DS-GVO-Fehlkonzept Nr. 7: Datenschutz-Verletzungen sind innerhalb 72 Stunden zu melden

Einen Bärendienst am Verantwortlichen hat man ihm mit der Ausgestaltung der Meldepflicht von Datenschutzverletzungen erwiesen. Die ist gelinde gesagt, Mumpitz. Das Problem hier besteht darin, dass es in der Praxis unmöglich ist, innerhalb einer Frist von drei Tagen eine Aussage darüber zu machen, welche Auswirkungen die ausgenutzte Schwachstelle eines Systems hat. Das ist in etwa mit einem Flugunfall zu vergleichen: Man muss rasch möglichst informieren, dass etwas passiert ist.  Es ist zu diesem Zeitpunkt jedoch völlig unrealistisch, den resultierenden Schaden und die Auswirkungen umfassend zu bezeichnen. Noch viel weniger ist es möglich, die Ursachen zu benennen. Ohne eine vertiefte Untersuchung lässt sich keine seriöse Aussage machen. Damit trägt auch die Informationspflicht an die Betroffenen höchstens zu einer maximalen Verunsicherung bei.

Absolut gleich verhält es sich mit digitalen Ereignissen. Wir haben gesehen, dass die Transparenz, so wie sie sich der Gesetzgeber vorstellt, nicht erreicht werden kann. Die damit verbundene Unschärfe führt auch dazu, dass weder mit Sicherheit vorausgesagt werden kann, wo Schäden eintreten, noch welche Konsequenzen damit verbunden sind.

Mit anderen Worten: In erster Linie geht es darum, das Ereignis kompetent zu erfassen, die richtige Kommunikation zu veranlassen und die notwendigen Massnahmen zu ergreifen. Dies kann bei aktiven Cybercrime-Angriffen darin bestehen, dass man NICHT kommuniziert, um den Angreifer in Ungewissen darüber zu lassen, ob der Angriff erkannt worden ist (z.B. mit Honeypots). Die letzte Aktion, welche die betroffene Organisation in diesem Fall unternehmen sollte, ist die sofortige Kommunikation mit der Datenschutzbehörde. Viel wichtiger wäre die Kommunikation über eine nationale Sicherheits-Meldestelle, um die Abwehrmassnahmen abzustimmen.

Natürlich  passt diese losgelöste und unausgegorene Massnahme ins Bild: Über Informationssicherheit und wie man mit realen Bedrohungen kompetent umgeht, wurde nicht weiter nachgedacht (vgl. FK 6.).

Diese Bestimmung zeigt einmal mehr, dass es den Verfassern primär darum ging, “grosse” Anbieter unter Druck zu setzen, damit diese Sicherheitsereignisse frühzeitig melden. Das ist ein durchaus lobenswerter Beweggrund. Gleichzeitig bestraft man aber damit wieder 99% aller anderen Unternehmen, weil die unklare Definition, was tatsächlich meldepflichtig ist, zu einer maximalen Verunsicherung führt. Es wäre viel ehrlicher gewesen, hätte man eine Regulierung für die Verwaltung grosser Datenmengen eingeführt und diese Bewilligung an verschiedenste Rahmenbedingungen geknüpft, wie eben z.B. die Meldepflicht.

NB: Ein praktischer Hinweis zur 72 Stunden Frist. Den Gesetzgebern war es offenbar nicht wirklich wohl in ihrer Haut, weshalb sie ein Schlupfloch eingebaut haben, denn der Verordnungstext Art. 33 Abs.1 DS-GVO lautet wie folgt:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des  müssen Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

In der Praxis wird deshalb die 72 Stunden Frist nie eingehalten werden.