Bei einer Datenpanne, also einem IT-Sicherheitsvorfall, bei dem es zu einer Verletzung des Schutzes personenbezogener Daten kommt, sind bestimmte Schritte nach der Datenschutz-Grundverordnung (DSGVO) erforderlich. Diese Schritte dienen dazu, die Folgen der Panne zu minimieren und die Betroffenen sowie die zuständigen Behörden angemessen zu informieren.
Schritte bei einer Datenpanne:
- Erkennung und Dokumentation:
- Die Panne muss so schnell wie möglich erkannt und dokumentiert werden. Dies umfasst die Art der Datenpanne, die betroffenen Datenkategorien, die voraussichtlichen Folgen der Panne und die ergriffenen oder vorgeschlagenen Gegenmaßnahmen. Beweise werden gesichert (Cyber Forensik) und aus dem System an einen sicheren Ort wegtransferiert, um weitere Manipulationen zu verhindern.
- Eindämmung des Vorfalls:
- Es sind sofort Maßnahmen zu ergreifen, um die Attacke einzudämmen oder die Lücke zu schliessen und weitere unbefugte Zugriffe zu verhindern. Dies kann das Trennen betroffener Systeme vom Netzwerk, das Ändern von Passwörtern oder das Abschalten bestimmter Dienste umfassen.
- Bewertung des Risikos:
- Es muss eine schnelle Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen durchgeführt werden. Dabei wird beurteilt, wie hoch das Risiko für die betroffenen Personen ist.
- Benachrichtigung der Aufsichtsbehörde:
- Wenn die Datenpanne voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, muss die zuständige Datenschutzaufsichtsbehörde ohne unangemessene Verzögerung, in der Regel innerhalb von 72 Stunden nach Bekanntwerden der Panne, benachrichtigt werden.
- Inhalt der Meldung an die Aufsichtsbehörde:
- Die Meldung sollte Informationen über die Natur der Datenpanne, die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze, die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson, die wahrscheinlichen Folgen der Panne und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und zur Minderung ihrer möglichen negativen Auswirkungen enthalten.
- Benachrichtigung der betroffenen Personen:
- Wenn die Datenpanne ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen darstellt, müssen diese Personen ebenfalls unverzüglich informiert werden. Die Benachrichtigung sollte in klarer und einfacher Sprache die Art der Datenpanne, die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson, die wahrscheinlichen Folgen der Panne und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung beschreiben.
- Ergreifung von Gegenmaßnahmen:
- Sofortige Maßnahmen sollten ergriffen werden, um die Panne zu beheben und ihre möglichen negativen Auswirkungen zu minimieren. Dies kann die Wiederherstellung verlorener Daten, das Schließen von Sicherheitslücken oder die Verbesserung von Sicherheitsmaßnahmen beinhalten. Ferner sollte in einer Strategie festgelegt werden, wie man in Zukunft solche Angriffe verhindern kann, z.B. durch IT Schwachstellenmanagement.
- Dokumentation:
- Alle Aspekte der Datenpanne und des Umgangs damit müssen dokumentiert werden, um eine Überprüfung durch die Aufsichtsbehörde zu ermöglichen.
Wichtig zu beachten:
- Schnelligkeit und Effizienz: Eine schnelle Reaktion ist entscheidend, um den Schaden zu begrenzen und die gesetzlichen Anforderungen zu erfüllen.
- Zusammenarbeit: Es ist wichtig, mit der Aufsichtsbehörde und gegebenenfalls mit Cyber-Sicherheitsexperten zusammenzuarbeiten, um die Panne effektiv zu bewältigen.
- Vorbeugung: Unternehmen sollten Maßnahmen ergreifen, um Datenpannen vorzubeugen, einschließlich regelmäßiger Sicherheitsüberprüfungen und Mitarbeitertrainings.
Die Handhabung von Datenpannen ist ein kritischer Aspekt des Datenschutz- und IT Sicherheitsmanagements und erfordert eine sorgfältige Planung und Vorbereitung.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: