fbpx

Datenschutzverletzung – was nun?

Veröffentlicht von Stefan Schreiner am

8 grundlegende Handlungen, um auf einen Vorfall zu reagieren

Eine Organisation sollte einen Notfallplan haben, wie sie auf eine Datenschutzverletzung reagiert. Dieser Plan sollte auch regelmäßig geübt, verfeinert und angepasst werden und an die möglicher Weise auftretenden neuen Arten von Angriffen laufend angepasst werden. Das allgemeine Risikomanagement der Organisation lebt von diesen Informationen und gibt den strategischen Handlungsrahmen vor.

Es ist zu beobachten, dass Organisationen versuchen in die Vorlage zu kommen. Aus einer rein reaktiven Haltung – erst dann handeln, wenn etwas schon passiert ist – wird immer öfter eine Vorbereitung auf den möglichen Vorfall. Eine Vorbereitung auf einen Vorfall, wie eine Datenschutzverletzung zum Beispiel, sollte zumindest diese acht Themen beinhalten.

1. Betroffene Benachrichtigen

Ein Notfallplan sollte vorsehen, wer, wann und auf Grund welcher Art von Vorfall, verständigt werden sollte. Ein in der Datenschutz Grundverordnung (vgl.: DSGVO) vorgesehenes Verfahrensverzeichnis kann hierfür als Grundlage dienen. Grundlage dann, wenn die Transparenz der Abläufe, Prozesse, es zulässt, dass zumindest die Art, der vom Vorfall betroffenen Daten, festgemacht werden kann. Noch besser ist es, wenn durch Einschränkung auf einen Teilprozess und Zeitraum, die konkrete Anzahl von betroffenen Personen und Daten ausgemacht werden kann.

Eine konkrete Benennung (zumindest) der Anzahl der betroffenen personenbezogenen Daten ist intern, wie auch extern, von Vorteil. Intern in Bezug auf Risikomanagement (vgl.: Rückstellung bei möglicher Schadensersatzpflicht et al.), extern wenn es als Nachweis gegenüber einer Behörde dient, wie auch gegenüber einer Versicherung, die das Risiko übernimmt.

Eine Versicherung, die diesen Bereich abdeckt, beinhaltet fallweise auch die Begleitung und Unterstützung der externen Kommunikation und rechtsfreundliche Vertretung gegenüber Dritten. Die Aktivierung und Einbindung Dritter sollten bei Bedarf klar an alle Betroffenen kommuniziert werden. Sowohl Versicherung, als auch externe Unterstützer, Experten, werden als eigener Punkt abgehandelt.

2. Externe Experten

Wie schon weiter oben beschrieben kann ein Plan vorsehen externe Dienstleister, Experten, zur Unterstützung und Bewältigung des Vorfalls einzubinden. Das sind in der Regel folgende,

  • Rechtsfreundliche Beratung und Vertretung, meist eine Leistung einer Cyber Versicherung
  • Versicherungsunternehmen bei dem das Cyber Risiko platziert ist
  • Meldung an das Computer Emergency Response Team (vgl.: cert) in Österreich cert.at. Wichtig ist, und darauf muss hingewiesen werden, das Cert ist kein allgemeiner Helpdesk. Eine Meldung kann nach dem Netzwerk- und Informationssicherheitsgesetz (vgl.: NISG) sogar verpflichtend sein. Eine Meldung kann online hier erfolgen.
  • Meldung an die Datenschutzbehörde (vgl.: dsb) innerhalb von 72 Stunden (vgl.: Art 33 DSGVO), wenn es sich um eine Datenschutzverletzung handelt. Das Formular ist hier zu finden.
  • Externer Dienstleister für Öffentlichkeitsarbeit (vgl.: public relations) – möglicherweise ein Leistungsaspekt einer Cyber Versicherung.
  • Externer Anbieter auf den einkommende Kommunikation umgeleitet werden kann. Inklusive Eskalations- und Beschwerdemanagement.
  • Externer Dienstleister zur qualifizierten Sicherung von möglichen Beweismitteln.
  • Externer Dienstleister unterstützend im Rahmen der Erfüllung regulatorischer Vorgaben und Auflagen. (vgl.: Compliance)

Die Reaktionszeit der möglichen externen Unterstützer ist in die Risikobetrachtung mit einzubeziehen.

3. Krisen Kommunikation

Es empfiehlt sich für diese Art von Kommunikation sich eines externen Dienstleisters zu bedienen. Dieser hat Erfahrung mit dieser Form der Kommunikation und vor allem aber verfügt er auch über die entsprechenden Ressourcen – zumindest zeitnah. Krisenkommunikation unterscheidet sich massgeblich von der üblichen Unternehmenskommunikation. Die Organisation selbst kann sich mit einem externen Dienstleister und Kommunikator mehr auf die Brandlöschung an sich konzentrieren. Erfahrung im Umgang mit finanziellen Institutionen durch den externen Dienstleister, bezüglich Kreditrating und ähnliches, kann in so einem Fall von vitalem Interesse für die Organisation selbst sein.

Pressetexte können und sollten schon im Vorfeld erstellt werden, um sie im Fall der Fälle schnell zu veröffentlichen. Im Rahmen der Effizienz werden damit Ressourcen für die eigentliche Behebung und Reaktion auf Unvorhersehbares, im Rahmen eines Datenschutzvorfalles, frei.

4. Risikoübertragung (Versicherung)

Ein Risiko kann bewältigt werden indem man es auf einen anderen überträgt. In dem Fall ist es eine Versicherung, die das Risiko übernimmt. Welches Risiko Objekt wie versichert ist, unterscheidet sich natürlich zwischen den Anbietern im Leistungs- und Prämienumfang. Eine Cyber Versicherung für Datenschutz hat einen anderen Deckungsumfang und -inhalt, als eine Cyber Versicherung für Datensicherheit. Die erste deckt Datenschutzverletzungen von personenbezogenen Daten, die zweite deckt Vermögenschäden im Betrieb. Ergebnis einer Risikoerhebung und -analyse ist, wie mit diesen umgegangen wird. Damit ergibt sich ein Leistungsumfang einer Versicherung.

5. Aufklärung oder Aufarbeitung

Bei einer Aufklärung werden alle Vorgänge zu diesem Vorfall so erfasst, dass sie im Rahmen eines (gerichtlichen) Verfahrens verwertbar und anerkennbar sind. Damit ist die Art und Weise, wie die Information erhoben wird und wie mit dieser Information umgegangen wird, gemeint. Eine solche Erhebung schränkt zumindest die eigentliche Geschäftstätigkeit massiv ein, wenn sie sie nicht sogar vollständig unterbindet, weil Echtheit, Zuordenbarkeit und Unversehrtheit der Information gewährleistet sein muss.

Eine Aufarbeitung im Gegensatz dazu kann schon viel früher eingreifen. Früher, weil Reaktion und Gegenmaßnahme aktiv während eine Vorfalls gesetzt werden können. Gegenmaßnahmen können aber bewirken, dass eine vollständige Aufklärung nicht mehr möglich ist. Im besten Fall, weil der Vorfall in einem so frühen Stadium bereits unterbunden wird, dass es zu keiner Kompromittierung kommen kann. Hauptaugenmerk liegt auf der Aufrechterhaltung, oder zumindest möglichst schnelle Wiederherstellung, eines geregelten Betriebes.

Ein Soll Ist Vergleich von Plan und realem Ablauf sollte bei beiden Arten von Reaktion stattfinden, um im Rahmen einer Qualitätssicherung den Reifegrad des zu Grunde liegenden Prozesses zu erhöhen. Welche der beiden Arten – Aufklärung, oder Aufarbeitung – gewählt wird, obliegt der Führung und kann im Anlassfall entschieden werden. Meist gilt es die wirtschaftliche Überlebensfähigkeit zu sichern und entsprechend als Standardverfahren wird die Aufarbeitung gewählt. Bei strafrechtlich relevanten Vorgänge sollte aber eine Aufklärung aus Eigenschutzinteresse zum Zuge kommen.

6. Compliance

Gesetzliche Rahmenbedingungen, die zu erfüllen sind, gibt es unzählige. In diesem Zusammenhang sind aber prominent zu nennen,

Die DSGVO und das Datenschutzgesetz (vgl.: DSG) sehen vor, dass innerhalb von 72 Stunden, ab Kenntnis über einen Datenschutzvorfall, eine Meldung zu erfolgen hat. Dieser Zeitraum ist sehr knapp bemessen und sollte Eingang in Planung und Umsetzung eines Notfallplanes finden – vor allem, wenn man ein “verlängertes” Wochenende in Betracht zieht.

7. Interne Blockaden vermeiden

Wer bei der Aufarbeitung, oder Aufklärung, eingesetzt wird, hängt von der Art des Vorfalls, der Zuständigkeit und Verantwortlichkeit ab. Um eine abgestimmte Kommunikation mit außenstehenden, wie Behörden, umzusetzen und damit Missverständnissen vorzubeugen, empfiehlt es sich hier auf externen rechtlichen Beistand zurückzugreifen. Zu internen Blockaden kann es kommen, wenn Verantwortlichkeiten nicht klar geregelt und getrennt sind. Hier kann ein sauberes Verfahrensverzeichnis als Grundlage dienen.

8. Vertrauen bewahren

Ein wichtiger Bestandteil der Krisenkommunikation ist die Bewahrung des Vertrauens der verschiedenen Interessensgruppen. Jede Interessengruppe hat ein eigenes Informationsbedürfnis. Kreditgeber sind an der finanziellen Leistungsfähigkeit interessiert, Aufsichtsorgane an der Handlungsfähigkeit der Führung und den von der Führung gesetzten Maßnahmen, auch Mitarbeiter wollen entsprechend informiert werden. Mitarbeiter müssen auch über die Sensibilität der Information und deren Weitergabe aufgeklärt werden.