So gehen wir mit Datenschutzverletzungen um
Was ist eine Datenpanne?
Eine „Verletzung des Schutzes personenbezogener Daten“ liegt vor, wenn Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten unbeabsichtigt oder unrechtmäßig beeinträchtigt werden
(z. B. unbefugter Zugriff, Verlust, Manipulation).
Unser Incident-Response-Prozess
-
Erkennung & Alarmierung
Automatisierte Erkennung (u. a. Microsoft Sentinel / Azure Security Center), DDoS-Schutz und Frühwarnmechanismen. -
Triage & Eindämmung
Sofortmaßnahmen zur Begrenzung des Vorfalls und Stabilisierung der Systeme. -
Analyse & Behebung
Ursachenanalyse, Behebung der Schwachstelle, Wiederherstellung betroffener Dienste/Daten. -
Kommunikation
Strukturierte Information an den Auftraggeber gemäß AVV (inkl. Zwischenupdates). -
Dokumentation & Abschlussbewertung
Vollständige Protokollierung und Abschlussbericht mit Bewertung der Auswirkungen und Maßnahmen.
Interne Bewertung & Dokumentation
Jeder Vorfall wird in unserem internen Ticketsystem erfasst (Zeitpunkt, betroffene Systeme/Datenkategorien, Maßnahmen).
Audit-Logs, forensische Spuren und Entscheidungen werden revisionsfest dokumentiert.
Meldung an Kunden
- Frist: unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung (AVV § 9)
- Inhalt: Art des Vorfalls, betroffene Datenkategorien/Personenzahlen, vermutete Ursachen, bereits ergriffene/geplante Maßnahmen, ggf. Empfehlung zur Benachrichtigung Betroffener
Behördliche Meldungen
Die Meldung an die Aufsichtsbehörde obliegt dem Verantwortlichen (Kunden).
Wir unterstützen bei der fristgerechten Bewertung/Vorbereitung; die DSGVO sieht hierfür i. d. R. 72 Stunden ab Kenntnis vor (Art. 33 DSGVO).
Lessons Learned & kontinuierliche Verbesserung
Nach jedem Vorfall:
- Ursachenanalyse und Ableitung von Maßnahmen (Post-Incident Review)
- Tests/Anpassungen der TOMs
- Aktualisierung interner Prozesse & Playbooks