Название: IT-Sicherheit für Dummies
Автор: Rainer W. Gerling
Издательство: John Wiley & Sons Limited
Жанр: Зарубежная компьютерная литература
isbn: 9783527833573
isbn:
Die Meldung muss nach dem BSI-Gesetz und dem TKG unverzüglich und im Fall von Datenschutzverstößen innerhalb von 72 Stunden erfolgen. Eine Nicht-Meldung ist bußgeldbewehrt. Wer einen Sicherheitsvorfall nach § 8a Abs. 4 BSI-Gesetz »vorsätzlich oder fahrlässig …nicht richtig, nicht vollständig oder nicht rechtzeitig« meldet, erhält ein Bußgeld bis zu fünfhunderttausend Euro. Wer einen Datenschutzvorfall nach Art 33 DS-GVO nicht meldet, muss mit »Geldbußen von bis zu zehn Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs« rechnen. Es gilt die jeweils höhere Grenze für die Festsetzung des Bußgelds. In Deutschland wird eine Öffnungsklausel der DS-GVO genutzt, sodass gegen Behörden und sonstige öffentliche Stellen kein Bußgeld verhängt wird (§ 43 Abs. 3 BDSG und vergleichbare Regelungen in den Landesdatenschutzgesetzen).
Sofern eine öffentliche Stelle unter den Anwendungsbereich der EU-Richtlinie 2016/680 (das sind für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung zuständige Behörden) fällt, ist eine entsprechende Meldepflicht in § 65 BDSG geregelt. § 65 BDSG gilt für die entsprechenden Landesbehörden der Rechtspflege, soweit in den Landesdatenschutzgesetzen nichts anderes geregelt ist.
Relativ neu ist die Meldepflicht nach § 168 TKG für ein Unternehmen, das ein »öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt«. Ein derartiges Unternehmen muss einen »Sicherheitsvorfall mit beträchtlichen Auswirkungen auf den Betrieb der Netze oder die Erbringung der Dienste« unverzüglich dem BSI sowie der Bundesnetzagentur (BNA) als für die Telekommunikation zuständige Aufsichtsbehörde mitteilen. In § 169 TKG ist eine Meldepflicht für die Erbringer öffentlich zugänglicher Telekommunikationsdienste im Fall der Verletzung des Schutzes personenbezogener Daten aufgenommen worden. Auch hier erfolgt die Meldung nicht nur an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), wie bereits nach der DS-GVO erforderlich, sondern zusätzlich auch wieder an die Bundesnetzagentur.
Im TKG wird sowohl für Sicherheitsvorfälle als auch für Datenschutzvorfälle der Inhalt der Meldepflicht detailliert festgelegt.
Tabelle 3.1 zeigt eine Übersicht über den Inhalt der Meldepflichten im BSI-Gesetz, im TKG und in der DS-GVO. Zwei der Vorgaben beziehen sich auf IT-Sicherheitsvorfälle (§ 8b Abs. 4 BSI-Gesetz und § 168 Abs. 1 f. TKG) und zwei auf Datenschutzvorfälle (§ 169 Abs. 1 f. TKG und Art. 33 Abs. 3 DS-GVO). Die Tabelle zeigt, dass die Ausgestaltung der Meldepflicht in unterschiedlichen Gesetzen sehr unterschiedlich ist.
Inhalt Meldepflicht | § 8b BSIG | § 168 TKG | § 169 TKG | Art. 33 DS-GVO |
---|---|---|---|---|
IT-Sicherheit | Datenschutz | |||
Beschreibung Vorfall | ||||
Ausmaß | - | - | - | |
Zahl der betroffenen Personen | - | - | ||
Zahl der betroffenen Systeme | - | - | - | |
betroffene Technik/Dienste | - | - | ||
Dauer des Vorfalls | - | - | - | |
geografische Ausdehnung | - | - | ||
Ursache | - | - | ||
Folgen | - | |||
Maßnahmen | - | - | ||
Kontakt für Nachfragen | - | - | ||
Meldefrist |
unverzüglich
СКАЧАТЬ
|