Cyberangriffe sind an der Tagesordnung. Regelmäßig wird von Attacken auf Unternehmen, Institutionen und Behörden berichtet, die zeigen, dass nur eine Frage des „wann?“ und nicht des „ob“ ist, dass man selbst betroffen ist. Angesichts dieser steigenden Bedrohung ist ein Blick auf die rechtlichen Verpflichtungen erforderlich. Frage: Was ist eigentlich zu tun, wenn die Cyberattacke erfolgt ist? Artikel 33 der Datenschutz-Grundverordnung bestimmt eindeutig eine Meldepflicht. Die zuständige Aufsichtsbehörde muss innerhalb einer Frist von 72 Stunden informiert werden. Aber wer ist nun in der Pflicht diese Meldung vorzunehmen, wenn der Auftraggeber sich eines Auftragnehmers bei der Verarbeitung von persönlichen Daten bedient? „Unternehmen sollten sich lange vor einem Cyberangriff klar machen, wem die Meldepflicht zufällt. Dadurch kann ein hohes Maß an Professionalität und Effektivität ausgestrahlt werden, wenn bewusst ist, wer was zu tun hat“, erklärt der erfahrene Datenschutzexperte Dr. Jörn Voßbein.
Was sagt die gesetzliche Grundlage aus?
Gemäß Artikel 33 DSGVO liegt die Meldepflicht im Falle einer Datenpanne beim Verantwortlichen. Selbst bei Vorfällen, die bei einem Dienstleister auftreten, ist es unerlässlich, dass auch der oder die Auftraggeber die Notwendigkeit zu einer separaten Meldung prüfen und diese gegebenenfalls abgeben.
Was bedeutet dies?
Demnach genügt es also nicht, wenn lediglich der Dienstleister eine Meldung absetzt. Juristisch wäre es denkbar, dass der Dienstleister mit entsprechender Vollmacht die Meldungen der Auftraggeber abgibt. Hier stehen sich Theorie und Praxis gegenüber. Tatsächlich ist eine Vollmacht des Auftraggebers an den Dienstleister, die ihm erlaubt, in Fällen von Cyberattacken für ihn zu handeln, unwahrscheinlich und unrealistisch. Denn eine Sammelmeldung wäre nur unter bestimmten Voraussetzungen möglich: Darunter fallen neben der Vollmacht beispielsweise die Zuständigkeit der Aufsichtsbehörde, eine inhaltliche Beschreibung des Vorfalls, sowie eine einheitliche Risikobeurteilung und Umsetzung von Maßnahmen durch sämtliche Auftraggeber.
Was ist im Fall der Fälle zu tun?
Realistischer erscheint es, wenn der Dienstleister den Auftraggebern bestimmte Muster-Formulierungen zur Verfügung stellt. Allerdings ist jeder Verantwortliche aufgefordert, eine individuelle Risikobewertung für seine eigenen Daten und Betroffenen vorzunehmen. Übrigens: Bei Verletzungen der Meldepflicht drohen empfindliche Bußgelder. Entsprechende Verstöße sind jetzt mit bis zu 20 Millionen Euro Bußgeld, beziehungsweise mit vier Prozent des gesamten weltweit erwirtschafteten Jahresumsatzes im vorangegangenen Geschäftsjahr sanktionierbar.
Fazit
„Wir appellieren daher an alle Verantwortlichen, sowohl Dienstleister als auch Auftraggeber, die rechtlichen Anforderungen ernst zu nehmen, um im Falle einer Datenpanne entsprechend handlungsfähig zu sein. Hierbei sollte unbedingt auch der betriebliche Datenschutzbeauftragte und der Informationssicherheitsbeauftragte eingeschaltet werden“, so UIMC-Geschäftsführer Dr. Jörn Voßbein.
