Im Schadensfall können, sofern personenbezogene Daten betroffen sind, Meldepflichten nach BSIG und nach DSGVO wirksam werden.
Wichtig: Die Meldung eines Schadensfalles im Portal des BSI reicht in diesem Fall nicht aus und ersetzt nicht die Meldung bei der zuständigen Aufsichtsbehörde im Datenschutz
In diesem Artikel klären wir die wichtigsten Gemeinsamkeiten und Unterschiede und erläutern die notwendigen Schritte. Datenschutz und Datensicherheit sind nicht gleich, wenngleich auch viele Überschneidungen in beiden Ansätzen zutreffen. Der Fokus des Datenschutzes liegt in der Perspektive auf die betroffene Person und die Achtung der persönlichen Grundrechte, Datensicherheit bezieht sich auf den Gesamtverbund der Informationsverarbeitung, unabhängig von der Art der verarbeiteten Daten.
Meldepflichten nach § 32 BSIG
Gemäß § 32 BSIG ist ein erheblicher Schadensvorfall, eine Störung mindestens eines der Gewährleistungsziele der Vertraulichkeit, Verfügbarkeit und Integrität, innerhalb von 24 Stunden nach Kenntniserlangung über das BSI-Portal zu melden. Nach spätestens 72 Stunden ist die Erstmeldung zu bestätigen, bzw. zu konkretisieren und eine Bewertung des Schweregrads samt Beschreibung der Auswirkungen abzugeben. Nach spätestens einem Monat ist die Meldung in einem Abschlussbericht zu ergänzen. Dauert der Vorfall an, muss ein Zwischenbericht erstellt werden.
Ein erheblicher Sicherheitsvorfall ist ein Vorfall der entweder zu einer schwerwiegenden Betriebsstörung, zu einem erheblichen Verlust oder zu einem nennenswerten materiellen oder immateriellen Schaden für natürliche oder juristische Personen führen kann.
Eine gute Dokumentation in einem Informations-Sicherheits-Management-System (ISMS) erleichtert den Überblick über notwendige Inhalte der Meldungen und sollte bei der Schadensminderung eine Hilfe sein.
Meldepflichten nach Art. 33 bzw. Art. 34 DSGVO
Sobald personenbezogene Daten im weitesten Sinne vom Schadensvorfall betroffen sind, muss die Organisation den Vorfall mindestens nach Art. 33 der zuständigen Datenschutz-Aufsichtsbehörde melden, in Fällen, in denen der Schadensfall ein hohes Risiko für die betroffene Person bedeutet, ist diese ebenfalls zu informieren. Die Meldung bei der zuständigen Behörde hat innerhalb von 72 Stunden zu erfolgen. Wichtig zu wissen: Die Meldung über das BSI-Portal ersetzt nicht die Meldung nach Artt. 33 bzw. 34.
Der wichtigste Unterschied
liegt im Fokus. Es kann vorkommen, dass ein Schadensvorfall ausschließlich Elemente eines Informationsverbundes betrifft, ohne dass personenbezogene Daten betroffen sind. In diesem Fall reicht die Meldung über das BSI-Portal aus. Umgekehrt gilt aber, wenn eine Meldung nach Artt. 33 und ggf. 34 geboten ist, liegt immer eine Meldepflicht auch nach BSIG vor, hier lässt § 32 BSIG keinen Spielraum.
Unterlassene Meldungen
können ggf. zu Anordnungen und Bußgeldern führen. In der Summe können Bußgelder nach BSIG und nach DSGVO zu erheblichen Kosten für die Organisation führen. Im eigenen Interesse sollten Unternehmen rechtzeitig geeignete Maßnahmen zur Stärkung ihrer organisationalen Resilienz einführen.
Sie benötigen Hilfe bei der Umsetzung der Rechtspflichten nach NIS2/BSIG?
Wir beraten und betreuen eine Reihe mittelständischer Unternehmen und Organisationen in den Bereichen Datenschutz und Datensicherheit. Gern evaluieren wir in einem kostenfreien Erstgespräch den Bedarf in Ihrer Organisation. Sie erreichen uns unter info@prisecon.de oder unter den unten angegebenen Geschäftsdaten.