In einigen Fällen erlaubt die EU-Datenschutzgrundverordnung (DSGVO) den für die Verarbeitung Verantwortlichen, bei einem Verlust personenbezogener Daten die Datenschutzbehörden und die Personen (betroffene Personen), deren personenbezogene Daten gefährdet sind, zu warnen. Ob solche Warnungen erforderlich sind, hängt von der Bewertung des Risikos ab, das sich aus der Verletzung vertraulicher Daten ergibt.
Sind Sie bereit, die Risiken zu analysieren?
Am Freitagnachmittag erhalten Sie einen Anruf von der Finanzabteilung: Die elektronischen Lohn- und Gehaltsabrechnungen der gesamten Belegschaft wurden vor einer Stunde versehentlich an einen zufälligen Lieferanten gesendet.
Sie müssen nicht nur sofort eingreifen, um die Folgen zu minimieren, sondern haben auch 72 Stunden Zeit, um festzustellen, ob der Vorfall wahrscheinlich zu einer Gefährdung der Mitarbeiter beiträgt und auf dieser Grundlage den zuständigen Datenschutzbehörden gemeldet werden muss (Artikel 32 DSGVO).
Wenn ja, müssen Sie innerhalb dieses Zeitraums eine Meldung machen. Gleichzeitig sollte nicht vergessen werden, festzustellen, ob die Gefahr eine nebulöse Schwelle zum „hohen Risiko“ überschreitet, so dass sie auch für die Belegschaft meldepflichtig ist (Artikel 34 der Datenschutz-Grundverordnung).
Im Idealfall haben Sie Leitlinien zur Hand, in denen der Risikomanagementansatz des Unternehmens für die betroffenen Personen dargelegt ist und die mit den Stellungnahmen der Aufsichtsbehörden und anderen zuverlässigen Leitlinien übereinstimmen. Dies spart Zeit, fördert eine klare Risikomanagementstrategie und bietet eine solide Bewertungsgrundlage.
Bei der Risikobewertung wird von den für die Verarbeitung Verantwortlichen erwartet, dass sie eine unparteiische Bewertung vornehmen und verschiedene Faktoren berücksichtigen, insbesondere das Ausmaß der möglichen Auswirkungen auf die Rechte der betroffenen Personen und die Wahrscheinlichkeit solcher Auswirkungen.
Schnelles Handeln zur Minimierung der
Jedes Unternehmen, das von einer Rechtsverletzung betroffen ist, ist sofort darum bemüht, diese einzudämmen, z. B. durch die Abwehr eines Cyberangriffs oder die Aufforderung an den falschen Empfänger, irrtümlich an ihn gesendete Informationen zu löschen (wie im obigen Beispiel).
In der Anfangsphase des Managements von Sicherheitsverletzungen ist die Bestimmung des Risikos, das von einer Sicherheitsverletzung ausgeht, von entscheidender Bedeutung, da sie den Unternehmen hilft, die Verletzung einzudämmen und zu beheben und zu entscheiden, ob sie meldepflichtig ist.
Schnelle und effiziente Abhilfemaßnahmen können den Unterschied ausmachen, ob ein Verstoß meldepflichtig ist und betroffene Personen Beschwerden einreichen.
Im Falle einer behördlichen Kontrolle ist es auch im Interesse der für die Verarbeitung Verantwortlichen, schnell zu handeln. In der Datenschutz-Grundverordnung wird der Versuch, den Schaden für die betroffenen Personen so gering wie möglich zu halten, als eine der Variablen aufgeführt, die bei der Entscheidung über die Höhe der Geldbuße berücksichtigt werden sollte.
Top 5 Faktoren, die bei der Risikobewertung zu berücksichtigen sind
Im Folgenden finden Sie einige Hinweise zu den Elementen, die bei der Risikobewertung zu berücksichtigen sind:
Viele EU-Datenschutzaufsichtsbehörden geben Ratschläge, wie Verstöße gemessen werden können. In seinem Leitfaden für die Meldung von Verstößen enthält der Europäische Datenschutzausschuss (das Gremium, das alle EU-Datenschutzbehörden umfasst) einen hilfreichen Anhang mit Beispielen für Verstöße und einer kurzen Bewertung, ob sie meldepflichtig sind.
Es ist hilfreich, über eine Richtlinie zur Reaktion auf eine Verletzung des Schutzes personenbezogener Daten zu verfügen, in der beschrieben wird, wer was im Falle einer Verletzung des Schutzes personenbezogener Daten zu tun hat, und die ein Toolkit für das Team, das mit der Verletzung arbeitet, sowie einen Leitfaden zur Risikobewertung enthält. Dazu könnten beispielsweise Musterfragebögen für die Untersuchung von Vorfällen, Schreiben mit rechtlichen Hinweisen und eine „Quick Look“-Checkliste für die Reaktion auf eine Verletzung des Schutzes personenbezogener Daten gehören.