichen geschlossenen Vereinbarung zugewiesen wurde oder – in Ermangelung einer dies regelnden Vereinbarung – demjenigen, in dessen Sphäre die Verletzung entstanden ist.

Eine Meldepflicht besteht gemäß DSGVO ausnahmsweise nicht, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 Abs. 1 S. 1, 2. Hs. DSGVO). Der Verantwortliche hat daher eine Prognose der Risiken für die Betroffenen aufzustellen, wobei ihm ein – überprüfbarer – Einschätzungsspielraum eingeräumt wird. Da jede Verarbeitung und (erst recht) jeder Verletzungsfall mit einem gewissen Risiko einhergeht, ist die Ausnahme dahingehend auszulegen, dass eine Meldung bei einem lediglich geringfügigen Risiko entbehrlich ist (vgl. [15]). Dieser Fall ist von den weiteren Risikostufen „Risiko“ (Meldepflicht) und „hohes Risiko“ (Pflicht zur Benachrichtigung der Betroffenen) abzugrenzen.

Risikobewertung

Bei der Ermittlung der relevanten Risiken ist nach dem Willen des Gesetzgebers ein weiter Maßstab anzulegen und es sind alle physischen, materiellen oder immateriellen Schäden für natürliche Personen einzubeziehen (siehe Erwägungsgrund 85, etwa in [10]). So können als mögliche Schäden auch alle erheblichen wirtschaftlichen oder gesellschaftlichen Nachteile für die betroffen Person gehören, wie etwa der Verlust der Kontrolle über personenbezogene Daten, Einschränkungen ihrer Rechte, Diskriminierungen, Identitätsdiebstahl oder -missbrauch, finanzielle Verluste, unbefugte Aufhebung einer Pseudonymisierung, Rufschädigungen oder der Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten. Welche Schäden relevant werden können, ist jeweils für den konkreten Verletzungsfall zu ermitteln.

Daran anschließend sind nach der etablierten Risikoformel die Eintrittswahrscheinlichkeit sowie die Schwere potenzieller Schäden zu bewerten, um diese einer der genannten Risikostufen zuordnen zu können. Diese Bewertung erfolgt in Bezug auf die Art, den Umfang, die Umstände und die Zwecke vom Verletzungsfall betroffener Verarbeitungen sowie die Umstände der Verletzung. Hierbei sind nach einem objektiven Maßstab besonders folgende Faktoren zu berücksichtigen:

• Art der Verletzung: Eine Verletzung der Vertraulichkeit wiegt beispielsweise regelmäßig schwerer als eine eingeschränkte Verfügbarkeit von Daten.
• Art, Sensitivität und Umfang der personenbezogenen Daten: Eine hohe Anzahl betroffener Datensätze oder die Betroffenheit besonderer Datenkategorien (z. B. Gesundheitsdaten) kann ein hohes Risiko bedingen.
• Möglichkeiten zur Identifi zierung der Betroffenen: Eine dem Stand der Technik entsprechende, nicht kompromittierte Verschlüsselung oder ein bloßer Zugriff auf pseudonymisierte Daten bedeuten häufi g nur ein geringfügiges Risiko für die Betroffenen.
• Tragweite der Folgen für die Betroffenen: Für ein hohes Risiko können beispielsweise ein zu erwartender Missbrauch der Daten im Rahmen von Straftaten oder zu erwartende Reputationsschäden sprechen.
• Schutzbedürftigkeit der Betroffenen: Risiken sind zum Beispiel gesteigert, wenn die Daten Kinder betreffen.
• Art der Tätigkeit des Verantwortlichen: Ein höheres Risiko kann etwa bestehen, wenn durch den Verletzungsfall die Tätigkeit des Verantwortlichen im Finanzoder Gesundheitsbereich betroffen ist.
• Zahl der Betroffenen: Je größer die Zahl der Betroffenen, desto schwerer wiegt das mit der Verletzung verbundene Risiko.

Als Orientierung zu dem von den Aufsichtsbehörden angelegten Maßstab können die von diesen zusammengestellten Beispielsfälle dienen (siehe Annex B in [17]). Einen Überblick über die Möglichkeiten zur Zuordnung der Risiken zu einer Risikostufe gibt zudem die von den deutschen Aufsichtsbehörden veröffentlichte Risikomatrix, die für Eintrittswahrscheinlichkeit und Schwere der Risiken jeweils zwischen den Kategorien „geringfügig“, „überschaubar“, „substanziell“ und „groß“ unterscheidet (abgebildet im DSK-Kurzpapier Nr. 18 [15], s. a. [16]).

Die Entscheidung für eine bestimmte Risikostufe – und damit die Entscheidung für oder gegen eine Meldung und/oder Benachrichtigung der Betroffenen – wird häufig nicht einfach zu treffen sein. Die Aufsichtsbehörden empfehlen daher, in Zweifelsfällen eine Meldung zu erstatten [17]. Tatsächlich kann in einigen Grenzfällen die Möglichkeit einer Vorabmeldung erwägt werden, um die Einschätzung der Aufsichtsbehörde zu erlangen.

Fristen und Inhalte

Die Meldung an die Aufsichtsbehörde muss unverzüglich, das heißt „ohne schuldhaftes Zögern“ und möglichst binnen 72 Stunden erfolgen. Für den Beginn der Frist ist wesentlich, dass dem Verantwortlichen mit hinreichender Sicherheit eine Verletzung des Schutzes gerade personenbezogener Daten bekannt geworden ist – in Auftragsverarbeitungsszenarien (ADV) ist dies erst nach entsprechender Information durch den Auftragsverarbeiter der Fall. Für Fälle, in denen es dem Verantwortlichen nicht möglich ist, alle Informationen innerhalb der 72-Stunden-Frist zusammenzutragen, gestattet Art. 33 Abs. 4 DSGVO eine schrittweise Mitteilung der Informationen. Gründe für die Nichteinhaltung der 72-Stunden-Frist sind zu dokumentieren (Art. 33 Abs. 1. S. 2 DSGVO).

Eine Meldung muss mindestens die in Art. 33 Abs. 3 DSGVO aufgelisteten Informationen enthalten (siehe Tabelle). Dem Verantwortlichen steht es frei, weitere Angaben zu tätigen, beispielsweise dazu, dass die Verletzung bei einem Auftragsverarbeiter eingetreten ist. Sind die Angaben nicht ausreichend, kann die Aufsichtsbehörde die Übermittlung weiterer Informationen fordern oder durch Verwaltungsakt anordnen. Verantwortliche, die bereits den Meldepflichten nach Telekommunikationsgesetz (§ 109 a TKG) und der EU-Verordnung VO 611/2013 (Datenschutzrichtlinie für elektronische Kommunikation) unterliegen, können hierzu bereits implementierte Prozesse bei der Meldung nach Art. 33 DSGVO nutzen.

Da keine bestimmten Anforderungen an die Form der Meldung bestehen, sind theoretisch zum Beispiel auch telefonische Meldungen denkbar. Die einfachste und sicherste Möglichkeit dürfte jedoch die Nutzung der von den Aufsichtsbehörden zur Verfügung gestellten Onlineformulare darstellen (siehe etwa [18]). Falls eine gutgläubig vorgenommene Meldung sich nachträglich als Falschmeldung entpuppen sollte, kann der Verantwortliche dies der Aufsichtsbehörde ohne Sanktionsrisiko nachträglich mitteilen.

Dokumentation und Sanktionen

Unabhängig von dem Bestehen einer Meldepflicht verlangt Art. 33 Abs. 5 DSGVO in Ergänzung der allgemeinen Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO vom Verantwortlichen die Dokumentation aller im Zusammenhang mit einer Verletzung des Schutzes personenbezogener Daten stehenden Fakten, einschließlich der Auswirkungen der Verletzung und der ergriffenen Abhilfemaßnahmen. Den Aufsichtsbehörden soll auf diese Weise für den Fall einer Meldung eine Grundlage für mögliche aufsichtsrechtliche Maßnahmen gegeben werden – einschließlich der Beratung des Verantwortlichen.

Zudem können Behörden diese Dokumentation heranziehen, um im Falle einer unterlassenen Meldung die Entscheidung des Verantwortlichen gegen eine Meldung zu kontrollieren. Entsprechend dieser gesetzgeberischen Zielsetzung, aber auch mit Blick auf die Abwehr möglicher späterer Ansprüche der Betroffenen gemäß Art. 82 DSGVO ist der Empfehlung zu folgen, zusätzlich das Ergebnis der Risikoprognose und die Gründe für oder gegen die Entscheidung zur Meldung zu dokumentieren. Im besten Fall kann dies im Rahmen eines Verzeichnisses der Verletzungen nach Vorbild des § 109a Abs. 3 TKG erfolgen. Verstöße gegen die Meldepflicht sind bußgeldbewehrt (Art. 83 Abs. 4 lit. a DSGVO). Ebenso können Verstöße gegen Anordnungen der Aufsichtsbehörde, etwa gegen die Anordnung zur Benachrichtigung der Betroffenen, Gegenstand weiterer Sanktionen sein (Art. 83 Abs. 6 DSGVO).

Konsolidierte Umsetzung

Die aus der DSGVO und dem BSIG resultierenden Meldepflichten sind immer dann nebeneinander zu berücksichtigen, wenn ein meldepflichtiger Sicherheitsvorfall nach § 8b und/oder § 8c BSIG auch personenbezogene Daten betrifft. In einem solchen Fall bietet es sich an, die entsprechende Prüfung des Vorliegens einer Meldepflicht vorzunehmen und die Vornahme der Meldungen in aufeinander abgestimmten Abläufen vorzubereiten. Eine transparente, konsolidierte Herangehensweise dient dabei nicht nur dem effektiven Notfall- und Krisenmanagement, sondern hilft auch, schnell und professionell gegenüber den Behörden aufzutreten und mögliche behördliche Maßnahmen und Sanktionen zu vermeiden. Idealerweise sind entsprechend aufeinander abgestimmte Prozesse ein integraler Bestandteil des eigenen Incident-Managements.

Die Herausforderung besteht vor allem darin, die unterschiedlichen Blickwinkel und gesetzlichen Zielsetzungen der IT-sicherheitsrechtlichen und der datenschutzrechtlichen Meldepflichten in Einklang zu bringen: Während das ITSiG vor allem auf die Risiken für die Allgemeinheit abstellt, geht es im Datenschutz um die jeweils mit ihren Daten betroffenen Personen. Neu dürfte im Zuge dessen vor allem die Umsetzung der datenschutzrechtlich gebotenen Prognose des Risikos der Verletzung für die Betroffenen sein, die maßgeblich über das Vorliegen einer Meldepflicht bestimmt.

Bei einem Vergleich der Anforderungen fällt auf, dass die datenschutzrechtlich vorgesehenen Meldepflichten insgesamt strengeren Anforderungen unterliegen. Dies betrifft nicht nur die zeitlichen Vorgaben der Meldefrist, sondern auch den gesetzlich vorgegeben Inhalt der Meldung und die Dokumentation des Verletzungsfalls.

Die Möglichkeiten einer konsolidierten Umsetzung beschränken sich daher weitgehend auf die Berücksichtigung der unterschiedlichen Anforderungen in einem gemeinsamen Prozess. Die wichtigsten zu beachtenden Unterschiede und Gemeinsamkeiten fasst Tabelle 1 zusammen.

Rechtsanwalt Dr. Henrik Hanßen ist Senior Associate bei Hogan Lovells in Hamburg. Dr. Aleksandra Sowa ist zertifizierte Datenschutzbeauftragte, Datenschutzauditorin und IT-Compliance-Manager sowie Sprecherin des AK „Sicher in die Digitalisierung mit geprüfter Software“ der GI e.V

Literatur

1] Dr. Henrik Hanßen, Umsetzung der NIS-Richtlinie: neue Pflichten für Anbieter digitaler Dienste, Blogbeitrag, Januar 2017, http://hoganlovells-blog.de/2017/01/27/umsetzung-der-nis-richtlinie-neue-pflichten-fuer-anbieter-digitaler-dienste

[2] Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, Juli 2016, http://data.europa.eu/eli/dir/2016/114

[3] Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, Bundesgesetzblatt 2017 Teil I Nr. 40, Juni 2017, S. 1885, www.bgbl.de/xaver/bgbl/start.xav?jumpTo=bgbl117s1885.pdf

[4] Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, Bundesgesetzblatt 2015 Teil I Nr. 31, Juli 2015, S. 1324, www.bgbl.de/xaver/bgbl/start.xav?jumpTo=bgbl115s1324.pdf [5] Bundesamt für Sicherheit in der Informationstechnik (BSI), Das IT-Sicherheitsgesetz. Kritische Infrastrukturen schützen, Informationsbroschüre,Februar2016, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/IT-Sicherheitsgesetz.pdf?__blob=publicationFile

[6] Bundesministerium der Justiz und für Verbraucherschutz, Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), www.gesetze-im-internet. de/bsig_2009/

[7] Bundesministerium der Justiz und für Verbraucherschutz, Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV), www.gesetze-im-internet.de/bsi-kritisv/

[8] Bundesamt für Sicherheit in der Informationstechnik (BSI), Fragen und Antworten für Betreiber Kritischer Infrastrukturen zur Meldepfl icht nach dem IT-Sicherheitsgesetz (FAQ), www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/FAQ/FAQ_zur_Meldepflicht/faq_meldepflicht_node.html

[9] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/ EG (Datenschutz-Grundverordnung), April 2016, http://data.europa.eu/eli/reg/2016/679/oj

[10] Intersoft Consulting, Datenschutz-Grundverordnung – DSGVO, Aufbereitung mit Erwägungsgründen und Bezügen zum BDSG, https://dsgvo-gesetz.de/

[11] Dr. Niels Lepperhoff, Thomas Müthlein, DatenschutzGrundverordnung: Neue Vorschriften – auch für die Security!, 2016#2, S. 54 [12] Dr. Silke Jandt, Kommentierung zu Art. 33 DSGVO, in: Kühling, Buchner, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz – DS-GVO/BDSG, Kommentar, C. H. Beck, 2. Auflage 2018, ISBN 978-3-406-71932-5

[13] Kevin Marschall, Datenpannen – „neue“ Meldepflicht nach der europäischen DS-GVO?, Datenschutz und Datensicherheit – DuD Volume 39, Issue 3, März 2015, S. 183, https://doi.org/10.1007/s11623-015-0390-z

[14] Dr. Marcus Schreibauer, Jan Spittka, Kommentierung zu Art. 33 DSGVO, in: Tim Wybitul (Hrsg.), EU-Datenschutz-Grundverordnung, Deutscher Fachverlag, Mai 2017, ISBN 978-3-8005-1623-0

[15] Datenschutzkonferenz (DSK), Risiko für die Rechte und Freiheiten natürlicher Personen, Kurzpapier Nr.18,April2018, verfügbar u. a. via www.datenschutzzentrum.de/uploads/dsgvo/kurzpapiere/DSK_KPNr_18_Risiko.pdf

[16] Die Landesbeauftragte für den Datenschutz Niedersachsen, DS-GVO – Kurzpapiere der Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK), Downloadseite, www.lfd.niedersachsen.de/startseite/dsgvo/anwendung_dsgvo_kurzpapiere/

[17] Article 29 Data Protection Working Party, Guidelines on Personal data breach notifi cation under Regulation2016/679, WorkingPaperWP250rev. 01,Februar2018, http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49827

[18] Dr. Henrik Hanßen, Übersicht der Meldeformulare nach Art. 33 DSGVO, Blogbeitrag, Juli 2018, erreichbar via http://kes.info/meldeformulare-datenschutzverletzung