Die Pflicht zur Meldung von IT-Sicherheits- und Datenschutzvorfällen in Unternehmen ist eine zentrale organisatorische Maßnahme zum Schutz von IT-Infrastrukturen und zur Umsetzung von Vorgaben der DSGVO sowie der ISO 27701. Dieser Artikel ist Teil unserer Reihe zur „Datenschutz-Zertifizierung nach ISO 27701“.
Der Inhalt im Überblick
Welche Vorgaben macht die DSGVO beim Datenschutzvorfall?
Auch wenn häufig von Datenschutzvorfall oder Datenpanne (auf Englisch Data Breach) im Zusammenhang des Art. 33 DSGVO gesprochen wird, ist mit den Begriffen eine Datenschutzverletzung gemeint.
Dabei geht es um eine Verletzung des Schutzes personenbezogener Daten. Eine solche liegt gemäß Art. 4 Nr. 12 DSGVO bei einer Verletzung der Sicherheit vor, die zu:
- Vernichtung (Brand),
- Verlust (Datenklau),
- Veränderung (Verschlüsselung, Datenmanipulation),
- unbefugten Offenlegung (Verlust) oder
- zum unbefugten Zugang (Hacker-Eingriff)
zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Meldung bei der Aufsichtsbehörde
Unter gewissen Voraussetzungen muss der Verantwortliche eine Datenschutzverletzung bei der zuständigen Aufsichtsbehörde melden. Konkret heißt es in Art. 33 Abs. 1 DSGVO:
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“
Wird eine Datenschutzverletzung einem Auftragsverarbeiter i.S.d. Art. 28 DSGVO bekannt, muss er dies unverzüglich dem Verantwortlichen melden, in dessen Auftrag er die betroffenen personenbezogenen Daten verarbeitet.
Die Meldung bei der Datenschutzaufsichtsbehörde muss immer dann erfolgen, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Hier muss eine Vielzahl von Umständen des Einzelfalls berücksichtigt werden, um entscheiden zu können, ob es sich um einen meldepflichtigen Vorfall handelt, so zum Beispiel:
- Welche personenbezogenen Daten sind betroffen?
- Sind besonders sensible Daten betroffen (Gesundheitsdaten, Kreditkartendaten, Gehaltsnachweise, etc.)?
- Wie viele Personen sind betroffen?
- Welcher Schaden kann bei den betroffenen Personen entstehen oder ist vielleicht schon entstanden?
Die Meldung an die Datenschutzaufsichtsbehörde muss grundsätzlich innerhalb von 72 Stunden ab Kenntnisnahme des Datenschutzvorfalls erfolgen.
Mitteilung an die betroffene Person
Die Meldepflicht bei der Aufsichtsbehörde ist eng mit der Benachrichtigung der betroffenen Personen verbunden. Hier regelt Art. 34 Abs. 1 DSGVO, dass die Betroffenen unverzüglich zu informieren sind, wenn ein hohes Risiko für deren Rechte und Freiheiten festgestellt werden konnte. Diese Vorschrift ist bezüglich des Risikos also etwas enger gefasst als Art. 33 DSGVO. Zu beachten ist, dass nicht nur die bloße Information über die Datenschutzverletzung ausreichend ist. Vielmehr muss die betroffene Person auch Informationen über mögliche Folgen des Vorfalles für sie sowie die Beschreibung der Maßnahmen erhalten, welche ergriffen worden sind, um den Schaden abzuwenden bzw. zu minimieren.
Ausnahmen von dieser Informationspflicht bestehen nur dann, wenn der Verantwortliche beispielsweise in der Lage war, das hohe Risiko einzudämmen oder wenn eine Benachrichtigung nur mit einem unverhältnismäßigen Aufwand möglich wäre.
Wie unterscheidet sich ein Datenschutzvorfall von einem IT-Sicherheitsvorfall?
In der Norm ISO 27001 wird zwischen Ereignis, Vorfall und Notfall unterschieden:
- Sicherheitsereignis (Security Event) ist jede Änderung eines Zustandes, das zumindest theoretisch Auswirkungen auf die Sicherheit haben könnte.
- Sicherheitsvorfall (Security Incident) ist ein Ereignis, bei dem eine hohe Wahrscheinlichkeit für Auswirkungen auf die Sicherheit bestehen.
- Sicherheitsnotfall ist ein Sicherheitsvorfall mit gravierenden oder sogar katastrophalen Auswirkungen auf die Sicherheit.
Auch wenn im Folgenden von IT-Sicherheitsvorfall gesprochen wird, ist damit sowohl ein IT-Sicherheitsereignis als auch -notfall gemeint.
Um einen IT-Sicherheitsvorfall mit einem Datenschutzvorfall vergleichen zu können, muss erstere zunächst definiert werden.
Klassische Beispiele für die IT-Sicherheitsvorfälle sind:
- Verlust von Geräten, z.B. PCs, Laptops od. Smartphones
- Verlust von Datenträgern, z.B. USB-Sticks od. CDs
- Empfang von einer betrügerischen Nachricht (Phishing)
- Entdecken von Schadsoftware auf Geräten
- Erpressung oder Nötigung, sich nicht regelkonform zu verhalten
Es gibt also einige Parallelen zu den Datenschutzvorfällen. Dennoch ist zu merken: Nicht jeder IT-Sicherheitsvorfall ist ein Datenschutzvorfall, jeder Datenschutzvorfall ist aber in der Regel ein IT-Sicherheitsvorfall.
Welche Vorgaben hat die ISO 27701 im Bereich Datenschutzvorfall?
ISO 27701 regelt in dem Abschnitt 6.13 die Handhabung von Informationssicherheitsfällen und zeigt auf, welche zusätzliche Maßnahmen neben den aus der ISO 27002 (dort Ziffer 16.1.1 – 16.1.7) zum Schutz der personenbezogenen Daten getroffen werden sollten.
Erweiterung der bestehenden Prozesse im Bereich IT-Sicherheitsvorfall
Die Norm ISO 27701 sieht unter anderem vor, dass das Unternehmen die Verantwortlichkeiten und Verfahren für die Identifizierung und Dokumentation von Datenschutzverstößen als Teil des Gesamtprozesses für das Management von IT-Sicherheitsvorfällen festlegen muss. Darüber hinaus sollte das Unternehmen Verantwortlichkeiten und Verfahren in Bezug auf die Benachrichtigung der erforderlichen Parteien (betroffenen Personen) über die Datenschutzverstöße und die Offenlegung gegenüber den Behörden (Datenschutzaufsichtsbehörden) festlegen, wobei die geltenden Gesetze und Vorschriften zu berücksichtigen sind.
Reaktionsplan für den Datenschutzvorfall
Ein IT-Sicherheitsvorfall ist innerhalb der internen Prozesse immer dahingehend zu überprüfen, ob es sich dabei um einen Datenschutzvorfall handelt, der eine Reaktion in Form von Meldepflichten erfordert. Hierfür muss ein Reaktionsplan hinsichtlich „ob“ der Benachrichtigung sowie Inhalt der Benachrichtigung aufgestellt werden.
Die PII-Verarbeiter (Auftragsverarbeiter) müssen die Vorgaben zur Benachrichtigung von Datenschutzverstoßen in den Vertrag mit den Kunden (Verantwortlichen) aufnehmen. In diesem Vertrag sollte festgelegt sein, in welcher Weise der PII-Verarbeiter die Informationen bereitstellt, die der Kunde benötigt, um seiner Verpflichtung zur Benachrichtigung bei den zuständigen Behörden sowie bei den betroffenen Personen nachzukommen. An dieser Stelle können Parallele zu Art. 28 Abs. 3 S. 2 lit. f) DSGVO gezogen werden.
Wie kann der Prozess Datenschutzvorfall in das bestehende ISMS integriert werden?
Im ersten Schritt der Integration der Managementsysteme sollten die gesamten Regelungen des Unternehmens zum Thema „Notfallvorsorge bzw. Notfallmanagement“ unter die Lupe genommen werden. Im zweiten Schritt ist zu prüfen, an welcher Stelle die Prozesse zum Datenschutzvorfall am besten aufgehoben sind. Wie bereits oben erläutert, haben ein IT-Sicherheitsvorfall und Datenschutzvorfall viele Ähnlichkeiten, daher ist es auch sinnig, diese beiden Themenkomplexe in einem Prozess abzuhandeln.
Prozess IT-Sicherheitsvorfall nutzen
Ein IT-Sicherheitskonzept des Unternehmens, unabhängig davon, ob eine Zertifizierung nach ISO 27001 vorliegt oder angestrebt wird, sollte immer den Fall „IT-Sicherheitsvorfall“ behandeln, es muss also ein Security Incident Management vorhanden sein.
Damit das Unternehmen die Meldepflichten entsprechend der gesetzlichen Vorgaben zügig umsetzen kann, muss es sich auf den Eintritt von Datenschutzvorfällen und auf die anschließende Reaktion vorbereiten. Der Reaktionsplan sollte folgende Schritte enthalten:
- Schnelle Kenntniserlangung von Ereignissen (IT- Sicherheitsvorfälle und Datenschutzvorfälle, wobei die Klassifikation des Vorfalles nicht durch den Mitarbeiter, der den Vorfall meldet, erfolgen soll),
- Bewertung,
- Maßnahmen zur Abwendung/Eindämmung,
- Korrekturmaßnahmen,
- Entscheidung, ob eine Meldung erfolgen soll,
- Meldung an die Aufsichtsbehörde oder den Betroffenen.
Information an die erforderlichen Parteien
Nähere Informationen zu den formalen Anforderungen zur Mitteilung an die Aufsichtsbehörden und an die Betroffenen finden Sie in unserem Beitrag zur Data Breach Notification.
In diesem Zusammenhang ist erwähnenswert, dass die IT-Sicherheitsvorfälle und Cyber-Attacken auch online bei Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden können:
„Diese Meldungen werden verwendet, um ein verlässliches und aussagekräftiges Lagebild zu erstellen, mögliche Zusammenhänge zu erkennen und darauf basierend entsprechende Maßnahmen einleiten oder Warnungen aussprechen zu können. Wenn Sie eine Kontaktmöglichkeit übermitteln, kann das BSI im Rahmen freier Kapazitäten auf Wunsch auf Sie zukommen. Gerne können Sie aber auch eine anonyme Meldung abgeben.“
Des Weiteren können Cyberangriffe oder Cybercrime-Straftaten gegen Unternehmen auch an die Zentrale Ansprechstelle Cybercrime der zuständigen Landespolizeien (ZAC) gemeldet werden.
In unserem nächsten Blogbeitrag der Reihe „Datenschutz-Zertifizierung nach ISO 27701“ beschäftigen wir uns mit dem Thema Betroffenenrechte.
Sehr geehrte Damen und Herren,
ihre Schlussfolgerung „Es gibt also einige Parallelen zu den Datenschutzvorfällen. Dennoch ist zu merken: Nicht jeder IT-Sicherheitsvorfall ist ein Datenschutzvorfall, jeder Datenschutzvorfall ist aber in der Regel ein IT-Sicherheitsvorfall.“ ist falsch. Die Umkehrung ist der Fall: „Jeder IT-Sicherheitsvorfall ist auch ein Datenschutzvorfall“.
Begründung, wenn personenbezogene Daten aus einem Ordner verloren gehen ist das ein Datenschutzvorfall aber kein IT-Sicherheitsvorfall. Hingegen ist jede Verletzung der IT-Sicherheit in Bezug auf Verfügbarkeit, Integrietät oder Vertraulichkeit ein Datenschutzvorfall, weil sich definierte Schutzmaßnahmen in einem „ungewollten Betriebszustand“ befinden.
Sehr geehrter Herrn Nietsch,
ich kann ihre Ansicht nicht Teilen. Es gibt IT Assets im Unternehmen die keinen personenbezug aufweisen oder herstellen aber trotzdem aus Sicht der IT Sicherheit zu betrachten sind und auch IT Sicherheitsvorfälle ohne personenbezug auslösen können. Ein Schwerpunkt liegt hier z.B. im Produktions und Steuerungsbereich oder bei IoT. Die Schutzziele Verfügbakeit, Vertraulichkeit und Integrität haben nicht zwingend eine Verbindung zu personenbezogenen Daten nur weil die DSGVO sie auch als Ziele benennt. Es gibt weit mehr IT als nur die klassische Office Umgebung.