Datenschutzpannen

Aus WikiBlossin
Zur Navigation springen Zur Suche springen

Bereich: Allgemeines

Prozess: Datenschutz

Teilprozess: Umgang mit Datenschutzpannen  

1. Schritt: Datenschutzpannen umgehend bemerken

Wie schnell würde ein Datenleck oder Datenverlust auffallen? Um einen möglichen Schaden in Grenzen zu halten, müssen Vorfälle möglichst sofort entdeckt und Gegenmaßnahmen ergriffen werden. Alle Mitarbeiter sollten für Auffälligkeiten sensibilisiert sein.  Welche technischen Vorkehrungen der Informationssicherheit wurden getroffen? Werden ungewöhnliche Ereignisse über einen unerlaubten Zugriff auf das Dateisystem automatisch registriert? Wie werden solche Ereignisse behandelt?

  • Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen?
  • Inwieweit erfolgt eine regelmäßige Kontrolle zentraler Server?
  • Sind die Mitarbeiter hinreichend sensibilisiert, so dass diese in der Lage sind Datenpannen zu bemerken?
  • Wie sind die Meldewege für Datenpannen definiert und sind sie allen Mitarbeitern bekannt?
  • Gibt es ein zentrales Regelungsdokument zum Datenschutznotfall?

2. Schritt: Vorfallreaktionsplan (Incident-Response-Management)

Um angemessen auf einen Vorfall reagieren zu können, muss erfasst werden, was passiert ist. Hierfür sollten eindeutige Zuständigkeiten definiert sein. 

  • unsere Webseite wurde gehackt: Wer ist rund um die Uhr erreichbar, der die Sicherheitslücke schließt und prüft, auf welche Daten zugegriffen wurde? Sind auch alle Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen?
  • Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten. 
  • Einbindung des Datenschutzbeauftragen.

Ziel ist es, auf eine Störung unmittelbar zu reagieren.   Gemäß Art. 33 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden. Von einer Meldung kann nur dann abgesehen werden, wenn die Verletzung "voraussichtlich nicht zu einem Risiko für die Rechte und Freitheiten natürlicher Personen" führt. Die Prognoseentscheidung trifft der Verantwortliche (Datenschutzbeauftragte, Geschäftsleitung).   Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Riskio für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen deren Daten Gegenstand des Notfalls waren zu benachrichtigen.  

3. Dokumentieren des Notfalls und Wiederherstellung des Normalbetriebes

Auch wenn die durchgeführte Risikobewertung nicht in einer Meldung des Vorfalls an die zuständige Aufsichtbehörde endet, muss der erkannte Vorfall nach Art. 33 Abs. 5 DSGVO entsprechend dokumentiert werden. Dies dient der Information der Aufsichtbehörde im Falle einer Prüfung, was Grundlage dieser entscheidung war. Zudem sollten Maßnahmen ergriffen werden, damit ein solcher Vorfall nicht erneut auftritt (ggf. weitere Sicherheitsmaßnahmen, Schulung des Personals, etc.). (Quelle: www.acivemind.de)