Eine der wichtigsten Neuerungen in der EU-Datenschutzgrundverordnung und gleichzeitig eine von den Richtlinien, die äußerst kontrovers diskutiert wurden, ist die Benachrichtigungsfrist innerhalb von 72 Stunden nachdem ein Datenschutzvorfall bekannt geworden ist. Die Forderung richtet sich an Unternehmen und betrifft Datenschutzverstöße bei denen persönliche Daten von Verbrauchern betroffen sind.
Zunächst ist es wichtig zu unterscheiden, dass es im Hinblick auf den Geltungsbereich der Datenschutzgrundverordnung zwei unterschiedliche Grenzwerte zu beachten gilt: Eine Frist, innerhalb der potenziell betroffene Verbraucher benachrichtigt werden müssen und eine, die sich auf die Benachrichtigung der jeweiligen Data Protection Authority (DPA) bezieht.
Wenn bei einem Datenschutzvorfall persönliche, private Daten von Verbrauchern wahrscheinlich involviert sind, müssen die Betroffenen davon in Kenntnis gesetzt werden. Dass persönliche Daten von Verbrauchern „wahrscheinlich betroffen“ sind, ist daher ein ziemlich weit gesteckter Rahmen.
Spricht man mit Juristen, die sich insbesondere mit dem Thema Compliance befassen, gehören zu diesen persönlichen Daten all die Informationen anhand derer sich eine Person identifizieren lässt. Das sind beispielsweise E-Mail-Adressen, sämtliche IDs von Onlinekonten, aber auch IP-Adressen. Sie alle fallen unter die „wahrscheinlich betroffen“-Regelung.
Und die Verordnung greift an dieser Stelle sogar noch weiter. Sollten sich nämlich unter den von einem Datenschutzvorfall betroffenen persönlichen Daten auch solche befinden, die sich zu Geld machen lassen, wie Kontonummern und andere Identifizierungsmerkmale aus dem finanziellen Bereich, dann geht man davon aus, dass der Vorfall dieses Individuum „wahrscheinlich schädigt“. Sollte das der Fall sein, müssen beide benachrichtigt werden, die betroffenen Verbraucher und die DPA des jeweiligen Landes.
Müssen wie im obigen Fall sowohl Verbraucher als auch die zuständige Data Protection Authority benachrichtigt werden muss die Meldung zusätzlich nähere Informationen zu dem betreffenden Datenschutzvorfall enthalten. Dazu gehört eine genaue Beschreibung um welche Art von Datenschutzverstoß es sich handelt, eine Auflistung welcher Typ von Daten betroffen ist, die Zahl der Betroffenen und die Zahl der betroffenen Datensätze.
Das jeweilige Unternehmen oder der, wie es im EU-Sprech heißt, „Datenverantwortliche“, ist gehalten nicht nur den Vorfall selbst, sondern auch alle potenziellen Folgen detailliert zu beschreiben, genauso wie die getroffenen Maßnahmen, um den Schaden zu begrenzen. Die DPA muss dabei innerhalb der 72-Stundenfrist benachrichtigt werden oder es muss eine „fundierte Begründung“ abgegeben werden, warum ein Unternehmen nicht in der Lage ist, das geforderte Zeitfenster einzuhalten.
Natürlich brauchen Sie die IT-Abteilung, wenn Sie genau wissen wollen, welcher Typ von Dateien und wie viele Datensätze tatsächlich betroffen sind. Wenn man allerdings den juristischen Einschätzungen Glauben schenkt, sollte das Team, das in einem Unternehmen in diesen Fällen zuständig ist, aus mehr bestehen als nur der IT-Abteilung.
Bereits die Minimalanforderungen lesen sich anspruchsvoll. Juristen und Compliance-Experten empfehlen, dass mindestens ein Chief Privacy Officer (CPO), ein juristischer Experte (wenn eine der Führungskräfte nicht selbst Jurist ist), Mitarbeiter aus den Bereichen Risikomanagement und Public Relations und aus dem Finanzwesen zu dieser „schnellen Eingreiftruppe“ gehören sollten.
Tatsache ist, dass die IT-Abteilung entscheidet ist, wenn es um den eigentlichen Fokus der Attacke, den Angriff selbst geht. Die anderen Beteiligten kommen ins Spiel wenn es um die Abschätzung der Folgen, die Kommunikation und die Schadensbegrenzung geht. Von einem Datenschutzvorfall sind wesentlich mehr Bereiche betroffen als die IT und die Implikationen sind weitreichend. Die Konsequenzen betreffen sowohl regulatorische als auch finanzielle und juristische Aspekte. Und um hier keinen Fehler zu machen, sollte man die entsprechenden Experten ins Boot holen.