Verstöße gegen den Schutz personenbezogener Daten: die 72-Stunden-Uhr und die Beweisspur
Wie Sie Vorfälle selektieren, Risiken bewerten, über die Benachrichtigung von Behörden und betroffenen Personen entscheiden und die Reaktion nachweisen.
Operative Zusammenfassung
Der Umgang mit Verstößen beginnt mit der Triage, nicht mit Panik.Die 72-Stunden-Uhr muss dort sichtbar sein, wo eine Benachrichtigung erforderlich sein kann.Für Entscheidungen, bei denen keine Mitteilung erfolgt, sind weiterhin Beweise erforderlich.Eine Verletzung des Schutzes personenbezogener Daten ist nicht nur ein Cybersicherheitsereignis. Dies kann eine fehlgeleitete E-Mail, ein verlorenes Gerät, ein falscher Portalzugriff, eine offengelegte Datei, ein Ransomware-Vorfall oder eine versehentliche Offenlegung sein.
Der betriebliche Druck ergibt sich aus der 72-Stunden-Meldeuhr, bei der ein Verstoß der Aufsichtsbehörde meldepflichtig ist. Das Büro benötigt eine schnelle Triage, Beweiserfassung, Eindämmung und eine dokumentierte Risiko-Rechts-Bewertung.
Auch wenn keine Meldung erfolgt, sollte das Amt ein Verstoßregister führen, in dem Fakten, Risikobewertung, Entscheidungsträger, Abhilfemaßnahmen und Folgemaßnahmen aufgeführt sind.
gilt
Dieser Leitfaden richtet sich an Büros, die auf Vorfälle im Zusammenhang mit personenbezogenen Daten reagieren müssen, von fehlgeleiteten Dokumenten bis hin zu Cyber-Ereignissen.
- E-Mails mit falschen Empfängern
- Verlorene Laptops oder Telefone
- Fehler beim Portalzugriff
- Ransomware oder Kontokompromittierung
- Papierdateien oder USB-Geräte gehen während des Transports verloren
Kontext
DSGVO-Verletzungspflichten erfordern eine Risikobewertung und gegebenenfalls eine unverzügliche und fristgerechte Meldung an die Aufsichtsbehörde.
Auch wenn keine Benachrichtigung erforderlich ist, sollte die Organisation ein internes Verstoßprotokoll führen, aus dem die Bewertung und Behebung hervorgeht.
tun
Das Amt sollte die Verpflichtung in einen wiederholbaren Arbeitsablauf mit benannten Eigentümern, Fristen, Beweisen und überprüfbaren Entscheidungen umwandeln.
- Öffnen Sie sofort einen Vorfalldatensatz.
- Erfassen Sie Fakten und betroffene Datenkategorien.
- Den Vorfall eindämmen.
- Bewerten Sie das Risiko für Rechte und Freiheiten.
- Entscheiden Sie über die Benachrichtigung der Behörde und der betroffenen Person.
- Behebung und Schließung der Aufzeichnungen.
Beweise
Das Verstoßregister sollte Daten, Fakten, Risikobewertung, Entscheidungsträger, Benachrichtigungen, Abhilfemaßnahmen und gewonnene Erkenntnisse enthalten.
Typische Feststellungen der Aufsicht
- Angenommen, nur Hacks sind Verstöße.
- Warten Sie auf vollständige Gewissheit, bevor Sie einen Datensatz öffnen.
- Die Benachrichtigungsuhr fehlt.
- Es wird nicht dokumentiert, warum eine Benachrichtigung nicht erforderlich war.
Praktische Checkliste
- Vorfall protokollieren.
- Startuhr.
- Exposition eindämmen.
- Risiko einschätzen.
- Benachrichtigung entscheiden.
- Sanierung aufzeichnen.
- Schließen und überprüfen Sie die Kontrollen.
- Erstellt Verstoßaufzeichnungen mit Fristenuhren.
- Leitfaden zur Risiko-Rechte-Bewertung.
- Zeichnet Entscheidungen der Datenschutzbehörde und der Benachrichtigung betroffener Personen auf.
- Führt ungelöste Verstoßprobleme in die Sicherheit ein.
Häufige Fragen
Ist eine fehlgeleitete E-Mail ein Verstoß?
Dies kann je nach Daten und Empfänger der Fall sein. Es sollte untersucht und nicht ignoriert werden.
Müssen alle Verstöße behördlich gemeldet werden?
Nein. Die Entscheidung hängt vom Risiko ab, die Beurteilung sollte jedoch dokumentiert werden.
Was ist, wenn die Fakten unvollständig sind?
Öffnen Sie den Datensatz, dämmen Sie das Problem ein und aktualisieren Sie die Bewertung, sobald Fakten verfügbar werden.
Offizielle Quellen
Von Wissen zu Compliance
Lesen ist ein Anfang. Sceau macht aus diesen Pflichten einen Ablauf, der sich selbst ausführt und beweist.
Demo buchen