15.09.2020

Breach Response

Krisenmanagement bei Datenpannen

Breach Response

Krisenmanagement bei Datenpannen

Welche internen und externen Kommunikationsmaßnahmen sind im Falle eines Datenlecks in welcher Form zu adressieren?  | © peterschreiber.media - stock.adom
Welche internen und externen Kommunikationsmaßnahmen sind im Falle eines Datenlecks in welcher Form zu adressieren?  | © peterschreiber.media - stock.adom

Vor dem Hintergrund der gestiegenen regulatorischen Anforderungen durch die europäische Datenschutz-Grundverordnung (DSGVO) gelten bei Datenpannen verschärfte Melde- und Informationspflichten an Aufsichtsbehörden und Betroffene. Bei Versäumnissen im Umgang mit Schutzverletzungen personenbezogener Daten drohen neben teils erheblichen Bußgeldzahlungen auch Reputations- und Haftungsrisiken.

Handeln ist gefragt

Die DSGVO und nachfolgend angepasste Gesetze wie das Bundesdatenschutzgesetz, das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland oder das Gesetz über den Kirchlichen Datenschutz erfordern eine zeitnahe Meldung an die jeweils zuständige Aufsichtsbehörde, zumeist binnen 72 Stunden nach Kenntniserlangung. Bei neuen Erkenntnissen zu der jeweiligen Datenschutzverletzung muss der Aufsichtsbehörde darüber hinaus ein entsprechendes Update mitgeteilt werden.

Zusätzlich bestehen unter Umständen Informationspflichten gegenüber dem oder den Betroffenen. Dies stellt die betroffene Organisation insbesondere dann vor erhebliche Herausforderungen, wenn sehr umfangreiche Datensätze betroffen sind oder der Datenschutzbeauftragte erst spät über den Sachverhalt informiert wird. Erfolgen diese Maßnahmen nicht, verspätet, nur zögerlich oder unvollständig, drohen der Organisation empfindliche Bußgelder. Hinzu kommen zivilrechtliche Forderungen, Haftungsrisiken und Reputationsschäden.


Datenschutzrechtliche Infrastruktur schaffen

Von wesentlicher Bedeutung ist daher neben der Zuordnung von Rollen- und Verantwortlichkeiten im Datenschutz innerhalb der Organisation sowie Aufbau, Pflege und Weiterentwicklung des Datenschutzmanagementsystems vor allem die organisationsweite Verankerung entsprechender Melde- und Eskalationsmechanismen; der Datenschutzbeauftragte benötigt zu jedem Zeitpunkt ein klares und eindeutiges Lagebild über sämtliche datenschutzrelevanten Entwicklungen in der gesamten Organisation und allen Beteiligungsgesellschaften, damit die entsprechenden Maßnahmen zur Erfüllung der regulatorischen Vorgaben ohne zeitliche Verzögerungen adressiert werden können.

Im Falle eines Datenlecks

Zusätzlich besteht die Pflicht zur umgehenden Umsetzung von risikominimierenden Maßnahmen zum Schutz des oder der Betroffenen und zur Eindämmung des jeweiligen Datenlecks. Der Komplexität der Organisation und ihres IT-Informationsverbunds, dem Ausmaß eines Teils der IT-Angriffe sowie auch mancher unbeabsichtigter, fahrlässiger Datenpreisgaben kann innerhalb einer Organisation nur im partnerschaftlichen Verbund der beteiligten Ressorts und Fachbereiche begegnet werden.

Hierzu sind abgestimmte Kommunikations- und Krisenmanagementprozesse zwischen z.B. Datenschutz, Compliance, Informationssicherheit, Konzernsicherheit, Revision, Kommunikationsabteilung und vor allem auch der Geschäftsführung zu etablieren. Diese Prozesse sind abhängig von der individuellen Organisation. Insbesondere dem Aspekt des Cyber-Krisenmanagements und der Vorgehensweise zur Eindämmung eines IT-Angriffs oder zur Durchführung gerichtsverwertbarer interner forensischer Untersuchungen sind hierbei hervorgehobene Bedeutung beizumessen.

Ziel: Ganzheitliche „Resilience“

Zur wirksamen Risikominimierung durch Prävention empfiehlt sich als Teil der Etablierung eines ganzheitlichen, organisationsweiten Krisenmanagementsystems auch die Implementierung von Instrumenten zur Krisenkommunikation. Welche internen und externen Kommunikationsmaßnahmen sind im Falle eines Datenlecks in welcher Form zu adressieren? Wie kommuniziert die Organisation im Falle einer Cyber-Krise? Welche Maßnahmen wurden durch das Unternehmen adressiert und wie unterstützt es den oder die Betroffenen? Wirksame Risikominimierungs- und Präventionsinstrumente sind immer organisationsweit zu betrachten und können nur unter Kooperation und Mitwirkung der jeweils relevanten Fachbereiche mit der Zielsetzung der Schaffung ganzheitlicher, übergreifender „Resilience“ umgesetzt werden.

 

Kristof Riecke

Kristof Riecke berät für Althammer & Kill bundesweit Unternehmen, Organisationen und Einrichtungen in Fragen von Informationssicherheit, Datenschutz und IT-Compliance.
n/a