Datenschutzpannen: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „Bereich: Allgemeines Prozess: Datenschutz Teilprozess: Umgang mit Datenschutzpannen '''1. Schritt: Datenschutzpannen umgehend bemerken''' Wie sc…“) |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
Bereich: [[Allgemeines]] Prozess: [[Datenschutz]] Teilprozess: Umgang mit Datenschutzpannen '''1. Schritt: Datenschutzpannen umgehend bemerken''' Wie schnell würde ein Datenleck oder Datenverlust auffallen? Um einen möglichen Schaden in Grenzen zu halten, müssen Vorfälle möglichst sofort entdeckt und Gegenmaßnahmen ergriffen werden. Alle Mitarbeiter sollten für Auffälligkeiten sensibilisiert sein. Welche technischen Vorkehrungen der Informationssicherheit wurden getroffen? Werden ungewöhnliche Ereignisse über einen unerlaubten Zugriff auf das Dateisystem automatisch registriert? Wie werden solche Ereignisse behandelt? | |||
Bereich: [[Allgemeines|Allgemeines]] | |||
Prozess: [[Datenschutz|Datenschutz]] | |||
Teilprozess: Umgang mit Datenschutzpannen | |||
'''1. Schritt: Datenschutzpannen umgehend bemerken''' | |||
Wie schnell würde ein Datenleck oder Datenverlust auffallen? Um einen möglichen Schaden in Grenzen zu halten, müssen Vorfälle möglichst sofort entdeckt und Gegenmaßnahmen ergriffen werden. Alle Mitarbeiter sollten für Auffälligkeiten sensibilisiert sein. Welche technischen Vorkehrungen der Informationssicherheit wurden getroffen? Werden ungewöhnliche Ereignisse über einen unerlaubten Zugriff auf das Dateisystem automatisch registriert? Wie werden solche Ereignisse behandelt? | |||
*Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen? | *Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen? | ||
*Inwieweit erfolgt eine regelmäßige Kontrolle zentraler Server? | *Inwieweit erfolgt eine regelmäßige Kontrolle zentraler Server? | ||
| Zeile 5: | Zeile 15: | ||
*Wie sind die Meldewege für Datenpannen definiert und sind sie allen Mitarbeitern bekannt? | *Wie sind die Meldewege für Datenpannen definiert und sind sie allen Mitarbeitern bekannt? | ||
*Gibt es ein zentrales Regelungsdokument zum Datenschutznotfall? | *Gibt es ein zentrales Regelungsdokument zum Datenschutznotfall? | ||
'''2. Schritt: Vorfallreaktionsplan (Incident-Response-Management)''' Um angemessen auf einen Vorfall reagieren zu können, muss erfasst werden, was passiert ist. Hierfür sollten eindeutige Zuständigkeiten definiert sein. | |||
'''2. Schritt: Vorfallreaktionsplan (Incident-Response-Management)''' | |||
Um angemessen auf einen Vorfall reagieren zu können, muss erfasst werden, was passiert ist. Hierfür sollten eindeutige Zuständigkeiten definiert sein. | |||
*unsere Webseite wurde gehackt: Wer ist rund um die Uhr erreichbar, der die Sicherheitslücke schließt und prüft, auf welche Daten zugegriffen wurde? Sind auch alle Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen? | *unsere Webseite wurde gehackt: Wer ist rund um die Uhr erreichbar, der die Sicherheitslücke schließt und prüft, auf welche Daten zugegriffen wurde? Sind auch alle Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen? | ||
*Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten. | *Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten. | ||
*Einbindung des Datenschutzbeauftragen. | *Einbindung des Datenschutzbeauftragen. | ||
Ziel ist es, auf eine Störung unmittelbar zu reagieren. Gemäß Art. 33 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden. Von einer Meldung kann nur dann abgesehen werden, wenn die Verletzung "voraussichtlich nicht zu einem Risiko für die Rechte und Freitheiten natürlicher Personen" führt. Die Prognoseentscheidung trifft der Verantwortliche (Datenschutzbeauftragte, Geschäftsleitung). Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Riskio für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen deren Daten Gegenstand des Notfalls waren zu benachrichtigen. '''3. Dokumentieren des Notfalls und Wiederherstellung des Normalbetriebes''' Auch wenn die durchgeführte Risikobewertung nicht in einer Meldung des Vorfalls an die zuständige Aufsichtbehörde endet, muss der erkannte Vorfall nach Art. 33 Abs. 5 DSGVO entsprechend dokumentiert werden. Dies dient der Information der Aufsichtbehörde im Falle einer Prüfung, was Grundlage dieser entscheidung war. | |||
Zudem sollten Maßnahmen ergriffen werden, damit ein solcher Vorfall nicht erneut auftritt (ggf. weitere Sicherheitsmaßnahmen, Schulung des Personals, etc.). | Ziel ist es, auf eine Störung unmittelbar zu reagieren. Gemäß Art. 33 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden. Von einer Meldung kann nur dann abgesehen werden, wenn die Verletzung "voraussichtlich nicht zu einem Risiko für die Rechte und Freitheiten natürlicher Personen" führt. Die Prognoseentscheidung trifft der Verantwortliche (Datenschutzbeauftragte, Geschäftsleitung). Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Riskio für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen deren Daten Gegenstand des Notfalls waren zu benachrichtigen. | ||
<span style="font-size:smaller;">(Quelle: www.acivemind.de)</span> | |||
'''3. Dokumentieren des Notfalls und Wiederherstellung des Normalbetriebes''' | |||
Auch wenn die durchgeführte Risikobewertung nicht in einer Meldung des Vorfalls an die zuständige Aufsichtbehörde endet, muss der erkannte Vorfall nach Art. 33 Abs. 5 DSGVO entsprechend dokumentiert werden. Dies dient der Information der Aufsichtbehörde im Falle einer Prüfung, was Grundlage dieser entscheidung war. Zudem sollten Maßnahmen ergriffen werden, damit ein solcher Vorfall nicht erneut auftritt (ggf. weitere Sicherheitsmaßnahmen, Schulung des Personals, etc.). <span style="font-size:smaller;">(Quelle: www.acivemind.de)</span> | |||
Version vom 2. Oktober 2020, 10:53 Uhr
Bereich: Allgemeines
Prozess: Datenschutz
Teilprozess: Umgang mit Datenschutzpannen
1. Schritt: Datenschutzpannen umgehend bemerken
Wie schnell würde ein Datenleck oder Datenverlust auffallen? Um einen möglichen Schaden in Grenzen zu halten, müssen Vorfälle möglichst sofort entdeckt und Gegenmaßnahmen ergriffen werden. Alle Mitarbeiter sollten für Auffälligkeiten sensibilisiert sein. Welche technischen Vorkehrungen der Informationssicherheit wurden getroffen? Werden ungewöhnliche Ereignisse über einen unerlaubten Zugriff auf das Dateisystem automatisch registriert? Wie werden solche Ereignisse behandelt?
- Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen?
- Inwieweit erfolgt eine regelmäßige Kontrolle zentraler Server?
- Sind die Mitarbeiter hinreichend sensibilisiert, so dass diese in der Lage sind Datenpannen zu bemerken?
- Wie sind die Meldewege für Datenpannen definiert und sind sie allen Mitarbeitern bekannt?
- Gibt es ein zentrales Regelungsdokument zum Datenschutznotfall?
2. Schritt: Vorfallreaktionsplan (Incident-Response-Management)
Um angemessen auf einen Vorfall reagieren zu können, muss erfasst werden, was passiert ist. Hierfür sollten eindeutige Zuständigkeiten definiert sein.
- unsere Webseite wurde gehackt: Wer ist rund um die Uhr erreichbar, der die Sicherheitslücke schließt und prüft, auf welche Daten zugegriffen wurde? Sind auch alle Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen?
- Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten.
- Einbindung des Datenschutzbeauftragen.
Ziel ist es, auf eine Störung unmittelbar zu reagieren. Gemäß Art. 33 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden. Von einer Meldung kann nur dann abgesehen werden, wenn die Verletzung "voraussichtlich nicht zu einem Risiko für die Rechte und Freitheiten natürlicher Personen" führt. Die Prognoseentscheidung trifft der Verantwortliche (Datenschutzbeauftragte, Geschäftsleitung). Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Riskio für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen deren Daten Gegenstand des Notfalls waren zu benachrichtigen.
3. Dokumentieren des Notfalls und Wiederherstellung des Normalbetriebes
Auch wenn die durchgeführte Risikobewertung nicht in einer Meldung des Vorfalls an die zuständige Aufsichtbehörde endet, muss der erkannte Vorfall nach Art. 33 Abs. 5 DSGVO entsprechend dokumentiert werden. Dies dient der Information der Aufsichtbehörde im Falle einer Prüfung, was Grundlage dieser entscheidung war. Zudem sollten Maßnahmen ergriffen werden, damit ein solcher Vorfall nicht erneut auftritt (ggf. weitere Sicherheitsmaßnahmen, Schulung des Personals, etc.). (Quelle: www.acivemind.de)