Meldepflichten: Welche Tools helfen bei der Umsetzung?

Unternehmen nennen in Umfragen zur Datenschutz-Grundverordnung (DSGVO / GDPR) oft die Meldepflichten bei einer Datenschutz-Verletzung als eine der Hauptschwierigkeiten.

Die Meldepflicht findet sich in Artikel 33 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde) und Artikel 34 DSGVO (Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person).

Besonders die Frist von 72 Stunden sitzt Unternehmen im Nacken. Dabei liegen die Probleme nicht nur dort, betrachtet man die Lage genauer.

Datenschutz-Verletzung: Die große Unbekannte

Als erstes müssen sich Unternehmen klar machen, was alles als Verletzung des Datenschutzes bzw. Datenpanne zu werten ist. So fallen nicht nur erfolgreiche Hackerangriffe und andere IT-Sicherheitsvorfälle, die Schlagzeilen machen, darunter.

Grundsätzlich verletzen Unternehmen den Datenschutz, wenn sie gegen die Vorgaben der DSGVO verstoßen. Ob dieser Verstoß eine Meldepflicht nach sich zieht, müssen Unternehmen jeweils prüfen.

Geklärt sein muss unter anderem

• ob überhaupt personenbezogene Daten betroffen sind,
• wenn ja, um welche Datenkategorien es sich handelt und
• welche Konsequenzen die Verletzung des Datenschutzes für die Betroffenen haben kann.

Führt die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen, ist keine Meldung an die Aufsichtsbehörde vorgesehen.

Hier ist allerdings eine sehr genaue und dokumentierte Analyse der Risiken für die Betroffenen nötig. Eine leichtfertige Entscheidung, nichts zu melden, reicht nicht.

Workflow zu Meldepflichten einrichten

Die Aufsichtsbehörden führen als generelle Schritte zur Umsetzung der Meldepflichten auf:

• Reaktions-Mechanismen auf Datenpannen aufbauen und einführen
• Meldepflichten organisieren

Es geht also unter anderem darum, Workflows und Zuständigkeiten zu etablieren. Wie eine Meldung an eine Aufsichtsbehörde gegenwärtig aussehen kann, zeigt zum Beispiel das Bayerische Landesamt für Datenschutzaufsicht.

Es gibt aber noch eine weitere Unterstützung, um die Meldepflichten umzusetzen. Sie ergänzt die organisatorischen Maßnahmen technisch.

Tools, die Datenpannen erkennen

Um eine Datenschutz-Verletzung oder Datenpanne zu erkennen, ist weitaus mehr erforderlich, als Cyber-Angriffe aufzuspüren.

Trotzdem ist es sinnvoll, auch in diesem Bereich deutlich mehr zu tun als bisher. Zumal die Folgen von Cyber-Attacken sowohl für die betroffenen Personen, deren Daten Angreifer ausspähen, als auch für die angegriffenen Unternehmen weitreichend sind:

• Kommt es zu einem IT-Sicherheitsvorfall, ist eine schnelle Reaktion entscheidend, um den Schaden zu begrenzen. Kaspersky Lab zeigt in einer aktuellen Studie, dass die Folgen eines Vorfalls, den Firmen erst nach einer Woche entdecken, Großunternehmen durchschnittlich 1,2 Millionen US-Dollar kosten. Identifizieren sie den Security-Vorfall sofort, reduzieren sich die Kosten um mehr als die Hälfte auf 456.000 US-Dollar.
• 56 Prozent aller Unternehmen wünschen sich bei gezielten Angriffen mehr Unterstützung. Derzeit decken Verantwortliche die schwersten Vorfälle in nur 25 Prozent innerhalb eines Tages auf.

Lösungen, die Attacken erkennen und abwehren oder zumindest bereits erfolgte Angriffe aufdecken, helfen deshalb, die Meldepflichten umzusetzen und die Frist von 72 Stunden einzuhalten.

Teilweise geben solche Tools automatisch Hinweise auf die betroffenen Datenkategorien und schlagen eine Bewertung für das damit verbundene Risiko vor. Sie leisten also mehr, als nur im Ernstfall zu alarmieren.

Beispiel-Tools

Beispiele für Lösungen, die technisch helfen, bestimmte Datenschutz-Verstöße zu erkennen, und so bei der Meldepflicht unterstützen, sind unter anderem:

• IBM Virtual SOC Portal
• InfoGuard CDC As a Service
• SecureDetect
• RadarServices
• Telekom Cyber Defense as a Service (CDaaS)

Hinweis: Wir beobachten weiterhin den Markt und erweitern den Beitrag, wenn wir spannende und passende Tools finden.