INFORMATIONEN

Wie kann sich Ihr Unternehmen nach einer Verletzung des Schutzes personenbezogener Daten erholen?

Seit der Durchsetzung der DSGVO vor rund zwei Jahren wurden EU-weit mehr als 160.000 Verstöße registriert. Allein in den Niederlanden wurden 2019 fast 27.000 Datenschutzverletzungen gemeldet – ein Anstieg um 29 Prozent im Vergleich zum Vorjahr. Verstöße gegen personenbezogene Daten sind sowohl auf externe Bedrohungen als auch auf interne Sicherheitsvorfälle zurückzuführen, und beide nehmen zu.

In Anbetracht dieser Statistiken und der riesigen Menge an personenbezogenen Daten, die von Unternehmen generiert werden, ist das Risiko einer Datenschutzverletzung in Ihrem Unternehmen sehr hoch, auch wenn die entsprechenden Schutzmaßnahmen vorhanden sind. Wie können Sie sicherstellen, dass sich Ihr Unternehmen im Falle einer Verletzung des Schutzes personenbezogener Daten schnell und gut davon erholt?

Nachdem die Datenschutzverletzung gemeldet und aufgezeichnet wurde und der für die Verarbeitung Verantwortliche die Aufsichtsbehörde innerhalb von 72 Stunden nach der Aufdeckung der Datenschutzverletzung informiert hat, sollten Sie sich ansehen, wie genau die Datenschutzverletzung zustande gekommen ist.

Ist die Datenschutzverletzung das Ergebnis einer externen Bedrohung oder eines Ereignisses, das die interne Sicherheit betrifft? Wer waren die Hauptakteure, die an diesem Prozess beteiligt waren, und welche Maßnahmen haben sie ergriffen? Wurden Fehler gemacht, und wenn ja, wie stellen Sie sicher, dass sie sich nicht wiederholen? Wurden alle Ihre Protokolle und Vorsichtsmaßnahmen eingehalten?

Wenn ja, wie werden sie immer ausgenutzt? Und vor allem: Was können Sie aus dem Verstoß lernen, um die Wahrscheinlichkeit zu verringern, dass er sich wiederholt?

Berücksichtigen Sie das Ausmaß des Verstoßes im Detail

Um eine Verletzung des Schutzes personenbezogener Daten gründlich zu untersuchen, ist es wichtig, das Ausmaß der Auswirkungen zu kennen. Als Nächstes sollten Sie sich genauer ansehen, welche personenbezogenen Daten von der Datenverletzung betroffen sind – die Kunden? Die Mitarbeiter? Partner? Partner? Es kann auch sein, dass z. B. mehr als eine Datenbank betroffen war, sowohl mit Daten über aktuelle Kunden als auch über Mitarbeiter.

Nehmen Sie sich die Zeit, die kompromittierten Daten zu untersuchen und festzustellen, wie viele und welche Art von Informationen von dem Verstoß betroffen sind. Wenn Daten einer bestimmten Kategorie oder anderweitig vertrauliche Daten betroffen sind, müssen möglicherweise weitreichendere Schritte und mehrere Abhilfemaßnahmen ergriffen werden. Eine weitere Frage, die Sie sich bei Ihrer Untersuchung stellen sollten, ist, ob die betroffenen Daten verschlüsselt waren und ob sie gesichert wurden.

Im Falle einer Datenschutzverletzung sind dies alles Dinge, die gelernt werden müssen, und sie können Sie darüber aufklären, wie Sie die Situation minimieren und wie Sie mit der Verletzung umgehen können.

Erstellung oder Aktualisierung des Wiederherstellungsplans

Nach der Überprüfung des Vorfalls ist es an der Zeit, Empfehlungen abzugeben, wie sichergestellt werden kann, dass sich so etwas nicht wiederholt. Die Ausarbeitung eines Wiederherstellungsplans für die Reaktion erfordert Zeit und Koordination zwischen den internen Disziplinen.

Um sicherzustellen, dass alle Mitarbeiter auf dem neuesten Stand und mit den Datenschutz- und Sicherheitsrichtlinien vertraut sind, könnte die Strategie Maßnahmen wie eine verstärkte Schulung des Personals und die Verbreitung des Wissens über den Wert des Datenschutzes im gesamten Unternehmen umfassen.

Auch wenn es auf den ersten Blick unbedeutend erscheinen mag, so kann sich doch etwas so Kleines wie die Erinnerung der Mitarbeiter, sich nach Beendigung der Arbeit von ihren Systemen abzumelden oder die Passwörter regelmäßig zu ändern, langfristig als entscheidend erweisen, um das Risiko eines Verlusts personenbezogener Daten zu minimieren.

Die Verschlüsselung von Arbeitsgeräten oder die Einführung einer Multi-Faktor-Authentifizierung bei der Anmeldung in Arbeitsanwendungen können konkretere Schritte zur Verbesserung der allgemeinen Sicherheit sein. Außerdem ist es wichtig, dass die Protokolle und Schutzmaßnahmen ständig aktualisiert werden und die wichtigsten Interessengruppen regelmäßig über diese Aktualisierungen informiert werden.

Schließlich sollte der Wiederherstellungsplan für verschiedene Situationen einen vollständigen Kommunikationsplan enthalten, der sich sowohl an die von der Verletzung betroffenen Parteien als auch an die internen Parteien, die mit den Daten umgehen, richtet.

Drehen Sie die Dinge so oft wie möglich um

Natürlich müssen Sie das Ausmaß und die Folgen des Verstoßes in Ihrer Korrespondenz öffentlich und intern sorgfältig erläutern. Eine gute Lösung ist es, auf die negativen Auswirkungen des Verstoßes und die positiven und proaktiven Schritte hinzuweisen, die Sie zu unternehmen gedenken.

Zu diesen positiven Schritten können zum Beispiel gehören:

Investitionen in Software im gesamten Unternehmen

Die Investition in Technologie ist ein idealer Weg, um die Dinge umzukehren und Ihr Engagement zu verdeutlichen. Ein System, das beispielsweise eine mögliche Datenschutzverletzung automatisch und frühzeitig erkennt, bringt erhebliche Vorteile und trägt schnell und frühzeitig zur Verringerung von Zwischenfällen bei.

Berichten zufolge lassen sich durch die Investition in ein solches Tool die Kosten für eine Datenschutzverletzung um 50 Prozent senken.

Regelmäßige Prüfungen durchführen und darüber sprechen

Um die bestehenden Sicherheitsprozesse zu überprüfen und den Wiederherstellungsplan und die Verfahren entsprechend zu ändern, sollten Sie regelmäßige Audits einplanen. Auf diese Weise können Sie sicherstellen, dass Sie alle personenbezogenen Daten, die das Unternehmen verarbeitet, kennen, mögliche Bedrohungen erkennen und rechtzeitig Präventivmaßnahmen ergreifen.

Mitteilung der Prüfungsergebnisse an die wichtigsten Beteiligten nach jeder Prüfung und Angabe von Alternativen/Lösungen für mögliche Probleme.

Schaffung einer Kultur des Schutzes der Privatsphäre durch Verfechter der Datensicherheit

Ein weit verbreitetes Missverständnis in Bezug auf den Datenschutz ist, dass bestimmte Personen, wie Datenschutzbeauftragte oder Beauftragte für Informationssicherheit, allein dafür verantwortlich sind. Datensicherheit ist jedoch eine Teamleistung.

Innerhalb Ihres Unternehmens könnten Sie einen Rahmen für eine Datenschutzkultur schaffen. Die Mitarbeiter werden zu Datenschutzbeauftragten ernannt und sind dafür verantwortlich, dass ihr Team oder ihre Abteilung alle bestehenden Datenschutzprozesse und -verfahren kennt.

Dies wird dazu beitragen, die Möglichkeit eines internen Datenverlusts zu verringern und mögliche Probleme zu erkennen, bevor sie sich zu Sicherheitsvorfällen entwickeln.

Transparent und frei verbinden

Sobald die Verletzung behandelt wurde, trägt eine angemessene Kommunikation über das Problem sowohl extern als auch intern erheblich zur Wiederherstellung eines beschädigten Rufs bei.

Kommunikation mit den Betroffenen

Gemäß der Datenschutz-Grundverordnung sollte das Unternehmen die betroffenen Personen unverzüglich benachrichtigen, wenn davon auszugehen ist, dass der Verstoß ein hohes Risiko für die Rechte und Freiheiten der Personen mit sich bringt.

Kommunizieren Sie transparent mit den Betroffenen, klären Sie die Situation, teilen Sie mit, was der Verstoß für die Daten der Betroffenen bedeutet und welche Schritte Sie unternommen haben oder unternehmen werden, um den Vorfall zu beheben.

Bieten Sie die Möglichkeit zu einer offenen Diskussion mit den betroffenen Personen und Ihren Organisationen und machen Sie Ihre Handlungselemente transparent. Dies wird dazu beitragen, den Schaden für die Moral der Kunden/Mitarbeiter zu verringern.

Kommunikation innerhalb Ihres Unternehmens

Kommunizieren Sie auf einer Need-to-kn
ow-Basis, aber innerhalb der Organisation, tun Sie es frei. Indem Sie proaktiv über die Verletzung kommunizieren, einschließlich der Angaben darüber, welche Informationen vertraulich bleiben sollen, behalten Sie die Kontrolle darüber, welche Informationen zwischen den Mitarbeitern ausgetauscht werden.

Stellen Sie sicher, dass die Mitarbeiter mit Kundenkontakt auch ihre Position in der Kommunikationsstrategie kennen und mit den Botschaften des Unternehmens in Bezug auf die Sicherheitsverletzung übereinstimmen.

Sie können auch die Kommunikation mit den Behörden aufnehmen, um sich ein vollständiges Bild von dem Vorfall zu machen und sie zu fragen, ob zusätzliche Maßnahmen auf ihrer Seite dazu beitragen können, die Möglichkeit eines Verstoßes in Zukunft zu verringern.

Gemeinsam von einer Datenschutzverletzung erholen

Datenschutzverletzungen können auch dann auftreten, wenn alle Schutzvorkehrungen getroffen wurden. Obwohl es von entscheidender Bedeutung ist, eine Datenschutzverletzung innerhalb der in der DSGVO festgelegten 72 Stunden zu bewältigen, ist es ebenso wichtig, die Wochen und Monate nach der Verletzung damit zu verbringen, die Glaubwürdigkeit Ihres Unternehmens zu überprüfen und schnell wiederherzustellen.

Die Untersuchung, der Schriftverkehr und die Aufstellung eines Wiederherstellungsplans sind jedoch nicht allein Sache des DSB. Beziehen Sie die Abteilungen ein, die Sie als geschlossene Einheit dabei unterstützen, das Beste aus der Situation zu machen und sich auf die Wiederherstellung zu konzentrieren.

Die wichtigsten Aufgaben des DSB

Was ist der DSB DSGVO? Ist er obligatorisch? Warum wird er benannt? Was sind seine Aufgaben? Hier sind einige Fragen von allen Organisationen seit Inkrafttreten

mehr »