MAZE machen ernst
25. Dezember 2019
Crazyradio ausprobiert: vom Logitech Wireless-Presenter zur CMD
9. Januar 2020MAZE machen ernst
25. Dezember 2019Crazyradio ausprobiert: vom Logitech Wireless-Presenter zur CMD
9. Januar 2020
Datenschutz-Vorfall, was nun? Tipps zum Vorgehen inkl. Muster
Was ist laut DSGVO eigentlich ein Datenschutz-Vorfall?
Datenschutz-Vorfälle sind Unregelmäßigkeiten in der Verarbeitung personenbezogener Daten, die zu einem Risiko für die Betroffenen führen.
Der bloße Verlust eines (unverschlüsselten) Laptops, der erfolgreiche Hacking-Angriff auf die Bewerberdatenbank oder eine Ransomware-Attacke können einen meldepflichtigen Datenschutz-Vorfall darstellen.
Wie erkennt man einen Datenschutz-Vorfall?
Hierfür gibt es natürlich mehrere Ansätze, wobei die Meldung durch Mitarbeiter bei Erkennung eines Vorfalls eine große Rolle spielen. Durch regelmäßige Sensibilisierungsmaßnahmen sollte unbedingt auf die Notwendigkeit eines Datenschutz-Vorfalls hingewiesen werde. Weiters sollte anhand praktischer Beispiele auch gezeigt werden, was meldepflichtige Datenschutz-Verstöße darstellen.
Neben dieser essentiellen Maßnahme gibt es auch technische Systeme zur Erkennung, Protokollierung und Alamierung von Datenschutz-Vorfälle, wie beispielsweise ein SIEM (Security Information and Event Management) System.
Reaktionsplan
Zur Bewältigung von Datenpannen sollten sich Unternehmen mittels eines Reaktionsplans auf das Handling von Datenschutz-Vorfällen vorbereiten. Dieser Prozess sollte im Unternehmen bekannt gemacht und etabliert werden, sodass bei einem Data-Breach sofortige Maßnahmen eingeleitet werden können. Wichtig dabei ist, je nach Risiko, die Meldepflichten einzuhalten.
Besteht ein Risiko für die Rechte und Freiheiten der Betroffenen, so ist eine Meldung binnen 72 Stunden bei der zuständigen Datenschutzbehörde durchzuführen. Besteht voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen, so müssen diese unverzüglich verständigt werden.
Vorgehensweise
- Feststellung bzw. Entgegennahme eines Datenschutz-Vorfalls
(die Meldung kann von interner als auch externer Stelle durchgeführt werden) - Analyse des Datenschutz-Vorfalls
(Beurteilung der Datenpanne, welche Art der Datenpanne liegt vor, wer sind die Betroffenen) - Prüfung ob Auftragsverarbeiter betroffen sind
- Meldewesen aktivieren
- Datenschutz-Vorfalls nach definiertem Prüfverfahren beurteilen
- Prüfung der Umsetzung von Erst-Maßnahmen
- Prüfung, ob eine Meldung an die Aufsichtsbehörde bzw. an Betroffene durchgeführt werden muss
- Vorfall bearbeiten und lösen
(den Vorfall nach definierten Incident-Response Verfahren abarbeiten) - Kommunikationskanäle festlegen und Meldewesen einleiten
- Maßnahmen für KVP treffen
- Dokumentation und Sicherstellung der Nachweisbarkeit
Sollten Sie Unterstützung bei der Etablierung eines Data-Breach Prozess benötigen, schreiben Sie uns gerne an!
Muster-Vorlage zum Download
Für die Dokumentation von Datenschutz-Vorfällen stellen wir Ihnen folgend unsere bewährte Vorlage zur Verfügung.
