Informationspflichten bei IT-Vorfällen
Wie Incident Report Tools helfen
Meldepflichten: Wer was wann warum melden muss
Rechtliche | Betroffene Organisation | Meldepflicht |
zunächst nur die Betreiber von Kernkraftwerken andere | Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, über die Kontaktstelle unverzüglich an das BSI zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik und zur Branche des Betreibers enthalten. | |
Unternehmen, | Werden dem Diensteanbieter Störungen bekannt, die von Datenverarbeitungssystemen der Nutzer ausgehen, so hat er die Nutzer, soweit ihm diese bereits bekannt sind, unverzüglich darüber zu benachrichtigen. | |
Öffentliche und | Benachrichtigung des Betroffenen:
Benachrichtigung der zuständigen Datenschutz-Aufsichtsbehörde:
Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle:
| |
Betreiber | Der Betreiber benachrichtigt die zuständige nationale Behörde von der Verletzung des Schutzes personenbezogener Daten binnen 24 Stunden nach Feststellung der Verletzung, soweit dies möglich ist. | |
Diensteanbieter | Wenn bei dem Diensteanbieter gespeicherte Bestands- oder Nutzungsdaten unrechtmäßig übermittelt worden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers drohen, gelten Vorgaben aus Bundesdatenschutzgesetz (§ 42a BDSG) | |
Unternehmen, | Im Fall einer Verletzung des Schutzes personenbezogener Daten sind unverzüglich die Bundesnetzagentur und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit von der Verletzung zu benachrichtigen. In Fällen, in denen in dem Sicherheitskonzept nachgewiesen wurde, dass die von der Verletzung betroffenen personenbezogenen Daten durch geeignete technische Vorkehrungen gesichert, insbesondere unter Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens gespeichert wurden, ist eine Benachrichtigung nicht erforderlich, es sei denn, es besteht eine spezielle Verpflichtung seitens der Bundesnetzagentur. | |
BaFin: | Alle | Kritische IT-Sicherheitsvorfälle sind an die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie gegebenenfalls an die Strafverfolgungsbehörden und die zuständigen Datenschutzbeauftragten zu melden. Als kritisch ist ein IT-Sicherheitsvorfall dann zu betrachten, wenn die Verfügbarkeit, Integrität, Vertraulichkeit oder Authentizität von IT-Systemen, Anwendungen oder Daten mit einem hohen oder sehr hohen Schutzbedarf verletzt oder beeinträchtigt wird. |
Kassen- | Mitglieder der Kassenärztlichen Vereinigungen, | Security Incidents mit Einfluss auf andere Verantwortungsbereiche und Organisationen müssen an die KBV und die betreffenden Organisationen gemeldet werden. Falls durch eine Organisation Security Incidents bemerkt werden, die nicht im eigenen Verantwortungsbereich liegen, so müssen diese an die KBV und die verantwortliche Organisation gemeldet werde. |
Individual- | Auftrags- | Laut Vertrag mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen (wie Service Level Agreements, SLAs) |