FAQ zur Regulierung von Anbietern digitaler Dienste - Fragen zur Meldepflicht
Die Europäische Kommission hat für die Bewertung von Sicherheitsvorfällen verbindliche Kriterien festgelegt. Auszugsweise lauten diese Kriterien wie folgt:
Der von einem Anbieter digitaler Dienste bereitgestellte Dienst war mehr als 5.000.000 Nutzerstunden lang nicht verfügbar, wobei sich der Begriff Nutzerstunde auf die Zahl der Nutzer in der Union bezieht, die während einer Dauer von sechzig Minuten betroffen waren.
Der Sicherheitsvorfall hat zu einem Verlust der Integrität, Authentizität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der entsprechenden Dienste, die über ein Netz- und Informationssystem des Anbieters digitaler Dienste angeboten werden beziehungsweise zugänglich sind, geführt, von dem mehr als 100.000 Nutzer in der Union betroffen sind.
Durch den Sicherheitsvorfall ist eine öffentliche Gefahr oder ein Risiko für die öffentliche Sicherheit entstanden oder es sind Menschen ums Leben gekommen.
Der Sicherheitsvorfall hat für mindestens einen Nutzer in der Union zu einem Sachschaden in Höhe von mehr als 1.000.000 EUR geführt.
Quelle: Artikel 4 der Durchführungsverordnung der EU-Kommission 2018/151 vom 30. Januar 2018
Ein Sicherheitsvorfall hat dann erheblichen Auswirkungen, wenn mindestens eines dieser Kriterien erfüllt ist.
Die Meldung muss unverzüglich nach Erkennung des erheblichen Sicherheitsvorfalls erfolgen, d.h. ohne schuldhaftes Zögern. Für die Erstmeldung gilt dabei der Grundsatz Schnelligkeit vor Vollständigkeit. Damit ist gemeint, dass eine Meldung auch dann erfolgen soll, wenn noch nicht alle geforderten Informationen vorliegen. Fehlende Informationen können dem BSI dann zu einem späteren Zeitpunkt mitgeteilt werden.
Für den Inhalt einer Meldung an das BSI gilt sinngemäß die Regelung für Betreiber Kritischer Infrastrukturen aus § 8b Absatz 4 BSIG. Die auf Kritische Infrastrukturen bezogenen Angaben sind entsprechend durch geeignete Angaben zum digitalen Dienst zu ersetzen.
Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung.
Quelle: § 8b Absatz 4 BSIG
Es existieren derzeit keine Durchführungsrechtsakte der Europäischen Kommission, die etwas anderes bestimmen. Auf der Informationsseite zur Meldepflicht haben wir für Sie eine Vorlage vorbereitet, um Meldungen an das BSI zu erleichtern.
Nein, mit der Meldung an das BSI wird ausschließlich die Pflicht zur Meldung an das BSI erfüllt.
Vorsorglich weisen wir darauf hin, dass die Meldung eines Sicherheitsvorfalls beim BSI nicht die Verpflichtung des Unternehmens ersetzt, bei eventuellen Datenschutzverletzungen die zuständigen Datenschutzbehörden des Landes (Sitz des Unternehmens) entsprechend zu informieren.