GoLaw

News

Hier finden Sie Neuigkeiten

Checkliste Data Breach / Datenpanne

Die nachfolgende Checkliste gibt einen Überblick und Hinweise zur Erstellung eines entsprechenden Prozesses. Weitere Informationen zu diesem Thema finden Sie auch in unserem Beitrag zur Datenpanne. Gerne unterstützen wir Sie dabei, einen Data Breach Prozess zu implementieren.  

 

Präventionsmassnahmen

Grundsätzlich sollte eine Datenpanne gar nicht erst eintreffen, weshalb man sich zuerst auf die Einführung und Umsetzung entsprechenden technischer und organisatorischer Massnahmen konzentrieren sollte. Was den zusätzlichen Effekt hat, dass man sich einen Gesamtüberblick verschafft und somit im Ernstfall die IT – Umgebung kennt. 

  • Wer ist für die IT – Sicherheit zuständig?
  • Welche Sicherheitsmassnahmen wurden im Unternehmen getroffen?
  • Haben meine IT – Dienstleister ausreichende Massnahmen getroffen?
  • Werden die Zugriffsrechte kontrolliert und entsprechend begrenzt? 
  • Ist der Umgang mit IT – Mitteln formal geregelt (bspw. Richtlinie oder Mitarbeiterhandbuch)?
  • Wurden die Mitarbeiter entsprechende geschult?
  • Wurde die IT Sicherheit extern überprüft (Audit)?

Data Breach Prozess / Response Plan

Eine Meldung an die Aufsichtsbehörde muss gemäss der DSGVO innert 72 Stunden erfolgen und der Vorfall muss entsprechend dokumentiert werden. Eine saubere Dokumentation und Reaktion innert 72 Stunden ist nur möglich, wenn bereits ein Prozess und entsprechende Vorlagen erstellt wurden. 

  • Weiss jeder Mitarbeiter an wen er sich bei einer (vermuteten) Data Breach wenden kann?
  • Wer ist für die Situationsanalyse und allfällige Gegenmassnahmen zuständig? 
  • Wer darf, welche Massnahmen ergreifen (bspw. Abschalten von Systemen)? 
  • Wie und wo wird die Data Breach dokumentiert? Wurde eine entsprechende Vorlage erstellt?
  • Wie und wo wird der zeitliche Ablauf dokumentiert? Wurde eine entsprechende Vorlage erstellt?
  • Können die betroffenen Daten isoliert und konserviert werden (Beweissicherung)?
  • Haben alle externen IT – Dienstleister einen Data Breach Prozess implementiert? 
  • Ist die Notfall - Kommunikationen mit den externen IT – Dienstleister definiert? 
  • Ist ein Eskalationsprozess bis hoch zur Geschäftsleitung und dem Verwaltungsrat definiert? 
  • Wer entscheidet und informiert die Aufsichtsbehörde und/oder die Strafverfolgungsbehörden? 
  • Besteht ein Kommunikationskonzept für den Fall, dass die betroffenen Personen informiert werden müssen und/oder die Presse informiert werden soll?
  • Sind alle Mitarbeiter entsprechend geschult? 

Kurzwahltaste

Durch die Auslagerung der IT an externe Dienstleister fehlt im Unternehmen oft das technische Fachwissen, um eine Datenpanne zu analysieren, entsprechende Massnahmen zu treffen und schlussendlich eine Risikoeinschätzung abzugeben. 

  • Welche Personen und Stellen sind intern zu informieren (Kontaktliste)?
  • Wen kann ich bei einer Data Breach beim IT – Dienstleister kontaktierten (Kontaktliste)?
  • Wen rufe ich an, wenn ein Sicherheitsexperte, Forensik – Experte oder sonstige IT – Fachexperten benötigt werden? 
  • Wenn rufe ich an, wenn externe Rechtsberatung notwendig wird?
  • Wenn rufe ich an, wenn ein Kommunikationsexperte beigezogen werden soll?
  • Welche Aufsichtsbehörde ist zu informieren und habe ich dessen Kontaktdaten?

Nachbearbeitung

  • Findet eine Nachbesprechung statt?
  • Wie wird aus den Fehlern und dem Vorfall gelernt? 
  • Wie wird ein vergleichbarer Vorfall in Zukunft verhindert? 
  • Ist der Vorfall ausreichend dokumentiert worden?