Ob in den Abendnachrichten im Fernsehen, in den Tageszeitungen oder im Internet – immer wieder hört und liest man von Datenpannen: Notebooks und USB-Sticks gehen verloren und waren nicht verschlüsselt, vertrauliche Patientendaten landen im Müllcontainer, und Kreditkartendaten werden von heimtückischen Datendieben missbraucht. Das Problem: Auch wenn in einem Unternehmen alles getan wird, um eine Datenpanne zu verhindern, ist doch kein Unternehmen 100%ig davor gefeit. Deshalb sollte jedes Unternehmen für den Ernstfall einer Datenpanne über einen Notfallplan verfügen.
Was tun nach einer Datenpanne?
Als Datenschutzbeauftragter berichten Sie vielleicht bereits über diese aktuellen Fälle in Ihren Datenschutz-Schulungen. Aber ist Ihr Unternehmen wirklich darauf vorbereitet, wenn die Datenpanne plötzlich bei Ihnen passiert? Was macht Ihr Unternehmen zum Beispiel, wenn Ihre Website gehackt wird und Kundendaten über eine Phishing-Attacke gestohlen werden?
Nach der BDSG-Novelle II und dem § 42a BDSG sind nach einer Datenpanne unter Umständen bestimmte Informationspflichten zu erfüllen. Sind von der Datenpanne spezielle Datenkategorien betroffen und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, sind die zuständige Aufsichtsbehörde und die Betroffenen zu unterrichten.
Die Mitteilung an die Betroffenen hat unverzüglich nach der Datensicherung zu erfolgen, wenn die Strafverfolgung nicht mehr gefährdet ist. Weiterhin sieht § 42a BDSG vor, dass die Betroffenen eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlung für Maßnahmen zur Minderung möglicher nachteiliger Folgen erhalten. Die Aufsichtsbehörde muss zudem eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen erhalten.
Wie Sie Datenpannen entdecken
Aber mit den Planungen zu den möglichen Informationspflichten ist es nicht getan. Zum einen sollte Ihr Unternehmen sicherstellen, mögliche Datenpannen so schnell wie möglich zu entdecken, um nicht erst durch die Presse oder durch besorgte Kundenanrufe von dem Datenverlust zu erfahren. Zum anderen sollten Sie die Maßnahmen nach einer Datenpanne vorsorglich planen.
Wie also entdecken Sie eine Datenpanne? Dafür bieten sich zahlreiche technische und organisatorische Verfahren an, darunter
- ein Monitoring des Datenverkehrs mit Warnung bei Anomalien,
- ein Warnsystem für unerlaubte Zugriffe auf das Dateisystem,
- eine regelmäßige (automatische) Kontrolle der Konfiguration des Webservers und anderer zentraler Server,
- aber auch ein definierter Meldeweg für die Annahme und Prüfung von Hinweisen Dritter über eine mögliche Datenpanne.
Auf Meldungen zu Datenpannen richtig reagieren
Wenn nun ein Dritter an Ihr Unternehmen herantritt und eine Datenpanne bei Ihnen meldet, sollte keine Panik ausbrechen, sondern zuerst die meldende Person um genaue Angaben gebeten werden, wie Name, Kontaktdaten und genaue Beschreibung des vermuteten Datenlecks (welche Art von Daten wurde wo gefunden).
Dann erfolgt sofort eine Prüfung dieser Meldung durch die definierten Verantwortlichen, wobei Sie als Datenschutzbeauftragter die Prüfung begleiten sollten. Stellt sich die Datenpanne als echt heraus, greifen die Maßnahmen der Information aller relevanten Stellen (Aufsichtsbehörde, Betroffene, bei Wirtschaftsspionage Polizei/Verfassungsschutz, je nach Sicherheitsleck auch Sicherheitsanbieter, Anti-Malware-Lieferant, Anti-Phishing-Netzwerke).
Spuren nicht verwischen
Zudem sollten die betroffenen IT-Systeme durch das Unternehmen nicht einfach verändert werden, sofern keine akute Gefahr mehr von ihnen ausgeht. Vielmehr müssen die Spuren der Datendiebe für die Staatsanwaltschaft und die IT-Forensiker bewahrt werden. Besteht der Verdacht, dass Passwörter missbraucht wurden, sind diese umgehend zu deaktivieren und in Absprache mit den ermittelnden Stellen die entsprechenden Zugänge zu löschen.
Die nächste Datenpanne abwehren
Nachdem die akuten Maßnahmen getroffen wurden, gilt es, einen Wiederholungsfall zu verhindern. In den Notfallplan Ihres Unternehmens sollten deshalb auch die Prüfung sämtlicher Sicherheitseinrichtungen, die in Verbindung mit der Datenpanne stehen könnten, und eine Optimierung der Sicherheitsrichtlinien und -konzepte stehen.
Die Perspektive Mittelstand ist eine unabhängige, branchenübergreifende Business-Plattform zur Förderung der Leistungs- und Wettbewerbsfähigkeit kleiner und mittelständischer Unternehmen und ihrer Mitarbeiter. Ziel der Initiative ist es, über hochwertige Informations-, Kommunikations- und Dienstangebote rund um den unternehmerischen und beruflichen Alltag die Wissensbildung, Kommunikation und Interaktion von und zwischen Existenzgründern, Unternehmern, Fach- und Führungskräften und sonstigen Erwerbstätigen zu unterstützen. Weitere Informationen zur Perspektive Mittelstand unter: www.perspektive-mittelstand.de