Incident Response Management

Die Gefahr für Unternehmen, Opfer von Datenschutz- und IT-Sicherheitsvorfällen zu werden, steigt stetig an. Durch die zunehmende IT-Abhängigkeit werden dabei auch die potentiellen Auswirkungen auf personenbezogenen Daten immer gravierender. Mit der steigende Bedrohungslage ist es wichtig die Risiken frühzeitig zu erkennen, sie zu verstehen, zu analysieren, zu bewerten, zu dokumentieren und ggf. darüber zu informieren.
Das Datenschutz-Management-System DPM-ONLINE unterstützt Sie mit einer prozessbasierten Incident Response Management.


Datenschutzvorfall und -verletzung
In diesem Datenschutz-Management-System wird zwischen einem Datenschutzvorfall und einer Datenschutzverletzung unterschieden.

Ein Datenschutzvorfall

… ist nicht Meldepflichtig und wird zum Zwecke der verhinderung oder frühzeitiges Erkennen eines Cyberangriffs registriert.
Eine Datenschutzverletzung
(DS-GVO Art. 33)
… ist oftmals Meldepflichtig. Wenn Meldepflichtig dann müssen die Datenschutzbehörden innerhalb von 72 Stunden, nach bekanntwerden des meldepflichtigen Vorfalls, informiert sein.

 

Der Übergang von ein Datenschutzvorfall zur Datenschutzverletzung ist oft fließend.

Datenschutzvorfall

Ein Datenschutzvorfall ist gekennzeichnet durch den möglichen Verlust von Verfügbarkeit, Integrität oder Vertraulichkeit von IT-Diensten oder Daten. Dazu zählen beispielsweise Phishing- oder Denial-of-Service-Angriffe, Infektion mit Schadsoftware, unautorisierte Zugriffe etc. Auch der Versuch dies durchzuführen, kann einen Datenschutz und /oder IT-Sicherheitsvorfall darstellen. Ausgenommen ist technisches Versagen ohne Fremdeinwirkung.

Datenschutzverletzung

Eine Datenschutzverletzung ist gekennzeichnet durch den Verlust von Verfügbarkeit, Integrität oder Vertraulichkeit von IT-Diensten oder Daten und führt voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Person. Eine festgestellte Datenschutzverletzung muss von dem Verantwortlichen binnen 72 Stunden nach dessen Bekanntwerden der zuständigen Aufsichtsbehörde mitgeteilt werden.

 

Beachten! Hat die Verletzung des Schutzes personenbezogener Daten ….

… voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person(en) unverzüglich von der Verletzung. (DS-GVO Art. 34)