Die folgende Arbeit setzt sich aus juristischer Sicht mit der Meldepflicht bei Internetstraftaten auseinander. Während sich die Voraussetzungen der Meldungen, also zum Beispiel die Fragen nach dem Auslöser, dem Adressat oder der Form ähneln, so gibt es zwischen den einzelnen die Meldepflicht beschreibende Normen, Unterschiede im Hinblick auf die Zielrichtung und den Inhalt der Meldungen. Die Wirkungen der jeweiligen Regelungen sind in der Praxis recht unterschiedlich zu bewerten und teils umstritten. So wurde mancher Meldepflicht nur wenig praktische Durchschlagskraft bescheinigt, wie zum Beispiel beim NetzDG. In der Arbeit werden exemplarische Meldepflichten im Bereich von Internetstraftaten de lege lata dargestellt sowie ein Blick auf künftige Gesetzesvorhaben geworfen.
Im Bereich der Cyberkriminalität sind neben der eigentlichen Strafbarkeit nach StGB auch Meldepflichten gegenüber Behörden zu berücksichtigen, die u. a. für mehr Transparenz sorgen können und der Aufsicht Gestaltungsmöglichkeiten einräumen.
Wegen hoher Bußgeldandrohungen bei versäumten oder unvollständigen Meldungen sowie oft kurzen Meldefristen sind Unternehmen angehalten geeignete Meldeprozesse zu etablieren. Je nach betroffenem Schutzgut kann die Meldepflicht unterschiedlich ausgestaltet sein. So können im Bereich der Sicherheitsstörungen Regelungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) sowie der Datenschutz-Grundverordnung (DSGVO) einschlägig sein. Bei Hasskriminalität in sozialen Netzwerken werden vornehmlich Meldepflichten nach Netzwerkdurchsetzungsgesetz (NetzDG) anwendbar sein.
Inhaltsverzeichnis
Abkürzungsverzeichnis
Abbildungsverzeichnis
A. Einführung und Abgrenzung
B. Meldepflichten
I Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)
1 § 8b Abs. 4 BSIG – Betreiber Kritischer Infrastrukturen
2 § 8c Abs. 3 S. 1 BSIG – Anbieter digitaler Dienste
3 § 4 BSIG – BSI als Meldestelle für die IT-Sicherheit der Bundesverwaltung
4 Lege ferenda
5 Praktische Relevanz / Umsetzung
II Datenschutz-Grundverordnung (DSGVO)
1 Art. 33 Abs. 1 DSGVO – Verantwortlicher – data breach notification
2 Art. 33 Abs. 2 DSGVO - Auftragsverarbeiter
3 Art. 34 Abs. 1 DSGVO - Benachrichtigungspflicht
4 Praktische Relevanz / Umsetzung
III Kumulative / doppelte Meldepflichten
1 Ein Störfall kann mehrere Meldepflichten auslösen
2 Praktische Relevanz / Umsetzung
IV Bundesdatenschutz-Gesetz (BDSG)
1 Meldepflicht
2 Praktische Relevanz / Umsetzung
V Informationspflichten nach § 15a TMG
1 Überblick
2 Praktische Relevanz / Umsetzung
VI Telekommunikationsgesetz (TKG)
1 Benachrichtigungspflicht nach § 109 Abs. 5 TKG
2 Benachrichtigungspflicht nach § 109a Abs. 1 TKG - security breach notification
3 Lege ferenda
4 Praktische Relevanz / Umsetzung
VII Netzwerkdurchsetzungsgesetz (NetzDG)
1 Überblick und wesentliche Probleme
2 Lege ferenda
3 Praktische Relevanz / Umsetzung
C. Ergebnis und Ausblick
Literaturverzeichnis
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Abbildungsverzeichnis
Abb. 1: IT-Störung
Abb. 2: Melde- und Benachrichtigungspflicht nach Art. 33, 34 DSGVO
A. Einführung und Abgrenzung
Die Zunahme von und die Bedrohung durch Internetstraftaten in Form von Cyberangriffen gebietet eine über die strafrechtliche Einordung hinausgehende Betrachtung der sich hieraus ergebenden einschlägigen Meldepflichten
Neben der straf- (und zivilrechtlichen) Betrachtung und neben der Beseitigung der Bedrohung sind auch Meldepflichten zu berücksichtigen, die ein rasches und systematisches Handeln erfordern
Die Bedeutung von Meldepflichten bei Internetstraftaten wie Cyberangriffen hat in den letzten Jahren immer mehr zugenommen. Während es bereits Meldepflichten z. B. aus dem BSIG gab, kamen ab 2018 mit der Einführung der DSGVO spezifische datenschutzrechtliche Meldepflichten hinzu.
Insbesondere in der Öffentlichkeit kontrovers diskutiert wird die Meldepflicht des Netzwerkdurchsetzungsgesetzes im Bereich Hasskriminalität und „hate speech“.
Ziel dieser Ausarbeitung ist es, die wesentlichen Meldepflichten im weitesten Sinne im Bereich von Internetstraftaten und deren praktische Relevanz zu beleuchten, de lege lata und ferenda.
Während sich die Voraussetzungen der Meldungen, also z. B. die Fragen nach dem Auslöser, dem Adressat oder der Form, ähneln, so gibt es zwischen den einzelnen die Meldepflicht beschreibende Normen Unterschiede im Hinblick auf die Zielrichtung und den Inhalt der Meldungen.
Es werden dabei anhand exemplarischer Meldepflichten zunächst die wesentlichen Problemstellungen aus den verschiedenen relevanten Rechtsbereichen de lege lata dargestellt.
Dabei werden „Meldepflicht“ und „Informationspflicht“ zum Teil synonym gebraucht.
In den Bereichen, in denen wesentliche Änderungen zu erwarten und in Diskussion sind, werden auch die Meldepflichten de lege ferenda dargestellt.
Es schließt sich zu jedem Bereich eine Bewertung der praktischen Relevanz und der Umsetzung an.
Vornehmlich wird hierbei auf die Meldepflichten bei Internetstraftaten eingegangen, solche des aufsichtsrechtlichen oder statistischen Meldewesen werden nicht mitbehandelt.
Spezialgesetzliche Regelungen werden allenfalls am Rande mitbehandelt.
B. Meldepflichten
Bei nahezu allen Meldepflichten, die sich auf Internetstraftaten beziehen, kann auf folgendes Prüfungsschema zur Bewertung der Meldepflicht zurückgegriffen werden:
- Verpflichteter („Wer“)
- Auslöser der Meldepflicht („Ob“)
- Ausnahme von der Meldepflicht („Ob“)
- Zuständige Behörde („Wem“)
- Inhalt der Meldung („Was“)
- Form („Wie“)
- Frist („Wann“)
- Dokumentation
- Sanktion von Verstößen gegen die Meldepflicht
Im Folgenden wird schwerpunktmäßig auf die bei den einzelnen Punkten als problematisch erscheinenden Sachverhalte eingegangen, auf die restlichen nur am Rande.
Dabei gilt der Grundsatz, dass die Beseitigung der Störung immer vorrangig ist. Eine Meldung kann danach erstellt werden.
I Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)
Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG)1 enthält verschiedene spezifische Meldepflichten für Betreiber Kritischer Infrastrukturen sowie für Anbieter digitaler Dienste.
In das BSIG aufgenommen wurden die Meldepflichten durch die NIS-Richtlinie2 und das IT-Sicherheitsgesetz, deren Fokus auf den Schutz Kritischer Infrastrukturen abzielt.3
Es ist subsidiär zu Fachgesetzen wie TKG, EnWG und AtG, § 8c Abs. 2 und 3 BSIG.4 Auf das AtG und EnwG wird hier nicht näher eingegangen.
1 § 8b Abs. 4 BSIG – Betreiber Kritischer Infrastrukturen
§ 8b BSIG wurde durch Art. 1 Nr. 7 des IT-Sicherheitsgesetzes eingeführt. Die Vorschrift regelt die Meldepflichten der Betreiber Kritischer Infrastrukturen an die hierfür eingerichtete Meldestelle. Gem. § 8b Abs. 1 BSIG ist als zentrale Meldestelle das BSI benannt . 5
a Störung
Die auf Betreiber Kritischer Infrastrukturen (KRITIS) abzielende Regelung des § 8b Abs. 4 BSIG (ggf. i. V. m. KRITIS-VO)6 hat zum Auslöser der Meldepflicht an das BSI Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von IT-Systemen, Komponenten oder Prozessen.
Dabei wird von einem Schwellenwert für Anlagen von 500.000 versorgten Personen ausgegangen. Es sind also nicht alle Anlagen betroffen.
Der Begriff der Störung wird dabei im BSIG nicht legaldefiniert, so dass dieser Begriff auslegungsbedürftig ist und andere Quellen für die Definition herangezogen werden müssen.
Ausweislich der Begründung liegt eine solche vor, wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder versucht wurde, entsprechend auf sie einzuwirken. Dazu zählen insbesondere „Fälle von Sicherheitslücken, Schadprogrammen und erfolgten, versuchten oder erfolgreich abgewehrten Angriffen auf die Sicherheit in der Informationstechnik sowie außergewöhnliche und unerwartete technische Defekte mit IT-Bezug (zum Beispiel nach Softwareupdates oder ein Ausfall der Serverkühlung)“. 7
Aus der Gesetzesbegründung heraus kann mithin eine Störung insbesondere bei Sicherheitslücken, Schadprogramm sowie erfolgte, versuchte oder erfolgreich abgewehrt Angriffe auf die Sicherheit in der Informationstechnik abgeleitet werden.8
Während eine Störung mit konkret eingetretenem Ausfall (einfache Störung) zu einer Meldepflicht führt, ist dies bei einer erheblichen Störung mit einem potenziellen Ausfall nicht der Fall.
Eine Meldepflicht besteht mithin nur dann, wenn die (einfache) Störung einen Ausfall oder eine erhebliche Beeinträchtigung der Funktionsfähigkeit der Infrastruktur zur Folge hat.9
Der Begriff der erheblichen Störung ist ebenfalls nicht legal definiert.
Es werden laut Begründung (BT-Drs. 18/4096, 28) solche Störungen verstanden, die nicht automatisiert oder mit wenig Aufwand mithilfe der nach § 8a BSIG als Stand der Technik beschriebenen Maßnahmen abgewehrt werden können. Beispielhaft werden neuartige oder außergewöhnliche IT-Vorfälle, gezielte Angriffe, neue Modi Operandi und unerwartete Vorkommnisse sowie solche Vorfälle genannt, die nur mit deutlich erhöhtem Ressourcenaufwand bewältigt werden können.10
Wenn eine erhebliche Störung vorliegt, ist der Eintritt des Störungserfolges in Form eines Ausfalls oder einer erheblichen Beeinträchtigung, für das Entstehen der Meldepflicht nicht erforderlich. In einem solchen Fall ist es ausreichend, dass die erhebliche Störung potenziell zu einem solchen Störungserfolg führen kann.
Die Störung ist dann als erheblich anzusehen, wenn nicht automatisiert oder mit wenig Aufwand behoben werden kann.
Für gewöhnlich vorkommende Ereignisse, wie Spam oder Schadsoftware, die durch Virensoftware erkannt wird, stellen keine erhebliche Störung dar.11
Eine Beeinträchtigung ist dann als erheblich anzusehen, wenn die Infrastruktur nicht mehr in der Lage ist, ihre Versorgungsleistung wie geplant oder erwartet zu erbringen.12
Es wird von den Betreibern der Kritischen Infrastruktur eine Prognoseentscheidung gefordert, ob eine erhebliche Beeinträchtigung vorliegt. Bei einer (nur) einfachen Störung entsteht keine Meldepflicht.13
In der Praxis erfordert dies bisweilen teils sehr komplexe Überlegungen.
Abb. 1: IT-Störung
Abbildung in dieser Leseprobe nicht enthalten
Quelle: Sowa/Duscha/Schreiber, IT-Revision, IT-Audit und IT-Compliance, 2. Aufl. 2019, S. 164
b Frist der Meldung
Nach § 8b Abs. 4 S. 1 BSIG ist die Meldung einer Störung „unverzüglich“ vorzunehmen.
Eine Begriffsdefinition ist weder der NIS-Richtlinie noch der Gesetzesbegründung des BSIG zu entnehmen.14 Es ist somit auf allgemeine Definitionen zurückzugreifen.
Das BSI stellt auf den Grundsatz der „Schnelligkeit und Vollständigkeit“ ab und stellt fest, dass die Meldung unverzüglich nach Erkennung der IT-Störung ohne schuldhaftes Zögern zu erfolgen hat. Es wird somit die Legaldefinition aus dem BGB zu Hilfe genommen.15 Im Zweifelsfall ist eine Meldung nachrangig gegenüber der Eindämmung der IT-Störung.
Es hat daher eine Meldung so schnell wie möglich zu erfolgen; notfalls können auch Informationen noch nachgereicht werden.16
Das bedeutet, dass auch bei einer noch nicht erforderlichen Erkenntnistiefe und bei noch nicht vollständiger Ausermittlung des Sachverhalts eine Meldung zu erfolgen hat.
2 § 8c Abs. 3 S. 1 BSIG – Anbieter digitaler Dienste
Der Anwendungsbereich des § 8c Abs. 3 S. 1 BSIG bezieht sich auf Anbieter digitaler Dienste, also auf Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste.17
Auslöser der Meldepflicht ist jeder Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines innerhalb der europäischen Union erbrachten digitalen Dienstes hat (§ 8c Abs. 3 S. 1 BSIG).18 Sicherheitsvorfälle, die keine oder nur eine geringe Auswirkung haben, sind nicht meldepflichtig.
Es ist im Unterschied zur Meldepflicht nach § 8b Abs. 4 BSIG keine Prognose erforderlich, sondern die Meldepflicht ist an das Überschreiten quantitativer Schwellenwerte geknüpft (materielle Übernahme der Vorschriften aus der NIS-Richtlinie).19
Die Erheblichkeit eines Vorfalls bestimmt sich gem. § 8c Abs. 3 S. 2 Nr. 1–5 BSIG sowie gem. Art. 4 der Durchführungsverordnung (EU) 2018/151 nach den folgenden Kriterien:
Die Zahl der betroffenen Nutzer, die Dauer des Sicherheitsvorfalles, das vom Sicherheitsvorfall betroffene geographische Gebiet, das Ausmaß der Unterbrechung, das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten sowie ob ein Sicherheitsvorfall zu einem Verlust der Integrität, Vertraulichkeit oder Authentizität gespeicherter, übermittelter oder verarbeiteter Daten oder der entsprechenden Dienste geführt hat20
Bußgeld:
Ein Verstoß gegen die Meldepflicht – also die nicht rechtzeitige oder nicht vollständige Meldung nach § 8b Abs. 4 BSIG oder § 8c Abs. 3 BSIG - zieht eine Geldbuße von 50.000 Euro nach sich (§ 14 Abs. 2 BSIG).
Verstöße gegen Pflichten zur Vornahme von Sicherheitsvorkehrungen können Bußgelder bis zu 100.000 Euro nach sich ziehen (§ 14 Abs. 1 Nr. 2 BSIG).21
3 § 4 BSIG – BSI als Meldestelle für die IT-Sicherheit der Bundesverwaltung
Das Bundesamt für Sicherheit in der Informationstechnik wird gem. § 4 BSIG als zentrale Meldestelle für IT-Sicherheit der Bundesverwaltung Informationen über Sicherheitslücken und neue Angriffsmuster auf die Sicherheit der Informationstechnik sammeln und auswerten. Hierdurch können ein verlässliches Lagebild erstellt, Angriffe frühzeitig erkannt und Gegenmaßnahmen ergriffen werden.
4 Lege ferenda
Nach den derzeitigen Referentenentwürfen soll es folgende Änderungen im Bereich des BSIG geben:
So soll es eine Erweiterung der Unternehmen, die zur Gruppe Kritischer Infrastrukturen zählen, geben. Eine Meldepflicht soll für Unternehmen im besonderen öffentlichen Interesse gelten, wie z. B. Rüstungsunternehmen ebenso wie für den Sektor Entsorgung. 22
Des Weiteren ist eine Angeleichung der Bemessungssystematik von Bußgeldern an die DSGVO geplant. D. h. es werden Bußgelder bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes bei Verstößen gegen die Meldepflicht fällig.
Ebenso soll das BSI Kompetenzerweiterungen erhalten als Konformitätsbewertungsstellt sowie als nationale Behörde für Cybersicherheitszertifizierung.23
Zudem ist in § 8c BSIG-E geplant, dass das BSI gegenüber TK-Diensteanbietern mit mehr als 100.000 Kunden anordnen darf, dass diese Maßnahmen der Daten- und Informationssicherheit zu treffen haben.24
5 Praktische Relevanz / Umsetzung
Während die Einführung der Meldepflichten bei Wirtschaftsverbänden auf Widerstand stieß wegen der erwarteten hohen Kosten für die Umsetzung oder mögliche Rufschädigungen, wurden diese Stimmen zusehends leiser. Dies ist sicher auch der Unterrichtungspflicht des BSI gegenüber Betreiber Kritischer Infrastrukturen über relevante Erkenntnisse zur IT-Sicherheit nach § 8b Abs. 2 Nr. 4a BSIG zu verdanken.25
Kritische Stimmen in der Literatur gingen dahingehend, dass der Gesetzgeber es versäumt habe, erhebliche Störungen legal zu definieren.
Weitere Stimmen messen dem BSIG eine zurückhaltende Regelung der Informationen Dritter und der Öffentlichkeit zu, der Schutz werde nur mittelbar durch die Verbesserung der IT-Sicherheit in der Kritischen Infrastruktur bewirkt.26
Die geplante Ausdehnung der Meldepflichten und die Angleichung der Bußgeldhöhe an DSGVO-Maßstäbe ist zu begrüßen, insbesondere auch im Hinblick auf zugenommene Phishing-Attacken in der Corona-Pandemie.27
Zu Inhalt und Umfang der Meldungen nach BSIG vgl. die entsprechende Meldeformulare für die Meldepflicht nach § 8b Abs. 4 BSIG und § 8c Abs. 3 S. 1 BSIG Es besteht hierbei kein strenges Formerfordernis; in der Praxis wird aber eine elektronische Meldung bevorzugt:
Meldepflicht nach § 8b Abs. 4 BSIG (Muster):
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Kritis/Meldeformular_BSIG8b_Muster.html
Meldepflicht nach § 8c Abs. 3 S. 1 BSIG (Vorlage):
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Kritis/meldungen_8c3BSIG_vorlage_docx.html
KRITIS-Meldungen:
Im Berichtszeitraum im Jahre 2020 erfolgten 419 KRITIS-Meldungen, im Jahre 2019: 252 und im Jahre 2018: 145.28 Es gab damit eine enorme Steigerung der Anzahl der Meldungen in diesem Bereich.
II Datenschutz-Grundverordnung (DSGVO)
1 Art. 33 Abs. 1 DSGVO – Verantwortlicher – data breach notification
Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und mit deren Geltungserlangung am 25.05.201829 wurden auch datenschutzrechtliche Meldepflichten implementiert, die mit teils hohen Bußgeldern bewehrt sind. (Bis zum Inkrafttreten der DSGVO gab es Regelungen über Informationspflichten nach § 42a BDSG a. F.).
Für die Meldepflicht von sog. Datenpannen nach Art. 33 DSGVO, auch data breach notification genannt, an die zuständige Aufsichtsbehörde, ist der datenschutzrechtlich Verantwortliche der Adressat. Bei gemeinsamen Verantwortlichen meldet derjenige, in dessen Verantwortungsbereich die Verletzung stattfand.30
Auslöser der Meldepflicht nach Art. 33 Abs. 1 S. 1 DSGVO ist jede Verletzung des Schutzes personenbezogener Daten gem. Art. 4 Nr. 12 DSGVO.
Es ist gem. Art. 4 Nr. 12 DSGVO „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ darunter zu verstehen.31
Mithin kann nach ErwGr. 85 Satz 1 DSGVO eine Verletzung des Schutzes personenbezogener Daten „einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, die etwa Verlust der Kontrolle über ihre personenbezogene Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.“32
Als Meldevoraussetzung ist ein hinreichend konkretes Risiko für die Rechte und Freiheiten natürlicher Personen erforderlich.
Hierbei ist die Verletzung der Datensicherheit (Art. 32 DSGVO) entscheidend, unbeachtlich ist ein etwaiges Verschulden, welches zur Verletzung geführt hat.33
a Risikobasierter Ansatz
Bei der Einschätzung, ob es sich um eine Verletzung handelt, ist nach dem risikobasierten Ansatz eine Bewertung durch den Verantwortlichen vorzunehmen. Die Schutzverletzung kann dann wieder entfallen, wenn voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Person(en) besteht. Dann würde auch die Meldepflicht entfallen.34
Mithin ist eine Prognose vorzunehmen, ob die Verletzung zu einem hohen Risiko für die persönlichen Recht und Freiheiten natürlicher Personen besteht – dann ist zudem noch Art. 34 DSGVO einschlägig.35
Kriterien für die relevante Prognoseentscheidung finden sich in ErwG 85 wieder:
Es sind hierbei psychische, materielle oder immaterielle Schäden (wie etwa der Verlust der Kontrolle über personenbezogene Daten der Betroffenen oder Rufschädigung) oder erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person zu berücksichtigen.
Weitere Kriterien finden sich in Art. 29-Datenschutzgruppe36: Die Art der Datenschutzverletzung, Art, Sensibilität und Umfang der personenbezogenen Daten, die Möglichkeit der Identifikation von betroffenen Personen, potenzielle Konsequenzen des Vorfalls, besondere Eigenschaften der betroffenen Person oder des Verantwortlichen sowie die Zahl der betroffenen Personen.37
In der Praxis relevant stellt sich die Frage, ob eine Verletzung schon eingetreten sein muss oder ob die Möglichkeit der Verletzung ausreicht. Eine wortlautnahe Auslegung würde zu dem Schluss kommen, dass eine Verletzung bereits eingetreten sein muss.38
Eine Meldung nach Art. 33 Abs. 1 DSGVO hat nicht zu erfolgen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.39
b Frist der Meldung und Bekanntwerden
Die Meldung an die zuständige Aufsichtsbehörde (Art. 55 DSGVO) hat unverzüglich, „möglichst“ innerhalb von 72 h zu erfolgen, Art. 33 Abs. 1 S. 1 DSGVO.
Diese Frist ist auslegungsbedürftig. Nach h. M. ist hier „ohne schuldhaftes Zögern“ gem. § 121 Abs. 1 S. 1 BGB gemeint.40
Die Verletzung muss dem Verantwortlichen bekannt geworden sein, damit die Frist beginnt. Hier stellt sich die Frage, wann in einem Unternehmen das Bekanntwerden vorliegt.
In der Literatur werden vornehmlich die Grundsätze über die Wissenszurechnung in Unternehmen entsprechend angewandt.41
„Bekannt“ wurde, wenn der betreffende Verantwortliche eine hinreichende Gewissheit darüber hat, dass ein Sicherheitsvorfall aufgetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat.
Als ausreichend dürfte es sein, wenn der Verantwortliche Kenntnis von einem Vorgang hat, der mit hinreichender Wahrscheinlichkeit eine Datenschutzverletzung nach sich zog und der Verantwortliche befähigt wird, eine belastbare Meldung an die Aufsichtsbehörde zu machen.42
Der Fristbeginn ist dabei der Zeitpunkt, in welchem dem Verantwortlichen die Verletzung bekannt wird. Insbesondere bei Cyber-Sicherheitsvorfällen müssen, um eine Kenntniserlangung bejahen zu können, noch nicht sämtliche Inhalte bekannt sein, es genügt ein spezifischer „Kerninhalt“ für eine Erstmeldung.43
c Dokumentationspflicht
Als sehr relevant für die Praxis erscheint auch die Dokumentationspflicht des Art. 33 Abs. 5 DSGVO. Hier soll nicht nur die erfolgten Meldungen dokumentiert werden, sondern auch im Falle einer Nicht-Meldung die Gründe hierfür sowie der Stellungnahme des Datenschutzbeauftragten, vgl. Art. 39 DSGVO.44
d Folgen und Geldbußen
Verstöße gegen die Melde- und Benachrichtigungspflichten können gem. Art. 83 Abs. 4 lit a) DSGVO mit Geldbußen mit bis zu 10 Mio. EUR oder bis 2 % des gesamten weltweit erzielten Jahresumsatzes geahndet werden.
Bei schwerwiegenden Verstößen kann auch das Doppelte verhängt werden.
Nach Art. 83 Abs. 6 DSGVO können auch Verstöße gegen Anordnungen der Aufsichtsbehörde sanktioniert werden (Bsp.: Anordnung zur Benachrichtigung der Betroffenen).
Hohe Bußgelder wurden von deutschen Aufsichtsbehörden bereits verhängt.
Für das Unternehmen Deutsche Wohnen wurde ein Bußgeld von rund 14,5 Mio. EUR verhängt.45 Das gegen 1&1 ursprünglich verhängte Bußgeld von fast 10 Mio. EUR wurde vom LG Bonn auf 900.000 reduziert.46
Abb. 2: Melde- und Benachrichtigungspflicht nach Art. 33, 34 DSGVO
Abbildung in dieser Leseprobe nicht enthalten
Quelle: Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, Erläuterungen zu Art. 33 und 34 Datenschutz-Grundverordnung, Orientierungshilfe, BayLDA, 2019
2 Art. 33 Abs. 2 DSGVO - Auftragsverarbeiter
Die Meldepflicht des Auftragsverarbeiters gegenüber dem Verpflichteten regelt sich nach Art. 33 Abs. 2 DSGVO.47
Die Verantwortlichkeit liegt hier nicht beim Auftragsverarbeiter, sondern beim Verpflichteten. Dieser hat auch die oben bei Art. 33 Abs. 1 DSGVO angesprochene Risikoeinschätzung vorzunehmen.
Der Unterschied und das Besondere ist, dass die Meldung hier nicht wie bei Art. 33 Abs. 1 DSGVO innerhalb einer 72-Stunden-Frist erfolgen soll, sondern „unverzüglich“. Praktischerweise hat die Meldung ebenfalls in der 72-Stunden-Frist zu erfolgen.48
Des Weiteren hat der Verpflichtete, und nicht der Auftragsverarbeiter, für die Vollständigkeit der Angaben zu sorgen. Art. 33 Abs. 3 DSGVO ist insofern nicht anwendbar.
3 Art. 34 Abs. 1 DSGVO - Benachrichtigungspflicht
Die Benachrichtigungspflicht nach Art. 34 Abs. 1 DSGVO knüpft an die Meldepflicht gem. Art. 33 Abs. 1 DSGVO an.
Im Gegensatz zur Meldepflicht nach Art. 33 Abs. 1 DSGVO ist bei der Benachrichtigungspflicht nach Art. 34 DSGVO als Auslöser das Bestehen eines hohen Risiko s erforderlich. Die Voraussetzungen sind bei der Benachrichtigungspflicht also höher angesiedelt als bei der Meldepflicht in der DSGVO (Risikobegriff ist im Gegensatz zu Art. 33 DSGVO hier materielle Tatbestandvoraussetzung). Und es kann (in der Praxis durchaus) sein, dass zwar eine Meldepflicht, aber keine Benachrichtigungspflicht besteht.49
Dies wäre in den Fällen gegeben, in denen zwar ein Risiko besteht, der Verantwortliche aber dieses abmildern oder beseitigen kann.
Neben der Eintrittswahrscheinlichkeit können auch das Schadensausmaß sowie die Sensibilität und Art der Daten als Kriterium für die Bejahung eines hohen Risikos ins Auge gefasst werden.50
Je größer der potenzielle Schaden und auch je sensibler die Art der Daten ist, desto geringer sind hierbei auch die Anforderungen an die Eintrittswahrscheinlichkeit zu setzen. Auch bei der Benachrichtigungspflicht ist eine Prognoseentscheidung erforderlich.51
Eine dezidierte 72 h-Frist ist bei der Benachrichtigungspflicht nach Art. 34 DSGVO nicht einzuhalten. Es wird jedoch ein unverzügliches Handeln verlangt (vgl. ErwG 86), also „so rasch wie möglich“. Betroffene Personen sollen sofort benachrichtigt werden, damit das Risiko eines unmittelbaren Schadens abgemildert werden kann.52
Die Benachrichtigungspflicht richtet sich ausschließlich an den Verantwortlichen und nicht an den Auftragsverarbeiter.
[...]
1 BSI-Gesetz vom 14.08.2009 (BGBL. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19.06.2020 (BGBl. I S. 1328) geändert worden ist
2 RICHTLINIE (EU) 2016/1148 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union
3 Schallbruch, CR 2017, 648, 650
4 Schallbruch, CR 2017, 648, 652
5 BT-Drucksache 18/4096, S. 33
6 BSI-Kritisverordnung vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist - Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV)
7 Hornung, Baumgärtel/Scholz, Rn. 39
8 BT-Drucksache 18/4096, S. 27
9 Winter, CR 2020, 576, 578
10 Vgl. auch Hornung, Baumgärtel/Scholz, Rn. 40
11 Beucher / Fromageau, Kipker Cybersecurity, Kap. 12, Rn. 88
12 Winter, CR 2020, 576, 578 mit Verweis auf Ritter/Schulte, CR 2019, 617, 619
13 Winter, CR 2020, 576, 578
14 Winter, CR 2020, 576, 582
15 Winter, CR 2020, 576, 582, https://www.bsi.bund.de/DE/Service/FAQ/Meldepflicht/faq_node.html#faq10502716
16 Winter CR 2020, 576, 582
17 Schallbruch, CR 2017, 798, 800
18 Beucher / Ehlen, Kipker Cybersecurity, Kap. 12, Rn. 146
19 Winter CR 2020, 576, 580
20 Vgl. auch Winter, CR 2020, 576, 579
21 Sowa/Duscha/Schreiber, S. 165
22 Winter, CR 2020, 576, 578
23 Kipker/Scholz, DuD 2021, 40
24 Kipker, https://community.beck.de/print/72786, S. 1
25 Schallbruch, CR 2017, 648, 652
26 Hornung, Baumgärtel/Scholz, Rn. 55
27 Vgl. Winter, CR 2020, 576, 584
28 BSI, Die Lage der IT-Sicherheit in Deutschland, 2020, S. 36 f.
29 VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
30 Taeger, RDV 2020, 3, 6
31 Taeger, RDV 2020, 3, 4
32 Paal, ZD 2020, 119, 120
33 Schallbruch, CR 2017, 798, 803
34 Becker, ZD 2020. 175, 177;
35 Faußner/Leeb; DSB 2020, 196, 197
36 WP250 rev. 01, S. 28ff.
37 aaO
38 Faußner/Leeb; DSB 2019, 196, 196
39 Becker, ZD 2020, 175, 177
40 Jandt, in Kühling/Buchner, Art. 33 DSGVO, Rn. 15
41 Paal, ZD 2020, 119, 120
42 aaO
43 So Faußner/Leeb, DSB 2019, 196, 197
44 Vgl. auch Taeger, RDV 2020, 3, 5
45 Vassilaki, S. 49
46 https://rsw.beck.de/aktuell/daily/meldung/detail/lg-bonn-setzt-millionen-bussgeld-gegen-telekommunikationsdienstleister-nach-datenschutzverstoss-herab (abgerufen: 13.02.2021)
47 Jandt, Kühling/Buchner, Art. 33 DSGVO, Rn. 5
48 Vgl. Paal, ZD 2020, 119, 123, der jedoch zusätzlich auf die Möglichkeit einer internen Meldefrist im Vertrag zwischen Auftragsverarbeiter und Verantwortlichen hinweist.
49 Faußner/Leeb; DSB 2019, 156, 158
50 Faußner/Leeb; DSB 2019, 196, 197
51 Taeger, RDV 2020, 2, 6
52 aaO