Data Breach – was, wenn es einfach keiner bemerkt?
Ein Data Breach muss gemäß der Datenschutzgrundverordnung (DSGVO) innerhalb von 72 Stunden der Datenschutzbehörde gemeldet werden. Was aber, wenn jemand in mein System einbricht und Daten stiehlt, ich diesen Diebstahl aber erst Monate später merke?
In Artikel 33 ist zu lesen, dass eine Verletzung des Schutzes personenbezogener Daten möglichst innerhalb von 72 Stunden nachdem dem Verantwortlichen die Verletzung bekannt wurde der Datenschutzbehörde zu melden ist. Sind jetzt alle aus dem Schneider, die es einfach nicht bemerken, wenn ihnen Daten gestohlen werden? Dem widerspricht Artikel 32: So haben Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau zu erreichen. Dieses Schutzniveau beinhaltet auch Vorkehrungen um eine solche Schutzverletzung (Data Breach) zu bemerken. Ein Intrusion Detection System (IDS) und das Aufbewahren und Auswerten von Logdateien sollte Teil jedes Informationssicherheitsmanagementsystems (ISMS) sein. Und ein ISMS ist de Facto notwendig um ein System DSGVO-fit zu machen und zu halten.
Bedeutet das nun, dass ich selbst als Kleinunternehmer mein System 24/7 überwachen muss und mir jeder Einbruch, und sei er noch so gefinkelt, innerhalb kürzester Zeit auffallen muss? Wohl kaum – so verweist der oben genannte Artikel 32 auch auf den Stand der Technik und auf die Implementierungskosten. Dadurch zeigt sich unserer Einschätzung nach, dass der Gesetzgeber durchaus mit einem Augenmaß an die Sache herangeht und ein Bewusstsein dafür existiert, dass kleine Unternehmen zumeist nur ein geringers Budget für IT-Sicherheit aufbrigen können als Großbetriebe. Abgesehen davon zeigen Vorfälle wie aktuell der Angriff auf das Regierungsnetzwerk in Deutschland, wo offenbar über Monate hinweg Daten von Regierungsstellen unbemerkt offengelegt wurden, dass selbst mit größtem Aufwand nicht alle Angriffe abgefangen bzw. bemerkt werden können.
Bietet ein Betrieb also ein dem Risiko und der Unternehmensgröße angemessenes Datenschutzniveau und sorgt dafür, dass seine Systeme aktuell gehalten werden und es grundlegende Überwachungsmaßnahmen gibt, wird es wohl vertretbar sein, wenn eine Schutzverletzung in Form einer Intrusion unbemerkt bleibt. Die DSGVO richtet sich letztendlich nicht gegen Unternehmen, sondern hat zum Ziel, den Schutz von Daten auf ein angemessenes Niveau zu heben.