Datenschutznotfallkarte:
Verhalten bei Datenschutznotfällen
Im ersten Teil unserer Reihe haben wir die Bedeutung einer IT-Notfall hervorgehoben und gezeigt, wie wichtig es ist, gut auf Krisensituationen vorbereitet zu sein. Im zweiten Teil betrachten wir die datenschutzrechtlichen Aspekte eines Cyberangriffs, insbesondere was zu tun ist, wenn sensible Daten wie Patientendaten oder personenbezogene Informationen betroffen sind.
Um direkt Informationen zur zuständigen Datenschutzbehörde in Nordrhein-Westfalen (NRW) zu erhalten, klicken Sie hier.
Datenschutznotfallkarte (Plakat A5) herunterladen, ausfüllen und bei einer Daten-Panne sofort handeln. Wir helfen gerne, klicken Sie hier.
IT-Notfallkarte (Plakat A5) herunterladen, ausfüllen und bei einer IT-Panne sofort handeln. Wir helfen gerne, klicken Sie hier.
IT und Datenschutznotfallkarte (klein Format) herunterladen, ausfüllen und bei einer IT oder Daten-Panne sofort handeln. Wir helfen gerne, klicken Sie hier.
Was ist ein Datenschutznotfall?
Ein Datenschutznotfall bezeichnet eine Situation, in der personenbezogene Daten unrechtmäßig offengelegt, verändert, zerstört oder in sonstiger Weise kompromittiert wurden, was zu einem Risiko für die Rechte und Freiheiten betroffener Personen führt.
Hier sind die wichtigsten Schritte, die Sie im Ernstfall sofort einleiten sollten:
1. Sofortige Sicherungsmaßnahmen
- Isolierung des betroffenen Systems: Trennen Sie das betroffene System sofort vom Netzwerk, um weitere Schäden zu verhindern und den Angriff einzudämmen.
- Sicherung von Beweismaterial: Protokollieren Sie alle relevanten Daten und Ereignisse, um später eine gründliche Analyse des Vorfalls durchführen zu können.
- Einsatz eines Incident-Response-Teams: Ziehen Sie ein Expertenteam hinzu, das speziell geschult ist, um den Vorfall effektiv zu bewältigen und weiterführende Schritte zu koordinieren.
2. Ermittlung des Vorfalls
- Ermittlung der Art und des Umfangs des Datenverlusts: Stellen Sie fest, welche Daten betroffen sind und in welchem Umfang der Verlust stattgefunden hat, um die Risiken genau einschätzen zu können.
- Ursachenanalyse: Analysieren Sie die Schwachstellen und den Angriffsweg, um herauszufinden, wie der Angriff erfolgen konnte und wie zukünftige Vorfälle verhindert werden können.
3. Meldung an die Aufsichtsbehörde
- Meldung innerhalb von 72 Stunden: Wenn personenbezogene Daten betroffen sind, melden Sie den Vorfall unverzüglich, jedoch spätestens innerhalb von 72 Stunden, an die zuständige Datenschutzaufsichtsbehörde.
- Inhalt der Meldung: Geben Sie in Ihrer Meldung Details zum Vorfall, den betroffenen Datenarten, der Anzahl der betroffenen Personen, den wahrscheinlichen Folgen und den ergriffenen Maßnahmen an.
- Nichtmeldung: Eine Meldung ist nur dann nicht erforderlich, wenn keine Gefahr für die Rechte und Freiheiten der betroffenen Personen besteht.
4. Information der betroffenen Personen
- Benachrichtigung der betroffenen Personen: Informieren Sie die betroffenen Personen sofort, wenn der Vorfall ein hohes Risiko für ihre Rechte und Freiheiten darstellt.
- Inhalt der Benachrichtigung: Stellen Sie sicher, dass die Benachrichtigung klar ist und Informationen zum Vorfall, den möglichen Folgen, den ergriffenen Maßnahmen und Empfehlungen zum Schutz (wie z.B. Passwortänderung) enthält.
5. Umfassende Dokumentation
- Dokumentationspflichten nach Artikel 33(5) DSGVO: Dokumentieren Sie alle relevanten Informationen zum Vorfall, einschließlich der Gründe für Ihre Entscheidung, ob und wie Sie den Vorfall melden. Diese Dokumentation dient als Nachweis gegenüber der Aufsichtsbehörde.
6. Ergreifung weiterer Maßnahmen
- Abschwächung der Schäden: Ergreifen Sie sofort Maßnahmen, um die Schäden für die betroffenen Personen zu minimieren, beispielsweise durch das Sperren von Konten oder das Zurücksetzen von Passwörtern.
- System- und Prozessüberprüfung: Überprüfen Sie nach dem Vorfall Ihre Sicherheitsmaßnahmen und verbessern Sie diese gegebenenfalls, um zukünftige Angriffe zu verhindern.
- Schulung der Mitarbeiter: Schulen Sie Ihre Mitarbeiter regelmäßig zu den Risiken und Anzeichen von Cyberangriffen und den richtigen Reaktionen auf Sicherheitsvorfälle.
7. Kooperation mit Behörden und externen Experten
- Zusammenarbeit mit Strafverfolgungsbehörden: Abhängig von der Schwere des Angriffs und dem möglichen strafrechtlichen Hintergrund sollten Sie in Erwägung ziehen, die Strafverfolgungsbehörden einzubeziehen. Dies kann insbesondere dann wichtig sein, wenn der Angriff gezielte kriminelle Absichten vermuten lässt.
- Einsatz externer IT-Sicherheitsexperten: Wenn intern nicht genügend Expertise vorhanden ist, sollten Sie externe IT-Sicherheitsexperten hinzuziehen. Diese Experten können helfen, die Sicherheitsmaßnahmen zu überprüfen, den Vorfall zu analysieren und Maßnahmen zur Vermeidung zukünftiger Vorfälle zu empfehlen.
Die Zusammenarbeit mit externen Stellen ist oft entscheidend, um den Vorfall vollständig zu klären, rechtliche Anforderungen zu erfüllen und Ihre IT-Infrastruktur nachhaltig zu sichern.
Dieser Leitfaden soll Ihnen helfen, im Ernstfall schnell und effizient zu handeln, um rechtliche Konsequenzen zu vermeiden und das Vertrauen Ihrer Kunden zu wahren.
Zuständige Datenschutzbehörde in Nordrhein-Westfalen (NRW)
Für Unternehmen in Nordrhein-Westfalen ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) die zuständige Aufsichtsbehörde. Die Kontaktaufnahme kann über verschiedene Kanäle erfolgen: