Unternehmen müssen einen Datenverlust künftig der Behörde melden, auch die Betroffenen müssen oft verständigt werden. Wichtig sind auch klare unternehmensinterne Regeln, wie bei solchen Vorfällen vorzugehen ist.
Ein Datenleck in einem Unternehmen bleibt selten lange geheim – und nach der neuen Rechtslage darf man es künftig meist gar nicht mehr für sich behalten: „Der Verlust persönlicher Daten im Unternehmen muss ohne Verzögerung, aber spätestens binnen 72 Stunden der Behörde gemeldet werden“, sagt Rechtsanwältin Barbara Kuchar (Kanzlei KWR).
Das gelte nur dann nicht, wenn die Verletzung des Datenschutzes „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Risk-Of-Harm-Test)“. Geht es nur um Firmentelefonnummern von Mitarbeitern, die auch auf der Firmenhomepage stehen, wird man sich die Meldung wohl sparen können – aber schon bei Privatadressen kann es manchmal heikel sein. „Im Zweifel wird man eher von einem Risiko ausgehen müssen“, sagt Kuchar.
In vielen Fällen muss der für die Daten Verantwortliche zusätzlich auch die betroffenen Personen unverzüglich verständigen. Nämlich dann, wenn voraussichtlich ein hohes Risiko für die Rechte dieser Personen besteht, keine geeigneten Sicherheitsvorkehrungen (etwa Verschlüsselung) getroffen wurden und auch nachträglich keine Maßnahmen gesetzt wurden, die sicherstellen, dass dieses hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht. Zwar darf die Benachrichtigung unterbleiben, wenn sie mit unverhältnismäßigem Aufwand verbunden wäre. „Dann muss aber eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden“, erklärt Kuchar. Wer im Auftrag eines Dritten Daten verarbeitet, ist künftig ebenso verpflichtet, dem Verantwortlichen – also dem Auftraggeber – einen Datenverlust unverzüglich zu melden.
„Die Nichteinhaltung dieser Bestimmungen kann empfindliche Strafen nach sich ziehen“, warnt die Juristin. Konkret drohen Geldbußen bis zu zehn Millionen Euro oder zwei Prozent des globalen Umsatzes.
Kein einheitlicher Standard
Was ist nun konkret zu tun, bevor die neue Rechtslage in Kraft tritt? „Unternehmen müssen klare Pläne und Prozesse einführen, wie mit Datenvorfällen umzugehen ist“, rät Kuchar. Einen einheitlichen Standard gebe es dafür nicht, „die Prozesse sind auf das Unternehmen, die verarbeiteten Daten und die verfügbaren Ressourcen bestmöglich abzustimmen“.
Der erste Schritt ist eine grundsätzliche Evaluierung der Datensicherheit. Oder, anders gesagt: Man muss Ordnung in seine Datenbestände bringen. Darüber hinaus braucht es klare interne Richtlinien, wie mit Datenvorfällen umzugehen ist, aber auch Mechanismen, um solche Vorfälle überhaupt zu identifizieren. Sinnvoll sei es etwa auch, eine Hotline dafür einzurichten, sagt die Juristin. „Und es sollten alle Mitarbeiter geschult werden.“
Auch die Zuständigkeiten müssen klar geregelt werden. Idealerweise wird ein „Incident Response Team“ gebildet, das im Fall des Falles aktiv wird. Innerhalb dieses Teams sollte es einen Gesamtverantwortlichen sowie Experten aus allen relevanten Bereichen geben: IT, Security, Forensik und Recht, aber auch Marketing und Kommunikation. Dieses Team braucht ein besonderes Training, es sollte die Abläufe testen und trainieren.
Polizzen überprüfen
Das ist aber noch nicht alles: Sinnvoll sei es etwa auch, Versicherungspolizzen im Hinblick auf Cyber-Deckung zu überprüfen und bei Bedarf aufzustocken, rät Kuchars Kanzleikollegin Anna Mertinz. „Ebenso sollte man Kunden- und Lieferantenverträge im Hinblick auf Verpflichtungen bei Datenvorfällen evaluieren.“ Nötigenfalls müssen ergänzende Regelungen getroffen oder, wenn das nicht möglich ist, Verträge sogar aufgekündigt werden.
Kommt es tatsächlich zu einem Datenvorfall, ist eine entschlossene Abwicklung wichtig, am besten Phase für Phase und strikt nach Plan – von der Identifikation des Problems bis zur Nachbearbeitung. Und wenn der Vorfall die Kapazitäten des internen Teams übersteigt? „Dann muss man sofort externe Hilfe in Anspruch nehmen“, sagt Mertinz – ideal sei es, wenn entsprechende Rahmenverträge mit Dienstleistern bereits vorhanden seien.
Und noch etwas ist extrem wichtig: die Kommunikation. Reputationsschäden entstehen oft nicht durch das Datenleck selbst, sondern durch die Art, wie es kommuniziert werde, warnt Kuchar. „Nichts ist schädlicher, als wenn eine externe Kommunikation revidiert werden muss – zum Beispiel, weil mehr Daten verloren wurden als zunächst angenommen.“ Sobald der Vorfall öffentlich bekannt ist, sei eine transparente Informationspolitik auch oft das beste Mittel, um verlorenes Vertrauen wieder herzustellen.