Hier gibt es einen Überblick zu Sicherheitsvorfällen samt einer Checkliste, wie bei einer Verletzung personenbezogener Daten richtig reagiert wird.
Ein Sicherheitsvorfallist ein unerwünschtes Ereignis, das Auswirkungen auf die Informationssicherheit und/oder den Schutz von personenbezogenen Daten hat und in der Folge große Schäden nach sich ziehen kann.
Beispiele hierfür sind:
- auffällige Einträge in den Protokolldateien einer Firewall,
- Sicherheitslücken in den verwendeten IT-Systemen bzw. Anwendungen,
- ein Einbruchdiebstahl am Unternehmensstandort,
- Datenverlust (Daten nicht mehr vorhanden),
- Festplattenfehler,
- Datenverlust (Daten noch vorhanden), aber die Daten sind durch Angreifer verschlüsselte (Ransom Angriff)
Kommt es durch den Sicherheitsvorfall auch zu einer Verletzung des Schutzes personenbezogener Daten, dann muss der Verantwortliche dies im Normalfall der zuständigen Aufsichtsbehörde melden. Diese Meldung muss er unaufgefordert von sich aus machen.
Fast alle Verstöße gegen das Datenschutzrecht sind bußgeldbewährt. Ähnlich wie bei anderen Ordnungswidrigkeiten gibt es jedoch abgestufte Sanktionen von Verwarnungen bis hin zu geringen Geldbußen, die dann bei fortgesetzten Verletzungen ansteigen. Nach anderen Gesetzen kann auch eine Straftat vorliegen, z. B. Verrat von Geschäfts- und Betriebsgeheimnissen, Ausspähen von Daten oder Computerbetrug.
Neben den vom Amts wegen verfolgten Geldbußen oder Straftaten kann auch jede betroffene Person zivilrechtlich Schadensersatz für eine unzulässige Verarbeitung ihrer Daten verlangen, und zwar einschließlich Schmerzensgeld für die Persönlichkeitsrechtsverletzung.
Schwere Schäden für das Unternehmen kann es verursachen, wenn eine so genannte Datenpanne öffentlich bekannt wird und Kunden das Vertrauen in das Unternehmen verlieren und zu Mitbewerben wechseln, weil sie sich nicht sicher sein können, dass ihre Daten bei im betroffenen Unternehmen in guten Händen sind.
Abschließend eine Checkliste zum organisatorischen Umgang mit einem Sicherheitsvorfall
- Zuallererst: Tief durchatmen und wieder in die Ruhe kommen, damit nicht voreilig reagiert wird. Und dann Schritt für Schritt vorgehen.
- Wissen alle, die intern davon wissen müssen, vom mutmaßlichen IT-Notfall?
- Ein Beispiel dafür, was hier gemeldet werden sollte, ist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) auf deren Website in der IT-Notfallkarte dargestellt.
- Richtet eine Projektgruppe ein. Verteilt Rollen und Zuständigkeiten.
- Wer trifft die relevanten Entscheidungen?
- Wer macht was bis wann?
- Sammelt möglichst schnell und möglichst viele Informationen, um fundierte Entscheidungen treffen zu können.
- Was ist eigentlich passiert?
- Wie ist es aufgefallen? Wurde es durch Externe gemeldet? Dann haltet den Kontakt zu diesen aufrecht, sofern dort gewünscht, um zu verhindern, dass der Vorfall aus einem Gefühl der Vernachlässigung vorzeitig publik gemacht wird.
- Welche Auswirkungen kann es direkt auf das Unternehmen, seine Kerndienstleistungen oder auf wesentliche Produktionsprozesse haben?
- Welche Auswirkungen kann es auf Kunden, Partner oder die Öffentlichkeit haben?
- Warum ist es euch passiert? Gibt es Hinweise auf ein gezieltes Vorgehen oder „nur“ zufälliges Opfer?
- Bestehen Meldepflichten?
- Im Falle einer damit verbundenen relevanten Datenschutzverletzung, ist der IT-Vorfall an die zuständige Datenschutzaufsichtsbehörde zu melden. Die einzelnen Datenschutzbehörden bieten auf ihren Webseiten die Möglichkeit einer Online-Meldung.
- Wollt ihr den IT-Vorfall freiwillig melden (ggf. anonymisiert / pseudonymisiert), um die Warnung potentiell weiterer Betroffener zu ermöglichen? Dazu steht euch das Meldeformular auf der Webseite des Melde- und Informationsportals des BSI zur Verfügung.
- Wollt ihr Strafanzeige stellen? Die zuständigen, zentrale Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen hält dazu auf ihrer Website die Kontakte der einzelnen Bundesländer bereit.
Abschließend ist zu sagen: Nach dem Sicherheitsvorfall, ist vor dem (nächsten) Sicherheitsvorfall. Zieht eure Learnings und bereiten euch auf den nächsten IT-Vorfall vor. Möglicherweise mit einem gut umgesetzten Datenschutzmanagement und einer widerstandsfähigen IT-Infrastruktur, um sowohl euer Kerngeschäft als auch die personenbezogenen Daten eurer Kund:innen zu schützen.
In diesem Sinne euch allen einen datenschutzfreundlichen Tag!