Hier gibt es einen Überblick zu Sicherheitsvorfällen samt einer Checkliste, wie bei einer Verletzung personenbezogener Daten richtig reagiert wird.
Zur Erinnerung: “Personenbezogene Daten” sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (“betroffene Person”) beziehen. Siehe dazu Artikel https://gumbrecht.org/deswegen-ist-datenschutz-relevant-fuer-dein-startup/
Ein Sicherheitsvorfall ist ein unerwünschtes Ereignis, das Auswirkungen auf die Informationssicherheit und/oder den Schutz von personenbezogenen Daten hat und in der Folge große Schäden nach sich ziehen kann.
Beispiele hierfür sind:
- auffällige Einträge in den Protokolldateien einer Firewall,
- Sicherheitslücken in den verwendeten IT-Systemen bzw. Anwendungen,
- ein Einbruchdiebstahl am Unternehmensstandort,
- Datenverlust (Daten nicht mehr vorhanden),
- Festplattenfehler,
- Datenverlust (Daten noch vorhanden), aber die Daten sind durch Angreifer verschlüsselte (Ransom Angriff)
Kommt es durch den Sicherheitsvorfall auch zu einer Verletzung des Schutzes personenbezogener Daten, dann muss der Verantwortliche dies unverzüglich und möglichst innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden. Die Meldepflicht entfällt nur dann, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Letzteres wird nur sehr selten vorkommen. Ein Beispiel hierfür wäre die Zerstörung von Daten durch einen Brand, die bereits gelöscht hätten sein müssen.
Hat die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche auch die betroffene Person grundsätzlich unverzüglich von der Verletzung zu benachrichtigen. Es sei denn, der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese wurden auf die von der Verletzung betroffenen personenbezogenen Daten angewandt. Oder der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht. Oder dies wäre mit einem unverhältnismäßigen Aufwand verbunden; stattdessen hat eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen.
Immer hat der Verantwortliche jedoch die Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang damit stehenden Fakten zu dokumentieren.
Fast alle Verstöße gegen das Datenschutzrecht sind bußgeldbewährt. Ähnlich wie bei anderen Ordnungswidrigkeiten gibt es jedoch abgestufte Sanktionen von Verwarnungen bis hin zu geringen Geldbußen, die dann bei fortgesetzten Verletzungen ansteigen. Nach anderen Gesetzen kann auch eine Straftat vorliegen, z. B. Verrat von Geschäfts- und Betriebsgeheimnissen, Ausspähen von Daten oder Computerbetrug.
Neben den vom Amts wegen verfolgten Geldbußen oder Straftaten kann auch jede betroffene Person zivilrechtlich Schadensersatz für eine unzulässige Verarbeitung ihrer Daten verlangen, und zwar einschließlich Schmerzensgeld für die Persönlichkeitsrechtsverletzung.
Schwere Schäden für das Unternehmen kann es verursachen, wenn eine sogenannte Datenpanne öffentlich bekannt wird und Kunden das Vertrauen in das Unternehmen verlieren und zu Mitbewerben wechseln, weil sie sich nicht sicher sein können, dass ihre Daten in guten Händen sind.
Checkliste zum organisatorischen Umgang mit einem Sicherheitsvorfall
- Zuallererst: Tief durchatmen und wieder in die Ruhe kommen, damit nicht voreilig reagiert wird. Dann Schritt für Schritt vorgehen.
- Wissen alle, die intern davon wissen müssen, vom mutmaßlichen IT-Notfall?
- Ein Beispiel dafür, was hier gemeldet werden sollte, ist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) auf deren Website in der IT-Notfallkarte dargestellt.
- Richtet eine Projektgruppe ein. Verteilt Rollen und Zuständigkeiten.
- Wer trifft die relevanten Entscheidungen?
- Wer macht was bis wann?
- Sammelt möglichst schnell und möglichst viele Informationen, um fundierte Entscheidungen treffen zu können.
- Was ist eigentlich passiert? Wie ist es aufgefallen? Wurde es durch Externe gemeldet? Dann haltet den Kontakt zu diesen aufrecht, sofern dort gewünscht, um zu verhindern, dass der Vorfall aus einem Gefühl der Vernachlässigung vorzeitig publik gemacht wird. Welche Auswirkungen kann es direkt auf das Unternehmen, seine Kerndienstleistungen oder auf wesentliche Produktionsprozesse haben?
- Welche Auswirkungen kann es auf Kunden, Partner oder die Öffentlichkeit haben?
- Warum ist es euch passiert? Gibt es Hinweise auf ein gezieltes Vorgehen oder seid ihr „nur“ zufälliges Opfer?
- Bestehen Meldepflichten?
- Im Falle einer damit verbundenen relevanten Datenschutzverletzung, ist der IT-Vorfall an die zuständige Datenschutzaufsichtsbehörde zu melden. Die einzelnen Datenschutzbehörden bieten auf ihren Webseiten die Möglichkeit einer Online-Meldung. Wollt ihr den IT-Vorfall freiwillig melden (ggf. anonymisiert / pseudonymisiert), um die Warnung potentiell weiterer Betroffener zu ermöglichen? Dazu steht euch das Meldeformular auf der Webseite des Melde- und Informationsportals des BSI zur Verfügung.
- Wollt ihr Strafanzeige stellen? Die zuständigen, zentralen Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen halten dazu auf ihrer Website die Kontakte der einzelnen Bundesländer bereit.
Abschließend ist zu sagen: Nach dem Sicherheitsvorfall, ist vor dem (nächsten) Sicherheitsvorfall. Gewinnt eure Erkenntnisse und bereitet euch auf den nächsten IT-Vorfall vor. Möglicherweise mit einem gut umgesetzten Datenschutzmanagement und einer widerstandsfähigen IT-Infrastruktur, um sowohl euer Kerngeschäft als auch die personenbezogenen Daten eurer Kund:innen zu schützen.
In diesem Sinne, euch allen einen datenschutzfreundlichen Tag!