INFORMATIONEN

Management von Datenschutzverletzungen: Top-Tipps zur Risikobewertung im Rahmen der DSGVO

In einigen Fällen erlaubt die EU-Datenschutzgrundverordnung (DSGVO) den für die Verarbeitung Verantwortlichen, bei einem Verlust personenbezogener Daten die Datenschutzbehörden und die Personen (betroffene Personen), deren personenbezogene Daten gefährdet sind, zu warnen. Ob solche Warnungen erforderlich sind, hängt von der Bewertung des Risikos ab, das sich aus der Verletzung vertraulicher Daten ergibt.

Sind Sie bereit, die Risiken zu analysieren?

Am Freitagnachmittag erhalten Sie einen Anruf von der Finanzabteilung: Die elektronischen Lohn- und Gehaltsabrechnungen der gesamten Belegschaft wurden vor einer Stunde versehentlich an einen zufälligen Lieferanten gesendet.

Sie müssen nicht nur sofort eingreifen, um die Folgen zu minimieren, sondern haben auch 72 Stunden Zeit, um festzustellen, ob der Vorfall wahrscheinlich zu einer Gefährdung der Mitarbeiter beiträgt und auf dieser Grundlage den zuständigen Datenschutzbehörden gemeldet werden muss (Artikel 32 DSGVO).

Wenn ja, müssen Sie innerhalb dieses Zeitraums eine Meldung machen. Gleichzeitig sollte nicht vergessen werden, festzustellen, ob die Gefahr eine nebulöse Schwelle zum „hohen Risiko“ überschreitet, so dass sie auch für die Belegschaft meldepflichtig ist (Artikel 34 der Datenschutz-Grundverordnung).

Im Idealfall haben Sie Leitlinien zur Hand, in denen der Risikomanagementansatz des Unternehmens für die betroffenen Personen dargelegt ist und die mit den Stellungnahmen der Aufsichtsbehörden und anderen zuverlässigen Leitlinien übereinstimmen. Dies spart Zeit, fördert eine klare Risikomanagementstrategie und bietet eine solide Bewertungsgrundlage.

Bei der Risikobewertung wird von den für die Verarbeitung Verantwortlichen erwartet, dass sie eine unparteiische Bewertung vornehmen und verschiedene Faktoren berücksichtigen, insbesondere das Ausmaß der möglichen Auswirkungen auf die Rechte der betroffenen Personen und die Wahrscheinlichkeit solcher Auswirkungen.

Schnelles Handeln zur Minimierung der

Jedes Unternehmen, das von einer Rechtsverletzung betroffen ist, ist sofort darum bemüht, diese einzudämmen, z. B. durch die Abwehr eines Cyberangriffs oder die Aufforderung an den falschen Empfänger, irrtümlich an ihn gesendete Informationen zu löschen (wie im obigen Beispiel).

In der Anfangsphase des Managements von Sicherheitsverletzungen ist die Bestimmung des Risikos, das von einer Sicherheitsverletzung ausgeht, von entscheidender Bedeutung, da sie den Unternehmen hilft, die Verletzung einzudämmen und zu beheben und zu entscheiden, ob sie meldepflichtig ist.

Schnelle und effiziente Abhilfemaßnahmen können den Unterschied ausmachen, ob ein Verstoß meldepflichtig ist und betroffene Personen Beschwerden einreichen.

Im Falle einer behördlichen Kontrolle ist es auch im Interesse der für die Verarbeitung Verantwortlichen, schnell zu handeln. In der Datenschutz-Grundverordnung wird der Versuch, den Schaden für die betroffenen Personen so gering wie möglich zu halten, als eine der Variablen aufgeführt, die bei der Entscheidung über die Höhe der Geldbuße berücksichtigt werden sollte.

Top 5 Faktoren, die bei der Risikobewertung zu berücksichtigen sind

Im Folgenden finden Sie einige Hinweise zu den Elementen, die bei der Risikobewertung zu berücksichtigen sind:

  • Sicherheit: Wenn Ihr Unternehmen Opfer eines Hackerangriffs geworden ist, kann es die Rettung sein, wenn die fraglichen personenbezogenen Daten für jemanden, der sie nicht sehen sollte, unverständlich gemacht werden, indem beispielsweise eine ausreichend starke Verschlüsselung verwendet wird. Das ist leider viel zu selten der Fall, aber es lohnt sich, die Frage zu stellen, nur für den Fall. Welche anderen Sicherheitsvorkehrungen könnten getroffen worden sein, wenn sie nicht unverständlich sind, wie z. B. die Maskierung von Daten, die die Identifizierung der betroffenen Personen erschweren würde?
  • Betroffene personenbezogene Daten: Welche Art von personenbezogenen Daten kompromittiert wurde oder wer die betroffenen Personen sind, ist für jede Bewertung von entscheidender Bedeutung. Eine Verletzung des Schutzes sensibler Daten (z. B. Kreditkarten- oder andere Finanzdaten, Reisepassnummer, Gesundheitsinformationen) lässt in der Regel auf ein viel höheres Risiko schließen. Allerdings können auch weniger sensible Informationen, die in Verbindung mit sensiblen Daten oder für sich allein verwendet werden, ein Risiko darstellen, da sie es Betrügern beispielsweise ermöglichen, sich ein genaueres Bild von der betroffenen Person zu machen, wenn sie sehr detailliert sind. Ein wichtiger Faktor wird auch sein, wie einfach es sein wird, die betroffenen Personen zu klassifizieren; dies wird auch von der eingeführten Technologie abhängen. Gehören die betroffenen Personen zu einer besonders gefährdeten Kategorie (z. B. Kinder), erhöht sich das Risiko.
  • Folgen für die betroffenen Personen: Als signifikante Ergebnisse und „extremes Risiko“ wird beispielsweise die Wahrscheinlichkeit angesehen, Opfer eines Identitätsdiebstahls oder -betrugs, einer physischen Bedrohung, einer Peinlichkeit oder einer öffentlichen Schande zu werden. Geringe Nachteile, wie die vorübergehende Nichtverfügbarkeit eines unbedeutenden Kontos, sind dagegen nicht zu befürchten.
  • Situationen, in denen es zu Verstößen kommt: Umstände wie die böswillige Datenexfiltration durch ein Gerät können im Vergleich zu einer versehentlichen Offenlegung das Risiko eines Schadens für die betroffenen Personen deutlich erhöhen.
  • Form des für die Verarbeitung Verantwortlichen: Die Handlungen des für die Verarbeitung Verantwortlichen können zu dem Risiko eines Verstoßes führen. So ist es beispielsweise wahrscheinlicher, dass eine medizinische Einrichtung vertrauliche Patientendaten verarbeitet, die im Falle eines Verstoßes eher meldepflichtig sind.

    • Viele EU-Datenschutzaufsichtsbehörden geben Ratschläge, wie Verstöße gemessen werden können. In seinem Leitfaden für die Meldung von Verstößen enthält der Europäische Datenschutzausschuss (das Gremium, das alle EU-Datenschutzbehörden umfasst) einen hilfreichen Anhang mit Beispielen für Verstöße und einer kurzen Bewertung, ob sie meldepflichtig sind.

    Es ist hilfreich, über eine Richtlinie zur Reaktion auf eine Verletzung des Schutzes personenbezogener Daten zu verfügen, in der beschrieben wird, wer was im Falle einer Verletzung des Schutzes personenbezogener Daten zu tun hat, und die ein Toolkit für das Team, das mit der Verletzung arbeitet, sowie einen Leitfaden zur Risikobewertung enthält. Dazu könnten beispielsweise Musterfragebögen für die Untersuchung von Vorfällen, Schreiben mit rechtlichen Hinweisen und eine „Quick Look“-Checkliste für die Reaktion auf eine Verletzung des Schutzes personenbezogener Daten gehören.

    E-Mail-Marketing im Kontext der DSGVO

    25/02/2021 Keine Kommentare

    In der Anpassungsphase der DSGVO zwischen 2016 und 2018 waren viele Unternehmen besorgt, dass die neue EU-Datenschutzverordnung ihre Marketingbemühungen untergraben würde, insbesondere im Bereich des

    mehr »