Verletzungen der Datensicherheit oder Datendiebstähle passieren in Unternehmen jeden Tag. Doch was müssen Sie tun, wenn Sie z. B. erfahren, dass ein unverschlüsselter USB-Speicherstick mit sensiblen Daten verloren gegangen ist oder Personendaten durch einen Angriff auf Ihre IT abgeflossen sind?
Unter dem Schweizer Datenschutzgesetz (DSG) gelten für Datensicherheitsverletzungen die in Art. 24 DSG festgelegten Massnahmen. Demnach müssen Sie schnell, aber auch achtsam und vor allem juristisch korrekt handeln. In dieser Anleitung zum DSG-konformen Umgang mit Datenpannen erfahren Sie, wie das am besten geht.
1. Schritt: Datenpanne umgehend bemerken
Wie schnell würde in Ihrem Unternehmen ein Datenleck oder Datenverlust auffallen? Ein möglicher Schaden lässt sich nur dann in Grenzen halten, wenn Vorfälle möglichst sofort entdeckt und Gegenmassnahmen ergriffen werden.
Ihre IT-Mitarbeiter, aber auch alle anderen Beschäftigten mit IT-Zugriff sollten daher für Auffälligkeiten sensibilisiert bzw. geschult sein.
Kontrollieren Sie zudem regelmässig, ob entsprechende technische und organisatorische Vorkehrungen der Informationssicherheit getroffen sind und ob ungewöhnliche Ereignisse von den Verantwortlichen genügend ernst genommen und überprüft werden. Beispiele für solche Massnahmen sind:
- Erfolgt eine Warnung bei fehlgeschlagenen Anmeldeversuchen und unerlaubten Zugriffen auf das Dateisystem? Wie werden solche Ereignisse behandelt?
- Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen?
- Inwieweit erfolgt eine regelmässige Kontrolle zentraler Server?
- Sind die Mitarbeiter hinreichend sensibilisiert, so dass diese in der Lage sind Datensicherheitsverletzungen zu bemerken?
- Wie sind die Meldewege für Datensicherheitsverletzungen definiert und sind sie allen Mitarbeitern bekannt?
- Gibt es ein zentrales Regelungsdokument zu Datensicherheitsverletzungen?
2. Schritt: Der Situation Herr werden durch Implementation eines Incident-Response-Managements
Um angemessen auf einen Vorfall reagieren zu können, müssen Sie selbstverständlich zunächst erfassen, was passiert ist. Dafür sollten eindeutige Zuständigkeiten definiert sein. Wenn Sie etwa feststellen, dass Ihre Webseite gehackt wurde: Wen können Sie rund um die Uhr erreichen, der die Sicherheitslücke schliesst und umgehend prüft, auf welche Daten zugegriffen wurde? Sind auch alle anderen Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen?
Am besten erstellen Sie für dieses Vorgehen eine Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere den zuständigen Personen für Informationssicherheit und Datenschutz.
Ziel ist es, dadurch ein Incident-Response-Management aufzubauen, mit dem auf eine Störung (Incident) unmittelbar reagiert (Response) werden kann.
3. Schritt: Gesetzliche Pflichten nach Art. 24 DSG beachten
Gemäss Art. 24 DSG ist eine Datensicherheitsverletzung so rasch wie möglich beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden. Der EDÖB hat hierfür eine umfangreiche Eingabemaske eingerichtet.
Die Mindestanforderungen zur Meldung von Verletzungen der Datensicherheit an den EDÖB enthält Art. 24 Absatz 2 DSG. Dazu gehören die Art der Verletzung der Datensicherheit, die Folgen sowie die ergriffenen oder vorgesehenen Massnahmen. Neben den erwähnten Mindestangaben muss der EDÖB wenn möglich auch über den Zeitpunkt und die Dauer der Verletzung der Datensicherheit sowie die Kategorien und die ungefähre Anzahl der von der Datensicherheitsverletzung betroffenen Personendaten (z. B. Adressen, Kreditkartenformationen, Gesundheitsdaten) und betroffenen Personen informiert werden.
Zudem müssen der Name und die Kontaktdaten einer Ansprechperson gemeldet werden, welche sowohl als Anlaufstelle für die Kommunikation mit dem EDÖB als auch mit den betroffenen Personen gilt.
Eine Meldung ist vorzunehmen, wenn die Verletzung „voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt“ und setzt demnach die Beschäftigung mit einer dahingehenden Prognoseentscheidung des Verantwortlichen voraus.
Als Kriterien bei der Beurteilung des Risikos sind heranzuziehen die Ursachen des Risikos, die hauptsächlichen Gefahren, die ergriffenen oder vorgesehenen Massnahmen sowie die Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.
Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person besteht, so sind gemäss Art. 24 DSG auch die betroffenen Personen, deren Daten Gegenstand des Notfalls waren, zu benachrichtigen, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.
4. Schritt: Optimierung der Datensicherheit
Doch der Umgang mit einer Datensicherheitsverletzung endet keinesfalls mit der Meldung bei dem EDÖB und ggfs. der Wiederherstellung des Normalbetriebs. Bereits bei der Meldung wird abgefragt, welche Massnahmen zur Eindämmung des Risikos akut unternommen wurden. Teil der Dokumentation des Datenschutznotfalls ist daher auch die Aufarbeitung und das Implementieren von Massnahmen, die einen weiteren Datenschutznotfall dieser Art verhindern können.
Selbst wenn die durchgeführte Risikobewertung nicht in einer Meldung des Vorfalls an dem EDÖB endet, sollte der Vorfall gleichwohl entsprechend dokumentiert werden.
Ein zentraler Punkt ist auch bei Datensicherheitsverletzungen die rechtzeitige Einbindung des Datenschutzberaters (sofern vorhanden). Dieser kann aus neutraler Sicht entscheidende Hilfestellungen zur Risikobewertung geben und letztlich in der Funktion als weisungsunabhängige Kontrollinstanz zur richtigen Handhabe des Vorfalls durch das Unternehmen einen unverzichtbaren Beitrag leisten.
