GDPR Top Ten: Security and breach notification

Perspectives

DSGVO Top 10: #9 Datensicherheit und der Umgang mit Datenschutzvorfällen nach der DSGVO

Was sagt die DSGVO dazu, wie Sie personenbezogene Daten schützen sollten?

Modernes Sicherheitsdenken

Der Schutz von Daten, insbesondere personenbezogener Daten, wird heute in Zeiten von datengetriebenen Geschäftsmodellen und einer zunehmenden Digitalisierung des Alltags immer wichtiger. Schon jetzt weiß Ihr intelligenter Stromzähler wann Sie zur Arbeit gehen, ob Ihr Fernseher gerade läuft und wann Sie Ihre Wäsche waschen. Ihre Smartwatch kennt Ihren aktuellen Gesundheitsstatus und Ihre Freunde halten Sie über eine Vielzahl von Social-Media-Kanälen immer auf dem neusten Stand. All diese Daten können Sie natürlich von jedem Ort der Welt abrufen. Der Cloud sei Dank. Den Fall, dass diese Daten in falsche Hände geraten könnten mag man sich dabei kaum vorstellen.

Die Zeiten in denen Sie Ihre Daten und die Daten Ihrer Kunden alleine durch eine Firewall und gut gewählten Passwörtern vor externen Angriffen schützen konnten sind vorbei. Angreifer versuchen heutzutage mit ausgeklügelten Methoden an die immer wertvoller werdenden Daten Ihrer Kunden und die Ihres Unternehmens zu gelangen. Sie müssen daher sicherstellen, dass diese schutzbedürftigen Daten durch technische und organisatorische Maßnahmen angemessen geschützt werden. Es gibt allerdings keinen vollständigen Schutz vor solchen Angriffen oder unabsichtlichen Verlusten von personenbezogenen Daten. Präventive Maßnahmen alleine sind deshalb nicht mehr ausreichend. Sie müssen auch sicherstellen, dass Sie Datenschutzvorfälle erkennen und auf solche Vorfälle angemessen reagieren können.

Dieses Thema greift auch die Datenschutz-Grundverordnung (DSGVO) auf, indem sie umfassende Anforderungen an den Datenschutz und die Datensicherheit durch technische und organisatorische Maßnahmen stellt. Im Vergleich zur aktuell noch geltenden EU Richtlinie 95/46/EC, welche in Deutschland durch das BDSG umgesetzt wurde, werden diese Anforderungen künftig mit der DSGVO deutlich verschärft und ausgeweitet. In diesem Artikel sollen die Anforderungen an die Identifikation von und den Umgang mit Datenschutzvorfällen näher beleuchtet werden.

Sicherheit bei der Verarbeitung

Auch mit der DSGVO stellen technische und organisatorische Maßnahmen, wie Sie sie bereits aus dem BDSG kennen, die Grundlage zum Schutz von personenbezogenen bei der Verarbeitung dar. Diese müssen nunmehr risikobasiert gewählt und umgesetzt werden. Verarbeitungsvorgänge bei denen z.B. durch eine Smartwatch aufgezeichnete Gesundheitsdaten – welche zu den besonderen Kategorien von personenbezogenen Daten zählen -  verarbeitet werden müssen dabei tendenziell besser geschützt werden als einfache Kontaktdaten.

Zu beachten ist dabei allerdings, dass es bei den Risiken nach der DSGVO ausschließlich um solche für den Betroffenen geht. Die Risiken, welche z.B. durch den Verlust von Betriebs- und Geschäftsgeheimnissen drohen sind zumindest aus Datenschutzsicht nicht relevant. Gleichwohl sollten diese natürlich auch Perspektive des Unternehmens angemessen geschützt werden. Sie können und sollten daher in die Risikobewertung für alle Verarbeitungstätigkeiten durchführen. Risiken für die Rechte und Freiheiten von Betroffenen dürfen dabei nicht geringer gewichtet werden, als Risiken für das Unternehmen.

Wenn personenbezogene Daten in falsche Hände geraten

Selbst mit den besten Maßnahmen zum Datenschutz und zur Datensicherheit können Datenschutzvorfälle nicht vollständig ausgeschlossen werden. Es ist daher wichtig und notwendig sich auf diesen Fall vorzubereiten. Schließlich kann der Verlust oder die ungewollte Offenlegung von personenbezogenen Daten zu teilweise verheerenden Folgen bei den Betroffenen führen und erheblich dem Image des verursachenden Unternehmens schaden. Mit der DSGVO drohen außerdem Bußgelder bis zu 10.000.000 € bzw. bis zu 4 % des weltweiten Jahresumsatzes.

Die Artikel 33 und 34 der DSGVO verpflichten daher Unternehmen auf Datenschutzvorfälle angemessen zu reagieren. Danach müssen Datenschutzvorfälle, welche ein Risiko für die Rechte und Freiheiten der Betroffenen darstellen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Im Falle von hohen Risiken für die Betroffenen müssen diese ebenfalls unverzüglich über die Datenpanne, die möglichen Folgen und etwaige Abhilfemaßnahmen informiert werden.

Mit diesen Anforderungen sind vielfältige Herausforderungen für die Unternehmen verbunden.

1. Identifikation von potentiellen Datenschutzvorfällen

Eine wesentliche Herausforderung stellt die Identifikation von Datenschutzvorfällen dar. Es muss innerhalb des Unternehmens, z.B. durch bereitgestellte Richtlinien, Schulungen und Datenschutz-(Awareness)-Workshops, sichergestellt werden, dass alle Mitarbeiter ein ausreichendes Bewusstsein für das Thema Datenschutz haben und in der Lage sind potentielle Datenschutzvorfälle umgehend zu identifizieren. Darüber hinaus sollten auch technische Erkennungsmöglichkeiten in einem für das Unternehmen angemessenen Umfang eingesetzt werden. Auftragsverarbeiter sollten entsprechend der Vorgaben des Unternehmens zu Datenschutzvorfällen in Vereinbarungen verpflichtet werden.

2. Meldewege

Weiterhin müssen Meldewege für potentielle Datenschutzvorfälle im Unternehmen festgelegt und sowohl an Mitarbeiter als auch Auftragsverarbeiter kommuniziert werden, sodass auf etwaige Datenschutzvorfälle möglichst schnell reagiert werden kann. Nur so kann rechtzeitig drohenden Imageschäden entgegengewirkt und die kurzen datenschutzrechtlichen Meldefristen eingehalten werden. Es muss außerdem sichergestellt werden, dass alle notwendigen Informationen gemeldet werden. Dabei können Formulare zur Meldung von Datenschutzvorfällen und klare Eingangskanäle helfen.

3. Bewertung von Datenschutzvorfällen

Eine wesentliche Herausforderung stellt die Bewertung der potentiellen Datenschutzvorfälle dar. Dafür müssen objektive Kriterien festgelegt werden um zu identifizieren, ob es sich überhaupt um eine datenschutzrechtliche Datenpanne handelt und wenn ja, ob diese ein Risiko bzw. sogar ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellt.
Um die kurzfristige Entscheidungsfähigkeit der verantwortlichen Stelle bei einem Datenschutzvorfall sicherstellen zu können, sollten organisatorische Maßnahmen getroffen werden. Es sollte ein Krisenteam, bestehend aus dem Bereich Datenschutz, Informationssicherheit, PR und ggf. dem Management, benannt werden, welches kurzfristig einberufen werden kann und Entscheidungsgewalt hat. Es ist wichtig, dass die Rollenverteilung und Verantwortlichkeiten innerhalb des Prozesses definiert sind. Mit Checklisten kann dabei sichergestellt werden, dass keine wichtigen Aspekte in der Kürze der Zeit übersehen werden und alle notwendigen Maßnahmen ergriffen werden.

4. Meldung an die Aufsichtsbehörde bzw. die Betroffenen

Es ist sinnvoll, Konzept für eine Meldung von Datenschutzvorfällen an die Aufsichtsbehörde und gerade auch an Betroffene zu erstellen. Dadurch kann im Krisenfall wertvolle Zeit eingespart werden, welche zur Behebung der Ursachen und der weiteren Eindämmung von Schäden genutzt werden kann.

Ausblick

Was hat das alles zu bedeuten? Sollten Sie jetzt jeden kleinen Datenschnipsel, den Sie verarbeiten, verschlüsseln und pseudonymisieren? Sollten Sie Ihre gesamten Prozesse zur Behandlung von Datenschutzvorfällen neu definieren und sich damit auf die Meldung dieser konzentrieren? Diese Reaktion wäre wohl überhastet.

Stellen Sie sicher, dass Sie angemessene Risikobewertungen durchführen und definieren Sie dann Ihre technischen und organisatorischen Maßnahmen auf der Grundlage dieser Bewertungen. Adressieren Sie die Maßnahmen so, dass sie Sicherheitsprozesse und Kontrollen zu den Domänen „Verhindern, Erkennen und Reagieren“ möglichst effizient abbilden. Zu guter Letzt sollte ein Teil Ihrer Reaktionsmaßnahmen die Prozesse zur Meldung von Datenschutzvorfällen umfassen.

Sollten Sie bereits eine effektive und effiziente Sicherheitsorganisation betreiben, sagt Ihnen die DSGVO, dass Sie die gute Arbeit aufrechterhalten sollen. Wenn Sie noch nicht ganz auf diesem Niveau sind, ermutigt die DSGVO Sie, entsprechend an Ihren Maßnahmen zu feilen. Ziel all dieser Maßnahmen ist es Vertrauen aufzubauen und zu erhalten. Wenn Sie möchten, dass Ihnen Kunden ihre persönlichen Daten anvertrauen, stellen Sie sicher, dass Sie dieses Vertrauen verdienen.

Verwandte Themen