Datenschutzpannen: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „Bereich: Allgemeines Prozess: Datenschutz Teilprozess: Umgang mit Datenschutzpannen '''1. Schritt: Datenschutzpannen umgehend bemerken''' Wie sc…“) |
Keine Bearbeitungszusammenfassung |
||
| (Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
Bereich: [[Allgemeines]] Prozess: [[Datenschutz]] Teilprozess: Umgang mit Datenschutzpannen '''1. Schritt: Datenschutzpannen umgehend bemerken''' Wie schnell würde ein Datenleck oder Datenverlust auffallen? Um einen möglichen Schaden in Grenzen zu halten, müssen Vorfälle möglichst sofort entdeckt und Gegenmaßnahmen ergriffen werden. Alle Mitarbeiter sollten für Auffälligkeiten sensibilisiert sein. Welche technischen Vorkehrungen der Informationssicherheit wurden getroffen? Werden ungewöhnliche Ereignisse über einen unerlaubten Zugriff auf das Dateisystem automatisch registriert? Wie werden solche Ereignisse behandelt? | |||
Bereich: [[Allgemeines|Allgemeines]] | |||
Prozess: [[Datenschutz|Datenschutz]] | |||
Teilprozess: Umgang mit Datenschutzpannen | |||
'''1. Schritt: Datenschutzpannen umgehend bemerken''' | |||
Wie schnell würde ein Datenleck oder Datenverlust auffallen? Um einen möglichen Schaden in Grenzen zu halten, müssen Vorfälle möglichst sofort entdeckt und Gegenmaßnahmen ergriffen werden. Alle Mitarbeiter sollten für Auffälligkeiten sensibilisiert sein. Welche technischen Vorkehrungen der Informationssicherheit wurden getroffen? Werden ungewöhnliche Ereignisse über einen unerlaubten Zugriff auf das Dateisystem automatisch registriert? Wie werden solche Ereignisse behandelt? | |||
*Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen? | *Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen? | ||
*Inwieweit erfolgt eine regelmäßige Kontrolle zentraler Server? | *Inwieweit erfolgt eine regelmäßige Kontrolle zentraler Server? | ||
| Zeile 5: | Zeile 15: | ||
*Wie sind die Meldewege für Datenpannen definiert und sind sie allen Mitarbeitern bekannt? | *Wie sind die Meldewege für Datenpannen definiert und sind sie allen Mitarbeitern bekannt? | ||
*Gibt es ein zentrales Regelungsdokument zum Datenschutznotfall? | *Gibt es ein zentrales Regelungsdokument zum Datenschutznotfall? | ||
'''2. Schritt: Vorfallreaktionsplan (Incident-Response-Management)''' Um angemessen auf einen Vorfall reagieren zu können, muss erfasst werden, was passiert ist. Hierfür sollten eindeutige Zuständigkeiten definiert sein. | |||
'''2. Schritt: Vorfallreaktionsplan (Incident-Response-Management)''' | |||
Um angemessen auf einen Vorfall reagieren zu können, muss erfasst werden, was passiert ist. Hierfür sollten eindeutige Zuständigkeiten definiert sein. | |||
*unsere Webseite wurde gehackt: Wer ist rund um die Uhr erreichbar, der die Sicherheitslücke schließt und prüft, auf welche Daten zugegriffen wurde? Sind auch alle Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen? | *unsere Webseite wurde gehackt: Wer ist rund um die Uhr erreichbar, der die Sicherheitslücke schließt und prüft, auf welche Daten zugegriffen wurde? Sind auch alle Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen? | ||
*Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten. | *Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten. | ||
*Einbindung des Datenschutzbeauftragen. | *Einbindung des Datenschutzbeauftragen. | ||
Ziel ist es, auf eine Störung unmittelbar zu reagieren. Gemäß Art. 33 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden. Von einer Meldung kann nur dann abgesehen werden, wenn die Verletzung "voraussichtlich nicht zu einem Risiko für die Rechte und Freitheiten natürlicher Personen" führt. Die Prognoseentscheidung trifft der Verantwortliche (Datenschutzbeauftragte, Geschäftsleitung). Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Riskio für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen deren Daten Gegenstand des Notfalls waren zu benachrichtigen. '''3. Dokumentieren des Notfalls und Wiederherstellung des Normalbetriebes''' Auch wenn die durchgeführte Risikobewertung nicht in einer Meldung des Vorfalls an die zuständige Aufsichtbehörde endet, muss der erkannte Vorfall nach Art. 33 Abs. 5 DSGVO entsprechend dokumentiert werden. Dies dient der Information der Aufsichtbehörde im Falle einer Prüfung, was Grundlage dieser entscheidung war. | |||
Zudem sollten Maßnahmen ergriffen werden, damit ein solcher Vorfall nicht erneut auftritt (ggf. weitere Sicherheitsmaßnahmen, Schulung des Personals, etc.). | Ziel ist es, auf eine Störung unmittelbar zu reagieren. Gemäß Art. 33 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden. Von einer Meldung kann nur dann abgesehen werden, wenn die Verletzung "voraussichtlich nicht zu einem Risiko für die Rechte und Freitheiten natürlicher Personen" führt. Die Prognoseentscheidung trifft der Verantwortliche (Datenschutzbeauftragte, Geschäftsleitung). Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Riskio für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen deren Daten Gegenstand des Notfalls waren zu benachrichtigen. | ||
<span style="font-size:smaller;">(Quelle: www.acivemind.de)</span> | |||
'''3. Dokumentieren des Notfalls und Wiederherstellung des Normalbetriebes''' | |||
Auch wenn die durchgeführte Risikobewertung nicht in einer Meldung des Vorfalls an die zuständige Aufsichtbehörde endet, muss der erkannte Vorfall nach Art. 33 Abs. 5 DSGVO entsprechend dokumentiert werden. Dies dient der Information der Aufsichtbehörde im Falle einer Prüfung, was Grundlage dieser entscheidung war. Zudem sollten Maßnahmen ergriffen werden, damit ein solcher Vorfall nicht erneut auftritt (ggf. weitere Sicherheitsmaßnahmen, Schulung des Personals, etc.). <span style="font-size:smaller;">(Quelle: www.acivemind.de)</span> | |||
Was ist zu dokumentieren? | |||
Um für einen Dritten (die Aufsichtsbehörde) die getroffenen Entscheidungen nachvollziehbar zu dokumentieren und zu begründen, sind folgende Fragestellungen, welche auch bei einer Meldung berücksichtigt werden müssen, zu beantworten. Dies sind die folgenden: | |||
#Zeitlicher Ablauf der Datenpanne | |||
#Beschreibung der Datenpanne | |||
#Ausmaß der Datenpanne | |||
#Folgen für betroffene Personen | |||
#Maßnahmen zur Minimierung des Schadens | |||
#Risikoanalyse | |||
Darüber hinaus wäre dann noch die Entscheidung, über den Entfall der Meldepflicht inklusive einer ausführlichen Begründung zu dokumentieren. Aus den Informationen bezüglich Ausmaß, Folgen und Risikoanalyse muss zwingend hervorgehen, weshalb es sich nur um ein geringes Risiko für die betroffenen Personen handelt. | |||
Eine Benachrichtigungspflicht gegenüber den betroffenen Personen besteht nur bei einem voraussichtlich hohen Risiko für diese. Sofern nicht an die Aufsicht gemeldet wird, brauchen die betroffenen Personen nicht benachrichtigt zu werden. Ansonsten (bei Meldung an Aufsicht) muss das Risiko überprüft werden. | |||
Auch jede Nicht-Meldung einer Datenschutzpanne wird mit nicht zu unterschätzendem Aufwand in Bezug auf die Dokumentationspflichten verbunden sein. Aufgrund der zu erfüllenden zeitlichen Komponente (72 Stunden) sind die Rahmenbedingungen sowie der Ablaufplan frühzeitig im Unternehmen festzulegen und zu kommunizieren. | |||
Aktuelle Version vom 25. Oktober 2020, 18:45 Uhr
Bereich: Allgemeines
Prozess: Datenschutz
Teilprozess: Umgang mit Datenschutzpannen
1. Schritt: Datenschutzpannen umgehend bemerken
Wie schnell würde ein Datenleck oder Datenverlust auffallen? Um einen möglichen Schaden in Grenzen zu halten, müssen Vorfälle möglichst sofort entdeckt und Gegenmaßnahmen ergriffen werden. Alle Mitarbeiter sollten für Auffälligkeiten sensibilisiert sein. Welche technischen Vorkehrungen der Informationssicherheit wurden getroffen? Werden ungewöhnliche Ereignisse über einen unerlaubten Zugriff auf das Dateisystem automatisch registriert? Wie werden solche Ereignisse behandelt?
- Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen?
- Inwieweit erfolgt eine regelmäßige Kontrolle zentraler Server?
- Sind die Mitarbeiter hinreichend sensibilisiert, so dass diese in der Lage sind Datenpannen zu bemerken?
- Wie sind die Meldewege für Datenpannen definiert und sind sie allen Mitarbeitern bekannt?
- Gibt es ein zentrales Regelungsdokument zum Datenschutznotfall?
2. Schritt: Vorfallreaktionsplan (Incident-Response-Management)
Um angemessen auf einen Vorfall reagieren zu können, muss erfasst werden, was passiert ist. Hierfür sollten eindeutige Zuständigkeiten definiert sein.
- unsere Webseite wurde gehackt: Wer ist rund um die Uhr erreichbar, der die Sicherheitslücke schließt und prüft, auf welche Daten zugegriffen wurde? Sind auch alle Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen?
- Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten.
- Einbindung des Datenschutzbeauftragen.
Ziel ist es, auf eine Störung unmittelbar zu reagieren. Gemäß Art. 33 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden. Von einer Meldung kann nur dann abgesehen werden, wenn die Verletzung "voraussichtlich nicht zu einem Risiko für die Rechte und Freitheiten natürlicher Personen" führt. Die Prognoseentscheidung trifft der Verantwortliche (Datenschutzbeauftragte, Geschäftsleitung). Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Riskio für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen deren Daten Gegenstand des Notfalls waren zu benachrichtigen.
3. Dokumentieren des Notfalls und Wiederherstellung des Normalbetriebes
Auch wenn die durchgeführte Risikobewertung nicht in einer Meldung des Vorfalls an die zuständige Aufsichtbehörde endet, muss der erkannte Vorfall nach Art. 33 Abs. 5 DSGVO entsprechend dokumentiert werden. Dies dient der Information der Aufsichtbehörde im Falle einer Prüfung, was Grundlage dieser entscheidung war. Zudem sollten Maßnahmen ergriffen werden, damit ein solcher Vorfall nicht erneut auftritt (ggf. weitere Sicherheitsmaßnahmen, Schulung des Personals, etc.). (Quelle: www.acivemind.de)
Was ist zu dokumentieren?
Um für einen Dritten (die Aufsichtsbehörde) die getroffenen Entscheidungen nachvollziehbar zu dokumentieren und zu begründen, sind folgende Fragestellungen, welche auch bei einer Meldung berücksichtigt werden müssen, zu beantworten. Dies sind die folgenden:
- Zeitlicher Ablauf der Datenpanne
- Beschreibung der Datenpanne
- Ausmaß der Datenpanne
- Folgen für betroffene Personen
- Maßnahmen zur Minimierung des Schadens
- Risikoanalyse
Darüber hinaus wäre dann noch die Entscheidung, über den Entfall der Meldepflicht inklusive einer ausführlichen Begründung zu dokumentieren. Aus den Informationen bezüglich Ausmaß, Folgen und Risikoanalyse muss zwingend hervorgehen, weshalb es sich nur um ein geringes Risiko für die betroffenen Personen handelt.
Eine Benachrichtigungspflicht gegenüber den betroffenen Personen besteht nur bei einem voraussichtlich hohen Risiko für diese. Sofern nicht an die Aufsicht gemeldet wird, brauchen die betroffenen Personen nicht benachrichtigt zu werden. Ansonsten (bei Meldung an Aufsicht) muss das Risiko überprüft werden.
Auch jede Nicht-Meldung einer Datenschutzpanne wird mit nicht zu unterschätzendem Aufwand in Bezug auf die Dokumentationspflichten verbunden sein. Aufgrund der zu erfüllenden zeitlichen Komponente (72 Stunden) sind die Rahmenbedingungen sowie der Ablaufplan frühzeitig im Unternehmen festzulegen und zu kommunizieren.