IT-Sicherheit für Dummies. Rainer W. Gerling
Чтение книги онлайн.

Читать онлайн книгу IT-Sicherheit für Dummies - Rainer W. Gerling страница 20

СКАЧАТЬ existiert. Deshalb müssen Sie in diesem Fall neben der Aufsichtsbehörde auch die Patienten informieren.

      Die Meldung muss nach dem BSI-Gesetz und dem TKG unverzüglich und im Fall von Datenschutzverstößen innerhalb von 72 Stunden erfolgen. Eine Nicht-Meldung ist bußgeldbewehrt. Wer einen Sicherheitsvorfall nach § 8a Abs. 4 BSI-Gesetz »vorsätzlich oder fahrlässig …nicht richtig, nicht vollständig oder nicht rechtzeitig« meldet, erhält ein Bußgeld bis zu fünfhunderttausend Euro. Wer einen Datenschutzvorfall nach Art 33 DS-GVO nicht meldet, muss mit »Geldbußen von bis zu zehn Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs« rechnen. Es gilt die jeweils höhere Grenze für die Festsetzung des Bußgelds. In Deutschland wird eine Öffnungsklausel der DS-GVO genutzt, sodass gegen Behörden und sonstige öffentliche Stellen kein Bußgeld verhängt wird (§ 43 Abs. 3 BDSG und vergleichbare Regelungen in den Landesdatenschutzgesetzen).

      Sofern eine öffentliche Stelle unter den Anwendungsbereich der EU-Richtlinie 2016/680 (das sind für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung zuständige Behörden) fällt, ist eine entsprechende Meldepflicht in § 65 BDSG geregelt. § 65 BDSG gilt für die entsprechenden Landesbehörden der Rechtspflege, soweit in den Landesdatenschutzgesetzen nichts anderes geregelt ist.

      Relativ neu ist die Meldepflicht nach § 168 TKG für ein Unternehmen, das ein »öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt«. Ein derartiges Unternehmen muss einen »Sicherheitsvorfall mit beträchtlichen Auswirkungen auf den Betrieb der Netze oder die Erbringung der Dienste« unverzüglich dem BSI sowie der Bundesnetzagentur (BNA) als für die Telekommunikation zuständige Aufsichtsbehörde mitteilen. In § 169 TKG ist eine Meldepflicht für die Erbringer öffentlich zugänglicher Telekommunikationsdienste im Fall der Verletzung des Schutzes personenbezogener Daten aufgenommen worden. Auch hier erfolgt die Meldung nicht nur an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), wie bereits nach der DS-GVO erforderlich, sondern zusätzlich auch wieder an die Bundesnetzagentur.

      Im TKG wird sowohl für Sicherheitsvorfälle als auch für Datenschutzvorfälle der Inhalt der Meldepflicht detailliert festgelegt.

      Tabelle 3.1 zeigt eine Übersicht über den Inhalt der Meldepflichten im BSI-Gesetz, im TKG und in der DS-GVO. Zwei der Vorgaben beziehen sich auf IT-Sicherheitsvorfälle (§ 8b Abs. 4 BSI-Gesetz und § 168 Abs. 1 f. TKG) und zwei auf Datenschutzvorfälle (§ 169 Abs. 1 f. TKG und Art. 33 Abs. 3 DS-GVO). Die Tabelle zeigt, dass die Ausgestaltung der Meldepflicht in unterschiedlichen Gesetzen sehr unterschiedlich ist.

Inhalt Meldepflicht § 8b BSIG § 168 TKG § 169 TKG Art. 33 DS-GVO
IT-Sicherheit Datenschutz
Beschreibung Vorfall math math math math
Ausmaß - math - -
Zahl der betroffenen Personen - math - math
Zahl der betroffenen Systeme - math - -
betroffene Technik/Dienste math math - -
Dauer des Vorfalls - math - -
geografische Ausdehnung math math - -
Ursache math math - -
Folgen - math math math
Maßnahmen - - math math
Kontakt für Nachfragen - - math math
Meldefrist unverzüglich СКАЧАТЬ