Da ist sie nunmehr auch schon – die zweite Folge unserer Podcast-Reihe #datenpanne?! – Der Podcast zu Datenschutz und Cybersicherheit.
Worum ging es in der zweiten Folge? Wir haben uns mit zwei Fragen beschäftigt: Warum nennt man einen Podcast #datenpanne und was ist die aktuelle Entwicklung im Bereich der Datenpannen?
Insbesondere für die Beantwortung der zweiten Frage möchten wir Euch hier noch einigen Input zur Verfügung stellen, mit dem ihr Euch vertiefend noch einmal mit der Thematik beschäftigen könnt.
Zum Einstieg weisen wir Euch auf zwei Pressemitteilungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hin, in denen es um aktuelle Cyberangriffe auf Unternehmen und kommunale Verwaltungen geht:
Zunahme von erfolgreichen Cyber-Angriffen mit Emotet – BSI rät zu Schutzmaßnahmen
Empfehlungen bei IT-Angriffen auf kommunale Verwaltungen
Die oben verlinkten Pressemitteilungen geben Euch einen groben Einblick darin, worum es beim Thema Datenpanne gehen könnte. Eine genauere Vorstellung erhaltet ihr jedoch spätestens dann, wenn wir diesen Begriff definieren:
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Art. 33 Abs. 1 DSGVO
Einfach gesagt: Eine Datenpanne ist grundsätzlich jedes Ereignis, bei dem der Schutz personenbezogener Daten verletzt wurde.
Die Bewertung, ob eine Datenpanne tatsächlich vorliegt, nimmt der sogenannte „Verantwortliche“ zusammen mit dem Datenschutzbeauftragten in den meisten Unternehmen vor. Dabei muss insbesondere zwischen den, so ist dies zumindest in unserem Unternehmen gängige Praxis, sogenannten „objektiven“ und „subjektiven“ Datenpannen unterschieden werden – also zwischen denjenigen, die nur von den Menschen als Datenpanne empfunden wird und denen, die auch in objektiver Hinsicht tatsächlich eine Datenpanne sind.
Was ist nun ein Beispiel für eine „objektive“ Datenpanne? Ein Beispiel aus der jüngeren Praxis verdeutlicht es: der Cyberangriff auf der Ruhr-Universität Bochum.
Welche Tipps können wir geben, wenn ihr einer Datenpanne zum Opfer gefallen seid? Es sind folgende drei erste „Sofort-Maßnahmen“:
- Bleibt ruhig!
- Beruhigt Euch! Hektik ist die schlechteste Handlung, die ihr nunmehr vornehmen könnt.
- Nehmt Kontakt mit Führungskräften und – wenn vorhanden – mit dem Datenschutzbeauftragten auf!
Wenn ihr nun denkt, dass Datenpannen etwas Seltenes sind und daher die vorhergehenden Infos für Euch nur bedingt relevant sind, dann beachtet bitte folgendes: Jedes Unternehmen, jede Organisation kann heutzutage Betroffener einer Datenpanne werden: Sei es über die falsche Versendung einer E-Mail, ein Hacker-Angriff, ein verlorener Laptop oder ein USB-Stick, der gestohlen wurde. In all diesen Fällen kann es sich um Datenpannen handeln, die schlussendlich auch dokumentiert werden muss.
Unsere Empfehlung ist daher, eine strukturierte Dokumentation von Datenpannen durchzuführen. Wenn es darum geht, dass ihr für Euer Unternehmen ein standartisiertes Dokument erstellen möchtet, ist unsere Empfehlung, sich ein entsprechendes Muster anhand des Online-Formulars der Bayerischen Landesaufsicht zu erstellen.