+49 221 33 77 23-0
Aktuelles Aktuelles IT-Strafrecht   

Das BSI und die Datenschutzbehörden

   
18. August 2022

Bei Cybervorfällen auf kritische Infrastrukturen besteht immer die Möglichkeit, dass zugleich auch eine Datenschutzverletzung gemäß der DS-GVO vorliegt. Sei es durch die Verschlüsselung oder das Abgreifen von Daten, sei es aber auch durch den Datenverlust aufgrund von Systemüberlastungen bei DDoS-Angriffen. Mitarbeitende des Unternehmens können auch selbst Cybervorfälle auslösen und Datenschutzverletzungen verursachen. Meldet die Kritische Infrastruktur, da sie hierzu verpflichtet ist, den Vorfall an das BSI, soll in Zukunft eine Unterrichtung der zuständigen Datenschutzbehörde bei Hinweisen auf eine Datenschutzverletzung stattfinden.

1.  Meldepflichten nach dem BSIG und der DS-GVO

Sowohl das BSIG als auch die DS-GVO sehen Meldepflichten vor: nach BSIG an das Bundesamt für Sicherheit in der Informationstechnik (BSI), nach DS-GVO an die Landesdatenschutzbehörde. Bei Unterlassen der Meldungen drohen Bußgelder in empfindlicher Höhe. Problematisch ist in diesem Zusammenhang, dass in einem möglichen Straf- oder Bußgeldverfahren gegen den Verantwortlichen wegen eines Verstoßes gegen das BDSG ein Verwertungsverbot nur für den Inhalt von Meldungen nach DS-GVO, nicht aber für Meldungen nach dem BSIG besteht. Eine verfassungsrechtlich höchst bedenkliche Lücke. Eine entsprechende Anwendung würde sich aufgrund des Grundsatzes der Einheit der Rechtsordnung anbieten.

2.  Geplante Unterrichtungspflicht an die Datenschutzbehörde

Im Zuge der EU-Cybersicherheits-Strategie plant die EU-Kommission eine Unterrichtungspflicht der Aufsichtsbehörde (des BSI in Deutschland) an die zuständige Datenschutzbehörde, wenn die Aufsichtsbehörde Hinweise über eine Datenschutzverletzung erlangt, weil die Kritische Infrastruktur entweder die Vorgaben zum Cybersicherheits-Risikomanagement oder zu den Meldepflichten nicht beachtet hat. Der geplante Richtlinienentwurf schließt aber eine doppelte Sanktionierung der Einrichtung wegen des identischen Vorfalls aus.

3.  Geplante Unterrichtungspflicht an die Betroffenen

Wie bereits aus dem Datenschutzrecht bekannt, plant die EU-Kommission zusätzlich auch eine Unterrichtungspflicht an die betroffenen Empfänger der Dienste. Eine Unterrichtung soll v. a. dazu dienen, dass der Betroffene selbst Abhilfemaßnahmen ergreifen kann. Es ist nicht ausgeschlossen, dass hierdurch das Schadensersatzrisiko für Kritische Infrastrukturen erhöht wird, wenn Betroffene Ansprüche auf Art. 82 DS-GVO stützen.

Einen vertieften Einblick zu rechtlichen Aspekten der Cybersicherheit in Krankenhäusern (u. a. zum BSIG) geben Ihnen Rechtsanwältin Diana Nadeborn in der Ausgabe 1/2022 des ICLR und gemeinsam mit Rechtsanwalt Serkan Erdogan im Krankenhaus-JUSTITIAR, Heft 2/2022.


Kontaktieren Sie uns:

 Diana Nadeborn Diana Nadeborn  Serkan Erdogan Serkan Erdogan