Gesetze und rechtliche Grundlagen bei Cyberattacken
Die Rechtsprechung vertritt bei Cybervorfällen eine klare Position: wer beispielsweise durch eine mangelhafte Sicherung seines Datenbestands eine Schädigung eines Dritten begünstigt haftet mit.
Gesetzliche Grundlagen bei Haftungsansprüchen gegenüber Dritten. Dies sind i.d.R. die betroffenen Dateninhaber sowie auch Behörden.
- Bundesdatenschutzgesetz und die Datenschutz-Grundverordnung wurden überarbeitet und treten ab dem 25. Mai 2018 in Kraft
- § 109 a Abs. 1 Telekommunikationsgesetz -technische Schutzmaßnahmen
- § 15 a Telemediengesetz - Nutzungsdaten
- § 32 DSGVO - Anforderungen zur Datensicherheit
- weitere wichtige Informationen zur Datengrundverordnung erhalten Sie unter datenschutz.org
Gemäß Artikel 24 DSGVO müssen sie nachweisen, dass geeignete technische und organisatorische Maßnahmen durchgeführt wurden damit die Verarbeitung der Daten ordnungsgemäß erfolgt. Artikel 40 - Verhaltensregeln sowie der Artikel 42 - Zertifizierungsverfahren müssen dabei eingehalten werden
Sofern ein Datenverstoß vorliegt, besteht auch die Möglichkeit Bußgelder zu erheben. Bei nicht rechtzeitiger, unvollständiger, verspäteter oder komplett unterlassener Information der relevanten Behörden (siehe Artikel 33 und 65 DSGVO) kommen folgende rechtliche Grundlagen zum Tragen:
- § 43 Bundesdatenschutzgesetz - Bußgeldvorschriften
- § 42 Bundesdatenschutzgesetz - Strafvorschriften
- Nach Artikel 83 der Datenschutzverordnung können Geldbußen von bis zu € 20.0 Mio. oder im Fall eines Unternehmens bis zu 4 % des gesamten erzielten Jahresumsatzes des Vorjahres verhängt werden. Hierzu gehören vor allem Verstöße gegen Artikel 32 - Sicherheit und Verarbeitung.
Meldepflichten
Eine der wohl erheblichsten Neuerungen sind die deutlich verschärften Meldepflichten, sowohl an die Aufsichtsbehörden als auch an die von der Datenschutzverletzung betroffenen Personen.
- Die Meldung an die Aussichtsbehörde (Bundesbeauftragte) muss innerhalb 72 Stunden (Artikel 33 DSGVO und § 65 BDSG).
- Die Benachrichtigung der betroffenen Personen muss aber nur dann efolgen, wenn ein hohes Risiko für deren Rechte und Freiheit besteht (Artikel 34 DSGVO).