Verdreifachtes gemeldetes Volumen: Deutlich mehr Unternehmen als in den Vorjahren haben 2016 etwa bei der bayerischen Datenschutzbehörde Datenpannen gemeldet. Laut Tätigkeitsbericht des Landesamts, stieg die Zahl der angezeigten Vorfälle um das Dreifache. Dabei gehen Datenschützern davon aus, dass trotz eklatanter Zunahme weiter nur ein Bruchteil aller meldepflichtigen Vorfälle tatsächlich auch bekannt wird.
Schwerwiegendere Datenpannen müssen schon seit einigen Jahren nach § 42 a des Bundesdatenschutzgesetzes sowie § 15a des Telemediengesetzes den zuständigen Aufsichtsbehörden gemeldet werden.
Viele Unternehmen ignorieren die Daten-Pannen-Meldepflicht
Bislang hielten / halten (?) sich nur vergleichsweise wenige Unternehmen an diese Auflage, trotzdem steigen die Werte jetzt rasant
Beispiel:
Im aktuellen Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) hat sich die Zahl der gemeldeten Pannen 2016 im Vergleich zu den Vorjahren drastisch erhöht. Wurden 2014 gerade einmal 21 und 2015 lediglich 28 solcher Vorfälle gemeldet, waren es im letzten Jahr bereits 85.
Bewusstsein für Meldepflicht steigt langsam
Der Chef des BayLDA, Thomas Kranig, zeigte sich überrascht über den deutlichen Anstieg und führte die Entwicklung auch auf ein gestiegenes Bewusstsein für die Meldepflicht zurück. Zugleich wies er darauf hin, dass auch diese Zahl wohl nur die Spitze eines großen Eisbergs darstelle.
Die allermeisten #Datenpannen werden pflichtwidrig immer noch nicht den Aufsichtsbehörden #gemeldet.
Click to tweet
Aufsichtsbehörden hören über Presseberichte von den Pannen
- So sei die Behörde in vielen Fällen erst nachträglich durch Presseberichte auf solche Pannen aufmerksam geworden und die betroffenen Unternehmen hätten sich in diesen Fällen entweder durch abenteuerliche Begründungen herausgeredet oder erklärt, dass sie von der Meldepflicht nichts gewusst hätten.
- In einigen Fällen wurden Datendiebstähle auch durch aufmerksame Bürger gemeldet, die etwa verdächtige Aktivitäten auf E-Mail-Konten festgestellt hatten.
Viele Hackerangriffe
Besonders oft kam es zu Datendiebstählen durch kriminelles Hacking. Neben großen Internet-Konzernen standen dabei auch kleinere Unternehmen oder Privatpersonen im Visier der Angreifer, die hier oftmals Datensätze mit E-Mail-Adressen, Passwörtern und häufig auch weitere persönliche Daten erbeuten konnten, die anschließend im Darknet weiterverkauft wurden.
Nutzer nur unzureichend und verspätet informiert
Kranig kritisierte die von den Datenpannen betroffenen Unternehmen auch wegen der Nachbereitung der Pannen.
Sie hätten ihre Kunden häufig nur unzureichend und erst mit teilweise jahrelanger Verspätung über die Datendiebstähle und die damit verbundenen Missbrauchsmöglichkeiten informiert.
Meldepflicht wird mit Datenschutzreform ausgeweitet
Bisher müssen Datenschutzpannen nur dann gemeldet werden, wenn vergleichsweise sensible Daten entwendet wurden und den Betroffenen schwerwiegende Beeinträchtigungen drohen.
- Mit der Umsetzung der europäischen Datenschutzgrundverordnung im nächsten Jahr wird Meldepflicht deutlich strenger, denn die Schwelle für die Notwendigkeit einer Meldung wird herabgesetzt.
- Dann reicht bereits ein einfaches Risiko für die Betroffenen aus, damit eine Panne unter die Meldepflicht fällt.
Bei den Datenschutzbehörden rechnet man auch deshalb mit einem deutlichen Anstieg des Arbeitsaufwands im nächsten Jahr, der nur durch eine erhebliche Aufstockung der Mitarbeiteranzahl bewältigt werden könne.
Hintergrund: Unterrichtung von Kunden bei besonders sensiblen Daten
Aktuell müssen alle betroffenen Kunden über die Vorfälle informiert werden, wenn finanzielle Informationen wie
Kontodaten, aber auch
Passwörter,
Standortdaten,
E-Mail-Daten,
Webbrowser-Verläufe oder
Internet-Protokolldateien
in fremde Hände gelangt sein können. Ebenso sind die Nutzer zu informieren, wenn zu befürchten ist, dass konkrete Gefährdungen wie etwa physische oder psychische Beeinträchtigungen drohen.
Meldepflicht
Mit § 42a BDSG, § 15a TMG und § 93 Abs. 3 TKG hat der Gesetzgeber datenschutzrechtliche Informationspflichten im Fall einer Datenpanne gegenüber der jeweils zuständigen Aufsichtsbehörde und den Betroffenen geregelt.
Diese Regelungen sind an die in den USA bestehenden Vorschriften zur "Data Breach Notification" und an EU-Richtlinien angelehnt.
Die Meldepflicht soll greifen, wenn Dritte von bestimmten personenbezogenen Daten unberechtigt Kenntnis erlangen, unter anderem Daten zu Bank- und Kreditkartenkonten, für Daten, die einem Berufsgeheimnis unterliegen, für besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) und für Daten über Straftaten und Ordnungswidrigkeiten.