Wie funktioniert die GDPR-Benachrichtigung über Datenschutzverletzungen?

Die Allgemeine Datenschutzverordnung der Europäischen Union (GDPR) verändert grundlegend die Art und Weise, wie Unternehmen den Umgang mit Kundendaten handhaben müssen. Eine der größten Veränderungen ist die neue 72-Stunden-Benachrichtigungspflicht bei Datenschutzverletzungen in der GDPR, die die Geschwindigkeit, mit der Unternehmen Behörden und betroffene Kunden im Falle einer Datenschutzverletzung benachrichtigen müssen, völlig verändert.

Der Chief Trust Officer und Datenschutzbeauftragte von Mimecast, Marc French , hat sich kürzlich mit Mike Perkowski von TechTarget zusammengesetzt, um über die GDPR zu sprechen. Im Folgenden finden Sie eine Abschrift ihrer Diskussion über die 72-Stunden-Benachrichtigungspflicht für Datenschutzverletzungen der GDPR.

Mike Perkowski: Erzählen Sie uns ein wenig darüber, wer im Falle einer Datenschutzverletzung benachrichtigt werden muss und was das für Unternehmen bedeutet.

Marc French: Es handelt sich also um einen grundlegenden Wandel in der Art und Weise, wie man bisher auf Sicherheitsverletzungen reagiert hat. In der Vergangenheit ging man bei einer typischen Sicherheitsverletzung davon aus, dass in Ihrem Unternehmen etwas schief läuft, und führte eine Untersuchung durch. Zu dem Zeitpunkt, an dem Sie erkennen, dass es sich wahrscheinlich um einen Vorfall handelt und ich die Leute informieren muss, beginnen Sie mit der Benachrichtigung der Behörden. Die Uhr beginnt also, wenn Sie den Vorfall tatsächlich bestätigen.

Mit GDPR ist es jetzt ganz anders. Es ist der Zeitpunkt, an dem man sich dessen bewusst wird, und dann beginnt die Uhr zu laufen. Wenn Sie also an eine langwierige Untersuchung denken, kommt etwas herein, Sie sehen es sich an und sagen: "Hmm, das könnte schlimm sein, ich setze meine Analysten darauf an", dann kann es zwei oder drei Wochen dauern, bis Sie tatsächlich bestätigen, dass es einen Verstoß gegeben hat. In dem Moment, in dem die Meldung eingeht und Sie sagen: "Hm, irgendetwas scheint nicht zu stimmen", beginnt die Uhr zu laufen. Sie haben 72 Stunden Zeit, um die Meldung vorzunehmen.

Die Meldung erfolgt auf zweierlei Weise. Zum einen müssen Sie die lokale Aufsichtsbehörde des Landes, in dem Sie tätig sind, benachrichtigen. Sie müssen also beispielsweise das UK's Information Commissioner's Office benachrichtigen, wenn es in London passiert, oder die niederländische Datenschutzbehörde , sobald die Frist von 72 Stunden abgelaufen ist. Danach setzen Sie Ihre Ermittlungen fort, und je nach Art der Ermittlungen müssen Sie nun möglicherweise die einzelnen Verbraucher oder Kunden benachrichtigen, sobald Sie den Vorfall bestätigt haben. Es ist also eine Art zweistufiger Prozess.

Es wird sogar noch etwas komplizierter, wenn Sie nicht der eigentliche Verantwortliche für die Daten sind, sondern die Daten einer anderen Person verarbeiten, denn dann haben Sie beide zusammen 72 Stunden Zeit. Wenn ich also der Auftragsverarbeiter für Sie bin, Mike, und ich nehme Ihre Daten und führe irgendeine Aktion damit durch, und ich finde ein Problem, dann habe ich keine 72 Stunden Zeit, und ich gebe es an Sie weiter, weil Sie die Meldung machen werden, und Sie haben 72 Stunden Zeit. Zusammen haben wir beide 72 Stunden Zeit, was bedeutet, dass wir als Verarbeiter eine engere Verbindung mit allen haben, die uns ihre Daten zur Verfügung stellen, weil wir jetzt bei der Meldung von Sicherheitsverletzungen zusammenarbeiten müssen.

Es ist nicht mehr so: "Ich mache eine Meldung, jetzt machst du es." Wir sind jetzt eine viel engere Partnerschaft für diese Zukunft.