Café Datenschutz - Der Datenschutz-Kanal mit Dr. Sebastian Kraska

Datenpanne? Ihr Notfallplan!

Leider keine Caption vorhanden.

Beschreibung

Das Video befasst sich mit der Notwendigkeit und den Pflichten eines Notfallplans für das Datenpannen-Management gemäß der Datenschutz-Grundverordnung (DSGVO).

Eine Datenpanne ist definiert als eine Sicherheitsverletzung, die – ob beabsichtigt oder unbeabsichtigt – zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt. Beispiele sind Hackerangriffe, verlorene Geräte, fehlgeleitete E-Mails oder unbefugter Zugriff durch Mitarbeiter.

Kernpflichten bei einer Datenpanne:

Risikobewertung: Das Unternehmen muss dokumentieren und unter Einbeziehung des Datenschutzbeauftragten prüfen, ob ein niedriges, mittleres oder hohes Risiko für die Betroffenen vorliegt.

Meldung an Aufsichtsbehörde: Bei einem mittleren Risiko muss die zuständige Datenschutzaufsichtsbehörde binnen 72 Stunden ab Kenntnis informiert werden.

Benachrichtigung der Betroffenen: Bei einem hohen Risiko sind zusätzlich die betroffenen Personen zu informieren.

Dokumentation: Eine lückenlose Dokumentationspflicht besteht für alle Vorfälle.

Bausteine des Notfallplans:

Ein vorbereiteter Notfallplan ist nicht nur Kür, sondern Pflicht und dient dem Reputationsschutz. Er sollte umfassen:

Sofortmaßnahmen: Maßnahmen zur schnellen Schließung von Sicherheitslücken, zur Schadensabwendung (z.B. Passwörter ändern) und gegebenenfalls zur Hinzuziehung externer Forensik-Experten.

Internes Meldewesen: Klare Kanäle und Ansprechpartner festlegen, über die Beschäftigte einen Verdacht auf Datenverlust melden müssen.

Verantwortlichkeiten: Bestimmung des internen Koordinators für den Ernstfall (inklusive Stellvertretung).

Risikobewertungsprozess: Ein festgelegtes Vorgehen zur koordinierten Risikoeinschätzung.

Vorlagen und Kontakte: Vorbereitung von Vorlagen für die Meldung an die Behörden und die Information der Betroffenen.

Kommunikationsstrategie: Planung der internen und externen Kommunikation (Presseabteilung einbinden).

Cyberversicherung: Bei vorhandener Versicherung die zuständige Stelle rechtzeitig informieren.

Analyse und Verbesserung: Nach dem Vorfall eine Rückschau zur Optimierung der Prozesse durchführen.

← Zurück zur Übersicht

ID
14
Thumbnail