pflicht. Uwe K. Schneider, Fachanwalt für
IT-Recht und Mitglied der Working Group
Recht von der Open Source Business Al-
liance (OSBA, [6]) gibt einen Überblick
des Ablaufs.
Die erste Maßnahme bei einem Einbruch
ist nicht das Melden. Schneider: „Sind
personenbezogene Daten von einem
Einbruch betroffen, ist ein Einbruch –
wenn er noch andauert – präventiv so
schnell wie möglich zu beenden. Gege-
benenfalls müssen dafür auch Systeme
vom Netz genommen werden, um das
Risiko einer noch größeren Offenlegung
personenbezogener Daten zu verhindern,
selbst wenn dies einen empfindlichen
Umsatzausfall mit sich bringen würde.“
In diesem Zusammenhang erinnert der
Experte daran, dass zu den personenbe-
zogen Daten bereits E-Mail-Adressen von
Kunden zählen.Melden oder nicht?
Zudem müsse der Verantwortliche eine
Verletzung des Schutzes personenbezo-
gener Daten unverzüglich und möglichst
binnen 72 Stunden, nachdem ihm die
Verletzung bekannt wurde, Meldung an
die zuständige Datenschutz-Aufsichtsbe-
hörde gemäß Artikel 33 Absatz 1 Da-
tenschutzgrundverordnung machen, er-
innert Schneider. Ausnahmen zu dieser
Meldepflicht gibt es auch,: „Die Melde-
pflicht gilt lediglich dann nicht, wenn die
Verletzung des Schutzes personenbezo-
gener Daten voraussichtlich nicht zu ei-
nem Risiko für die Rechte und Freiheiten
natürlicher Personen führt.“
Dieses Risiko auszuschließen sei kaum
möglich, wenn ein Abfluss personen-
bezogener Daten stattgefunden habe,
so der Anwalt. Eine Ausnahme von derGelingt es einem Angreifer, in die IT-Sys-
teme eines Unternehmens einzudringen
und Daten abzugreifen oder zu manipu-
lieren, ist das nicht allein ein Schaden
für das betroffene Unternehmen. Je nach
Art der vom Angriff betroffenen Daten
sieht der deutsche Gesetzgeber auch die
Rechte Dritter in Gefahr. Der Umgang mit
personenbezogenen Daten ist in Deutsch-
land über eine Reihe von Vorschriften,
etwa das Bundesdatenschutzgesetz und
die Landesdatenschutzgesetze und auch
die noch junge Europäische Datenschutz-
grundverordnung, geregelt.
Und die Geschäftsführungen von Unter-
nehmen sind zur angemessenen Sorgfalt
verpflichtet, dazu zählen auch Sicher-
heitsmaßnahmen. Das in Deutschland
geltende Gesetz zur Kontrolle und Trans-
parenz im Unternehmensbereich [1], das
Gesetz betreffend die Gesellschaften mit
beschränkter Haftung [2] oder das Akti-
engesetz [3] verpflichten die Geschäfts-führung zu Maßnahmen, die die Infor-
mationssicherheit gewährleisten sollen.Sicherheitsrelevant
Zum Kreis von Unternehmen, die zu ei-
ner Meldung von Angriffen auf die IT-
Systeme verpflichtet sind, zählen Betrei-
ber sicherheitsrelevanter Infrastrukturen.
Der Gesetzgeber rechnet dazu etwa Tele-
kommunikationsanbieter und Energiever-
sorger. Wer als Unternehmen in diesen
Bereich fällt, muss Mindeststandards bei
der IT-Sicherheit einhalten und Angriffe
an die Behörden, etwa die Bundesnetz-
agentur, melden. Die Meldepflichten sind
im IT-Sicherheitsgesetz [4] festgelegt.DSGVO
Mit der Europäischen Datenschutzgrund-
verordnung (DSGVO, [5]) rücken weitere
Unternehmen in eine mögliche Melde-Unternehmen, die einem Einbruch in ihre IT-Systeme zum Opfer gefallen sind, müssen anschließend einigen
Pflichten der deutschen Datenschutzgesetzgebung genügen. Ein Überblick zu den juristischen Vorgaben und
Tipps zur Aufarbeitung. Ulrich BantleMeldepflichten und Tipps nach dem Einbruch ins IT-System
Soko Admin
Forum80
http://www.linux-magazin.deRecht© kzenon, 123RF