Einen B\u00e4rendienst am Verantwortlichen hat man ihm mit der Ausgestaltung der Meldepflicht von Datenschutzverletzungen erwiesen. Die ist gelinde gesagt, Mumpitz. Das Problem hier besteht darin, dass es in der Praxis unm\u00f6glich ist, innerhalb einer Frist von drei Tagen eine Aussage dar\u00fcber zu machen, welche Auswirkungen die ausgenutzte Schwachstelle eines Systems hat. Das ist in etwa mit einem Flugunfall zu vergleichen: Man muss rasch m\u00f6glichst informieren, dass etwas passiert ist. \u00a0Es ist zu diesem Zeitpunkt jedoch v\u00f6llig unrealistisch, den resultierenden Schaden und die Auswirkungen umfassend zu bezeichnen. Noch viel weniger ist es m\u00f6glich, die Ursachen zu benennen. Ohne eine vertiefte Untersuchung l\u00e4sst sich keine seri\u00f6se Aussage machen. Damit tr\u00e4gt auch die Informationspflicht an die Betroffenen h\u00f6chstens zu einer maximalen Verunsicherung bei.<\/p>\r\n\r\n\r\n\r\n
Absolut gleich verh\u00e4lt es sich mit digitalen Ereignissen. Wir haben gesehen, dass die Transparenz, so wie sie sich der Gesetzgeber vorstellt, nicht erreicht werden kann. Die damit verbundene Unsch\u00e4rfe f\u00fchrt auch dazu, dass weder mit Sicherheit vorausgesagt werden kann, wo Sch\u00e4den eintreten, noch welche Konsequenzen damit verbunden sind.<\/p>\r\n\r\n\r\n\r\n
Mit anderen Worten: In erster Linie geht es darum, das Ereignis kompetent zu erfassen, die richtige Kommunikation zu veranlassen und die notwendigen Massnahmen zu ergreifen.<\/strong> Dies kann bei aktiven Cybercrime-Angriffen darin bestehen, dass man NICHT kommuniziert, um den Angreifer in Ungewissen dar\u00fcber zu lassen, ob der Angriff erkannt worden ist (z.B. mit Honeypots). Die letzte Aktion, welche die betroffene Organisation in diesem Fall unternehmen sollte, ist die sofortige Kommunikation mit der Datenschutzbeh\u00f6rde. Viel wichtiger w\u00e4re die Kommunikation \u00fcber eine nationale Sicherheits-Meldestelle, um die Abwehrmassnahmen abzustimmen.<\/p>\r\n\r\n\r\n\r\n Nat\u00fcrlich\u00a0 passt diese losgel\u00f6ste und unausgegorene Massnahme ins Bild: \u00dcber Informationssicherheit und wie man mit realen Bedrohungen kompetent umgeht, wurde nicht weiter nachgedacht (vgl. FK 6<\/a>.).<\/p>\r\n\r\n\r\n\r\n Diese Bestimmung zeigt einmal mehr, dass es den Verfassern prim\u00e4r darum ging, „grosse“ Anbieter unter Druck zu setzen, damit diese Sicherheitsereignisse fr\u00fchzeitig melden. Das ist ein durchaus lobenswerter Beweggrund. Gleichzeitig bestraft man aber damit wieder 99% aller anderen Unternehmen, weil die unklare Definition, was tats\u00e4chlich meldepflichtig ist, zu einer maximalen Verunsicherung f\u00fchrt. Es w\u00e4re viel ehrlicher gewesen, h\u00e4tte man eine Regulierung f\u00fcr die Verwaltung grosser Datenmengen eingef\u00fchrt und diese Bewilligung an verschiedenste Rahmenbedingungen gekn\u00fcpft, wie eben z.B. die Meldepflicht.<\/p>\r\n\r\n\r\n\r\n NB: Ein praktischer Hinweis zur 72 Stunden Frist. Den Gesetzgebern war es offenbar nicht wirklich wohl in ihrer Haut, weshalb sie ein Schlupfloch eingebaut haben, denn der Verordnungstext Art. 33 Abs.1 DS-GVO lautet wie folgt:<\/p>\r\n\r\n\r\n\r\n Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverz\u00fcglich und <\/em>m\u00f6glichst <\/em><\/strong>binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gem\u00e4\u00df Artikel 51 zust\u00e4ndigen Aufsichtsbeh\u00f6rde, es sei denn, dass die Verletzung des\u00a0 m\u00fcssen Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen f\u00fchrt. Erfolgt die Meldung an die Aufsichtsbeh\u00f6rde nicht binnen 72 Stunden, so ist ihr eine <\/em>Begr\u00fcndung<\/em><\/strong> f\u00fcr die Verz\u00f6gerung beizuf\u00fcgen.<\/em><\/p>\r\n\r\n\r\n\r\n In der Praxis wird deshalb die 72 Stunden Frist nie eingehalten werden.<\/p>\r\n Nachtrag: Ein interessanter Aspekt wurde mir k\u00fcrzlich zugetragen. Niemand meldet Sicherheitsverst\u00f6sse, wenn sie bestraft werden! Die Sicherheitsgemeinde hat jahrelang darauf hingearbeitet, dass Verst\u00f6sse und Angriffe neutral gemeldet werden k\u00f6nnen, ohne dass der Meldende Nachteile in Kauf nehmen muss. Mit der DSGVO wird genau das Gegenteil erreicht, niemand wird mehr Sicherheitsvorf\u00e4lle melden, denn die Wahrscheinlichkeit, dass dieser von Dritten aufgedeckt werden wird, ist minimal. Die fehlenden Meldungen schaden aber allen m\u00f6glichen Betroffenen.<\/p>\r\n","protected":false},"excerpt":{"rendered":" Einen B\u00e4rendienst am Verantwortlichen hat man ihm mit der Ausgestaltung der Meldepflicht von Datenschutzverletzungen erwiesen. Die ist gelinde gesagt, Mumpitz. …