Cybersicherheit | IT-Schutz | Datenschutz | Interview
Gerade in Zeiten einer fortschreitenden Digitalisierung und komplexeren Vernetzung sollten vor allem Unternehmen, die personenbezogene Daten verarbeiten, das Thema Datenschutz ganz oben auf die Prioritätenliste setzen. Doch nach wie vor stellt DSGVO-konformes Arbeiten viele Unternehmen vor große Herausforderungen. Ein Verstoß oder eine Nichtbeachtung der DSGVO-Verordnung kann aber hohe Bußgelder nach sich ziehen.
Datenschutz-Expertin Annika Fuchs-Langanke, Rechtsanwältin und Inhaberin der Anwaltskanzlei Fuchs & Coll. Rechtsanwaltsgesellschaft mbH in Potsdam, erklärt im Gespräch mit Perseus, was besonders zu beachten ist
Die Einführung der DSGVO in Deutschland liegt nun gut zwei Jahre zurück. Gibt es eine generelle Einschätzung, wie Unternehmen diese angenommen und umgesetzt haben?
Eine pauschale Antwort auf diese Frage gibt es mit Sicherheit nicht. Vor allem große Unternehmen haben zum Teil erhebliche Anstrengungen unternommen, um „DSGVO-konform“ zu werden. Doch auch hier dürfte bei einigen Unternehmen noch an der einen oder anderen Stelle Nachholbedarf bestehen – ich denke hier beispielsweise an das Thema „Löschen“.
Bei mittelständischen und vor allem kleinen Unternehmen dürfte das Bild deutlich differenzierter aussehen. Auch hier gibt es zahlreiche Unternehmen, die sich Mühe gegeben haben und inzwischen auf einem guten Stand sind. Daneben gibt es aber leider auch Unternehmen, die in Sachen DSGVO noch relativ wenig gemacht haben. Hier besteht mit Sicherheit noch Umsetzungsbedarf. Pauschalisieren lässt sich das aber nicht.
Gehen dabei Datenschutz und Cybersicherheit Hand in Hand, oder stehen sie sich gegenseitig im Weg?
Datenschutz und Cybersicherheit gehen mit Sicherheit Hand in Hand. So verlangt die DSGVO, dass Unternehmen geeignete Maßnahmen treffen, um die von ihnen verarbeiteten personenbezogenen Daten zu schützen. Gerade in Zeiten, in denen personenbezogene Daten überwiegend digital verarbeitet werden, spielen Maßnahmen wie Firewalls, Verschlüsselungsmechanismen, Patchmanagement und Backups eine immer wichtigere Rolle. Man muss hier nur an das Thema „Homeoffice“ denken, dass immer relevanter wird und ohne Maßnahmen zur Cybersicherheit nicht denkbar wäre.
Bezogen auf den Datenschutz: Welche Arten von Cyberangriffen sind besonders gefährlich? Und welche Daten sind für Cyberkriminelle besonders interessant?
Natürlich sind alle Angriffe besonders gefährlich, bei denen personenbezogene Daten betroffen sind, und solche Angriffe, die zu Vernichtung, Verlust, Veränderung und vor allem unbefugter Offenlegung führen können. Cyberkriminelle dürften es dabei unter anderem auf Bankdaten abgesehen haben. Das muss aber nicht immer der Fall sein. So können es Cyberkriminelle beispielsweise auch auf Zugangsdaten bzw. Passwörter abgesehen haben und hierdurch erheblichen Schaden anrichten.
Ein Unternehmen ist Opfer eines Cyberangriffs geworden. Wann muss ein Datenschutzbeauftragter konsultiert werden, und welche Schritte werden durch diesen genau ausgeführt?
Diese Frage lässt sich nicht pauschal beantworten. Hier kommt es natürlich immer darauf an, wie sich ein Unternehmen organisiert hat, ob es überhaupt über einen internen oder externen Datenschutzbeauftragten verfügt. Auch wenn es gerade für kleinere Unternehmen mit Sicherheit Sinn macht, einen Datenschutzbeauftragten zu haben, ist dieser nicht immer gesetzlich vorgeschrieben.
Jedenfalls sollten Unternehmen – egal, ob klein oder groß – wissen, was im Falle eines Cyberangriffs bzw. einer hieraus sehr wahrscheinlich resultierenden Datenpanne zu tun ist, und einen entsprechenden Prozess hierfür vorsehen.
Aus datenschutzrechtlicher Sicht kommt es hierbei vor allem darauf an, zunächst einmal Kenntnis vom Cyberangriff zu erlangen – und anschließend keine Zeit zu verlieren. Es müssen natürlich unverzüglich Abhilfemaßnahmen ergriffen werden. Zudem muss ermittelt werden, ob die Datenpanne voraussichtlich zu einem Risiko oder sogar hohen Risiko für die Betroffenen führt. Gegebenenfalls muss die Aufsichtsbehörde informiert und die Betroffenen benachrichtigt werden. Selbstverständlich sind die Datenpanne und die getroffenen Maßnahmen auch entsprechend zu dokumentieren.
Gesetzt den Fall, die Aufsichtsbehörde muss informiert werden, gibt es gesetzliche Vorgaben, bis wann diese Meldung erfolgt sein muss?
Die gibt es. Die DSGVO verlangt, dass Datenpannen, die voraussichtlich zu einem Risiko für die Betroffenen führen, unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde zu melden sind.
Was sind mögliche Konsequenzen, wenn diese Meldepflicht ignoriert wird?
Zunächst einmal kann ein Verstoß gegen die Meldepflicht zu einer Geldbuße von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des Vorjahresumsatzes führen. Auch wenn die Aufsichtsbehörden hier einen Bußgeldrahmen haben, also nicht zwingend ein Bußgeld in dieser Größenordnung verhängen müssen, sollte man das Risiko eines empfindlichen Bußgelds auf alle Fälle ernst nehmen.
Aber auch Schadensersatzansprüche und natürlich ein erheblicher Imageverlust können nicht ausgeschlossen werden, wenn versucht wird, eine Datenpanne unter den Teppich zu kehren.
Was Sie alles zum Thema Datensicherheit wissen sollten, lesen Sie hier.
Wie Sie sich im Cybernotfall richtig verhalten, können Sie in unserem Leitfaden „Was tun im Cybernotfall“ nachlesen.
Welche Vergehen mit Bußgeldern belegt werden, und wie hoch diese ausfallen können, lesen Sie in einem Artikel der Süddeutschen Zeitung.
Cyber security | IT protection | Data protection | Interview
In times of advancing digitalisation and increasingly complex networking, companies that process personal data in particular should place data protection at the top of their list of priorities. However, working in compliance with the GDPR continues to pose major challenges for many companies. Violating or failing to comply with the GDPR can result in heavy fines.
Data protection expert Annika Fuchs-Langanke, lawyer and owner of the law firm Fuchs & Coll. Rechtsanwaltsgesellschaft mbH in Potsdam, explains to Perseus what needs to be taken into account in particular.
It has now been a good two years since the GDPR was introduced in Germany. Is there a general assessment of how companies have accepted and implemented it?
There is certainly no blanket answer to this question. Large companies in particular have made considerable efforts to become ‘GDPR-compliant’. However, even here, some companies still have some catching up to do in one area or another – I am thinking here, for example, of the issue of ‘deletion’.
The picture is likely to be much more nuanced for medium-sized and, above all, small companies. Here, too, there are numerous companies that have made an effort and are now in a good position. Unfortunately, however, there are also companies that have done relatively little in terms of GDPR. There is certainly still a need for implementation here. But it is not possible to generalise.
Do data protection and cyber security go hand in hand, or do they stand in each other’s way?
Data protection and cyber security certainly go hand in hand. The GDPR requires companies to take appropriate measures to protect the personal data they process. Especially in times when personal data is predominantly processed digitally, measures such as firewalls, encryption mechanisms, patch management and backups are playing an increasingly important role. Just think of the topic of ‘working from home,’ which is becoming increasingly relevant and would be unthinkable without cybersecurity measures.
In terms of data protection, what types of cyber attacks are particularly dangerous? And what data is particularly interesting to cybercriminals?
Of course, all attacks involving personal data are particularly dangerous, as are those that can lead to destruction, loss, alteration and, above all, unauthorised disclosure. Cybercriminals are likely to target bank details, among other things. However, this is not always the case. Cybercriminals may also target access data or passwords, for example, and cause considerable damage in this way.
A company has been the victim of a cyber attack. When must a data protection officer be consulted, and what steps will they take?
There is no general answer to this question. It always depends on how a company is organised and whether it has an internal or external data protection officer. Although it certainly makes sense for smaller companies to have a data protection officer, this is not always required by law.
In any case, companies – regardless of their size – should know what to do in the event of a cyber attack or a data breach that is very likely to result from it, and should have a corresponding process in place.
From a data protection perspective, the most important thing is to first become aware of the cyber attack – and then not to waste any time.
Remedial measures must, of course, be taken immediately. In addition, it must be determined whether the data breach is likely to result in a risk or even a high risk for those affected. If necessary, the supervisory authority must be informed and those affected must be notified. Naturally, the data breach and the measures taken must also be documented accordingly.
If the supervisory authority must be informed, are there legal requirements as to when this notification must be made?
Yes, there are. The GDPR requires that data breaches that are likely to pose a risk to those affected must be reported to the supervisory authority immediately and, if possible, within 72 hours of becoming known.
What are the possible consequences of ignoring this reporting obligation?
First of all, a breach of the reporting obligation can result in a fine of up to 10 million euros or up to 2 per cent of the previous year’s turnover. Even though the supervisory authorities have a range of fines at their disposal and are not obliged to impose a fine of this magnitude, the risk of a substantial fine should be taken seriously in any case.
Furthermore, claims for damages and, of course, considerable damage to your image cannot be ruled out if you attempt to sweep a data breach under the carpet.
You can read everything you need to know about data security here.
You can find out how to respond correctly in a cyber emergency in our guide ‘What to do in a cyber emergency’.
You can read about which offences are subject to fines and how high these can be in an article in the Süddeutsche Zeitung.