Reaktion auf Datenschutzverletzungen

What Is Reaktion auf Datenschutzverletzungen?

Die Reaktion auf Datenschutzverletzungen der DSGVO ist der obligatorische Prozess zur Erkennung, Bewertung und Meldung von Verletzungen des Schutzes personenbezogener Daten innerhalb der in Artikel 33 der Verordnung festgelegten 72-Stunden-Benachrichtigungsfrist. Eine nicht rechtzeitige Meldung kann zu Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes führen. Diese Übung versetzt Sie in die ersten Stunden, nachdem Ihr Unternehmen feststellt, dass möglicherweise personenbezogene Daten kompromittiert wurden. Sie beginnen mit der Einstufung des Vorfalls: Sie bestimmen, wie viele Datensätze betroffen sind, welche Kategorien personenbezogener Daten betroffen sind und ob der Verstoß ein Risiko für die Rechte und Freiheiten des Einzelnen darstellt. Von dort aus verfassen Sie die Meldung an Ihre Aufsichtsbehörde, die die Art des Verstoßes, die ungefähre Anzahl der betroffenen Personen, die wahrscheinlichen Folgen und die zur Behebung des Verstoßes ergriffenen Maßnahmen enthalten muss. Dabei geht es auch darum, wann und wie betroffene Personen direkt zu benachrichtigen sind, was obligatorisch wird, wenn der Verstoß voraussichtlich zu einem hohen Risiko für ihre Rechte führt. Sie üben, die schwierigen Entscheidungen zu treffen, die bestimmen, ob ein Vorfall als meldepflichtiger Verstoß gilt oder unter den Schwellenwert fällt. Echte Durchsetzungsmaßnahmen, darunter die Geldstrafe von 20 Millionen Pfund gegen British Airways wegen verspäteter Reaktion, verdeutlichen, warum Schnelligkeit und Genauigkeit in den ersten kritischen Stunden wichtig sind.

What You'll Learn in Reaktion auf Datenschutzverletzungen

• Bewerten Sie den Schweregrad des Verstoßes, indem Sie Datenkategorien, die Menge der betroffenen Datensätze und das Risiko für Einzelpersonen klassifizieren
• Entwerfen Sie eine Meldung an die Aufsichtsbehörde, die alle gemäß Artikel 33 Absatz 3 DSGVO erforderlichen Elemente enthält.
• Stellen Sie fest, ob ein Verstoß den Schwellenwert für „hohes Risiko“ erreicht und eine direkte Benachrichtigung der betroffenen Personen erfordert
• Koordinieren Sie den internen Reaktionszeitplan, um die 72-Stunden-Meldefrist ab dem Zeitpunkt der Kenntnisnahme einzuhalten
• Dokumentieren Sie Entscheidungen und Begründungen zur Reaktion auf Verstöße, um die Verantwortlichkeit während der behördlichen Überprüfung nachzuweisen

Reaktion auf Datenschutzverletzungen — Training Steps

1. Einführung

   In der heutigen Schulung lernen Sie die Meldepflichten bei Datenschutzverletzungen der DSGVO kennen – eine der wichtigsten Compliance-Verpflichtungen, die jedes Unternehmen, das mit personenbezogenen Daten umgeht, verstehen muss.

2. Routinemäßiger Datenexport

   Alice bereitet einen routinemäßigen Kundendatenexport für VendorPartner Inc. vor, einen legitimen Drittanbieter-Integrationspartner. Die Tabelle enthält 847 Kundendatensätze, darunter Namen, E-Mail-Adressen, Telefonnummern und Postanschriften. Dies ist eine wöchentliche Standardaufgabe, die Alice schon Dutzende Male erledigt hat. Sie öffnet ihren E-Mail-Client, um die Datei an John Smith bei VendorPartner zu senden.

3. Der Fehler

   Alice beendet die Eingabe der E-Mail und klickt auf „Senden“. Ein paar Sekunden später wirft sie einen Blick auf den Ordner „Gesendet“ und stellt fest, dass etwas nicht stimmt. Die E-Mail wurde an john.smith847@gmail.com statt an die richtige Adresse gesendet: john.smith@vendorpartner.com – die automatische Vervollständigung schlug eine ähnlich aussehende persönliche Gmail-Adresse vor, und Alice klickte darauf, ohne sorgfältig zu prüfen. 847 Kundendatensätze befinden sich nun in den Händen einer unbekannten Person.

4. Die kritische Entscheidung

   Alices Herz sinkt. Ihr erster Instinkt ist zu hoffen, dass es niemandem auffällt – vielleicht löscht der Empfänger es einfach? Vielleicht kann sie so tun, als wäre es nie passiert? Aber Alice erinnert sich an ihre DSGVO-Schulung. Eine Datenschutzverletzung umfasst die „versehentliche oder rechtswidrige Offenlegung personenbezogener Daten“. Das Versenden von Kundendaten an die falsche E-Mail-Adresse ist eindeutig qualifiziert. Gemäß Artikel 33 der DSGVO hat ihr Unternehmen genau 72 Stunden Zeit, um die Aufsichtsbehörde zu benachrichtigen, nachdem sie von dem Verstoß Kenntnis erlangt hat. Die Uhr beginnt jetzt – nicht erst, wenn die Ermittlungen abgeschlossen sind.

5. Zugriff auf das Incident-Portal

   Alice beschließt, das Richtige zu tun und den Vorfall sofort zu melden. Sie öffnet das unternehmensinterne Vorfallmeldesystem. DataGuard Solutions verfügt über ein spezielles Portal zur Meldung von Verstößen, das eine direkte Verbindung zum Datenschutzbeauftragten (DPO) und dem Incident-Response-Team herstellt.

6. Einreichen des Verstoßberichts

   Alice füllt das Formular zur Vorfallmeldung mit vollständigen Angaben zur fehlgeleiteten E-Mail aus. Gründlichkeit und Ehrlichkeit sind unerlässlich – der Datenschutzbeauftragte benötigt genaue Informationen, um die Schwere des Verstoßes einzuschätzen und die Benachrichtigungsanforderungen festzulegen.

7. Antwort des DSB

   Wenige Minuten nach Übermittlung der Meldung erhält Alice einen Anruf von Dr. Sarah Chen, der Datenschutzbeauftragten des Unternehmens. Dr. Chen dankt Alice für die sofortige Meldung und erklärt, wie der Prozess zur Bewertung von Verstößen gemäß der DSGVO funktioniert.

8. Die 72-Stunden-Regel verstehen

   Dr. Chen erklärt die wichtigsten DSGVO-Anforderungen: Artikel 33 : Verantwortliche müssen die Aufsichtsbehörde innerhalb von 72 Stunden, nachdem sie von einem Verstoß Kenntnis erlangt haben, benachrichtigen Die Uhr begann, als Alice feststellte, dass die E-Mail an die falsche Adresse ging – nicht, als die Untersuchung abgeschlossen war Wochenenden und Feiertage verlängern die Frist nicht Eine unterlassene Benachrichtigung kann zu Geldstrafen von bis zu 10 Millionen Euro oder 2 % führen weltweiter Jahresumsatz Der DSB wird nun beurteilen, ob dieser Verstoß „wahrscheinlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ – wenn ja, ist eine Benachrichtigung der Behörde obligatorisch.

9. Eindämmungsmaßnahmen

   Das Vorfallreaktionsteam hat mit Eindämmungsmaßnahmen begonnen: E-Mail-Rückrufversuch über den Mailserver IT-Sicherheit analysiert Serverprotokolle Die Rechtsabteilung wurde benachrichtigt Der unbekannte Gmail-Empfänger wurde mit der Bitte um Löschung kontaktiert Dr. Chen erklärt, dass der Verstoß auch bei Eindämmungsbemühungen dokumentiert und möglicherweise gemeldet werden muss. Die entscheidende Frage ist, ob der Verstoß ein Risiko für die betroffenen Personen darstellt.

10. Dokumentation des Vorfalls

    Auch wenn keine Meldung an die Aufsichtsbehörde erforderlich ist, schreibt die DSGVO vor, dass alle Verstöße intern dokumentiert werden müssen. Alice wird gebeten, zusätzliche Unterlagen über den Vorfall bereitzustellen, einschließlich des genauen Zeitrahmens und aller ihr vorliegenden Beweise.