Meldepflichten nach DSGVO, ITSiG bzw. NIS-Richtlinie: Vorgaben und Prüfung

Abstract

Menschen machen Fehler. Maschinen machen Fehler. Nolens volens kommt es in jeder Organisation irgendwann zu Sicherheits- oder Datenschutzvorfällen. In solchen Fällen ist derjenige im Vorteil, der vorbereitet ist. Eine Herausforderung liegt dabei auch in der Erfüllung der Pflichten zur behördlichen Meldung des Vorfalls. Zu den bereits bestehenden Meldepflichten über IT-Störungen, u. a. aus dem BSIG, TKG und aus Spezialgesetzen, ist jüngst die Pflicht zur Meldung der Verletzung des Schutzes personenbezogener Daten hinzugekommen. Angesichts der kurzen vorgeschriebenen Reaktionszeiten ist eine gemeinsame Berücksichtigung der verschiedenen Meldepflichten im Incident- sowie Notfallmanagement nahezu zwingend. Im vorliegenden Kapitel werden Vorgaben zu den Meldepflichten aus dem BSIG und der DSGVO zusammengestellt und Ansätze zur Prüfung der Umsetzung dieser Meldepflichten durch die Revision entwickelt.