Anzeigepflicht bei Datenverlust
Bis zu 300.000 Euro Geldbuße
Reagieren und Beweise sichern
Die Regelung greift ihrem Wortlaut nach nicht nur dann ein, wenn die Datenpanne aufgrund eigenen Verschuldens herbeigeführt worden ist, sondern auch bei unverschuldeten Hackerangriffen.
Die Anzeigepflicht besteht sowohl gegenüber der zuständigen Datenschutzbehörde, als auch andererseits gegenüber den betroffenen Personen.
Die Benachrichtigung muss Informationen über die Art der unrechtmäßigen Kenntniserlangung sowie Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen beinhalten. Der Aufsichtsbehörde muss zudem gemeldet werden, welche Maßnahmen ergriffen wurden.
Beachtet ein Unternehmen die Informationspflicht nicht, kann ein Bußgeld in Höhe von bis zu 300.000 Euro verhängt werden. Die genaue Höhe liegt im Ermessen der Behörde. Feil rät CIOs, dies nicht zu unterschätzen: "Sofern die Unternehmensleitung die Verantwortung für die Datensicherheit oder den Umgang mit personenbezogenen Daten auf den CIO delegiert, ist dieser auch persönlich verantwortlich." Aus diesem Grund empfiehlt er CIOs, Mitarbeiter anzuweisen, Unregelmäßigkeiten im Umgang mit personenbezogenen Daten sofort zu melden.
Fällt eine Unregelmäßigkeit bei personenbezogenen Daten auf, hält Feil es für zulässig, zunächst die Sicherheitslücke zu schließen und Beweise für die Strafverfolgung zu sichern. "Im Zweifel sollte lieber binnen Stunden und nicht binnen Tagen reagiert werden", sagt er. Jegliches Warten müsse gegebenenfalls gerechtfertigt werden können.
Thomas Feil ist Fachanwalt für Informationstechnologierecht und Arbeitsrecht in Hannover. Mehr unter www.recht-freundlich.de.