SlideShare ist ein Scribd-Unternehmen logo

Data Breach Notification

T
TALOSCommunications

Verfahren bei Verletzungen des Schutzes personenbezogener Daten - Handlungsempfehlungen für Finanzdienstleister

Business
1 von 6
Downloaden Sie, um offline zu lesen
Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com Verfahren bei Verletzungen des Schutzes personenbezogener Daten Handlungsempfehlungen für Finanzdienstleister von Christian Scholten und Thomas Eustorgi In unserer digitalisierten Welt werden Datenpannen, also Verstösse gegen den Datenschutz bei denen personenbezogene Daten Unberechtigten bekannt wer- den, immer häufiger entdeckt und an die entsprechenden Datenschutzbehörden gemeldet.1 Die Folgen einer solchen Datenpanne können schwerwiegend sein und ernsthafte betriebliche, finanzielle und reputationsbezogenen Schäden ver- ursachen. Besonders anfällig sind dabei Finanzdienstleister, da sie eine grosse Menge sensibler Daten bearbeiten und gleichzeitig einer verstärkten Kontrolle durch die Aufsichtsbehörden unterstehen. Aus operativer Sicht benötigen Finanzdienstleister ein Verfahren, um bei Verlet- zungen des Schutzes personenbezogener Daten rasch reagieren zu können und die Aufsichtsbehörden, betroffene Kunden sowie weitere Anspruchsgruppen zeitnah zu informieren. Die erforderlichen Verfahren und Massnahmen, welche mitunter die Offenlegung der betroffenen Daten beinhaltet, bergen erhebliche be- triebliche und finanzielle Risiken. Daher sind Organisationen gut beraten, auf die Erfahrung professioneller Dienstleister für Rechtsberatung und für die Planung und Ausführung der erforderlichen Verfahren und Massnahmen zurückzugreifen. Fussnote: 1 Einige EU-Datenschutz- behörden erhalten pro Jahr bis zu 70 Meldungen pro 100.000 Einwohner (GDPR today, www.gdprtoday.org/ gdpr-in-numbers-4)
Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com2 Verletzung des Schutzes personenbezogener Daten und DSGVO Die Datenschutz-Grundverordnung der EU (DSGVO) definiert die Rechte betroffener Per- sonen2 – beispielsweise Kunden oder Mitarbei- ter – im Falle einer Datenschutzverletzung bei welcher personenbezogene Daten Unberech- tigten bekannt werden. Gemäss DSGVO Art. 32 muss der Auftragsverarbeiter, z.B. eine Bank, jede Verletzung innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde melden. Der Auftragsverarbeiter ist des Weiteren ge- setzlich verpflichtet die betroffenen Personen zu benachrichtigen sofern die Verletzung zu ei- nem hohen Risiko für die Rechte und Freihei- Verfahren bei Verletzung des Schutzes personenbezogener Daten ten3 natürlicher Personen führen könnte (DSGVO Art. 33). Falls dies zutrifft, so hat der Auftragsverarbeiter jede betroffene Person einzeln und vorzugsweise schriftlich zu be- nachrichtigen.4 Darüber hinaus ist der Auf- tragsverarbeiter nach DSGVO Art. 15 verpflich- tet, Zugang zu personenbezogenen Daten zu gewähren und eine Anlaufstelle (Helpdesk) ein- zurichten. Unter bestimmten Umständen muss den betroffenen Personen auch eine Kopie von Dokumenten, wie z.B. die Kopie einer E-Mail ausgehändigt werden.5 Das von uns empfohlene Verfahren im Falle ei- ner Verletzung des Schutzes personenbezoge- ner Daten kann in sechs Schritte unterteilt wer- den (Abb. 2). Als Erstes (Schritt 1) sind technische Massnah- men zur Erkennung eines Verstosses, dessen Eindämmung und Beseitigung sowie zur Da- tenwiederherstellung zu ergreifen. Dazu muss man die Verletzung analysieren, die betroffe- nen Daten identifizieren und massgeschnei- derte Sofortmassnahmen zur Prävention wei- terer Verstösse implementieren. Sehr bald stellt sich für das Unternehmen die Frage, wie mit der Datenschutzverletzung um- zugehen ist. Hierzu ist eine strategische Pla- nung der nächsten Schritte notwendig (Schritt 2). Eine Datenschutzverletzung ist der Auf- sichtsbehörde unverzüglich innerhalb von 72 Stunden nach Bekanntwerden des Verstosses zu melden. Vom Zeitpunkt der Meldung lohnt es sich eine effiziente Kommunikation mit den Behörden zu pflegen, da eine einmalige Mel- dung selten ausreichen wird. Ein rechtliches Gutachten sollte Auskunft darü- ber geben, ob und wie die betroffenen Perso- nen benachrichtigt werden müssen und in wel- chem Umfang sie ein Recht auf Zugang zu ihren Daten haben. Das rechtliche Guthaben sollte auch pragmatische Fragen beantworten, Fussnoten: 2 Im Englischen spricht man von data subject («Datensubjekten») 3 Das Risiko für die Rechte und Freiheiten beinhaltet z.B. das Risiko von Diskriminierung, Identi- täts-diebstahl, finanziellem Verlust oder Reputa- tions-schäden (vgl. EU-DSGVO, Erwägungs- grund 75) 4 Falls dies zu einem unverhältnismässigen Aufwand führen würde, kann die Verletzung öffentlich bekanntgeben werden. Abbildung 1: Meldeverfahren gemäss DSGVO 5 Da sich der weit gefasste Wortlaut von DSGVO Art. 15 darüber ausschweigt, was der Verantwortliche in der Praxis genau zur Verfügung stellen muss, gehen die Meinungen über die Reichweite des Anspruchs auf Auskunftserteilung und Aushändigung einer Kopie entsprechend weit auseinander.
Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com3 wie beispielsweise, welche Rolleninhaber eines Kontos kontaktiert werden müssen (bei einer Bank) oder ob die betroffenen Personen per E- Mail kontaktiert werden können. Ist das weitere Vorgehen in den Grundzügen definiert, müssen in Schritt 3 die betroffenen Personen identifiziert werden. In der Praxis wird oftmals eine Kombination aus automati- sierter Datenanalyse und manueller Überprü- fungen der Ergebnisse angewendet. Als Bei- spiel nehmen wir an, dass eine Bank die betroffenen Daten nach Kontonummern durch- sucht. Die automatisch generierten Ergebnisse müssen danach einer manuellen falsch-positiv Überprüfung unterzogen werden, um sicherzu- stellen, dass die Nummern einem Konto und nicht einer Telefonnummer o.ä. zuzuordnen sind. Sobald die betroffenen Personen identifiziert sind, müssen Adressdaten abgefragt, bereinigt und eventuell sogar manuell ergänzt werden. Diese Adressbereinigung ist insbesondere für ehemalige Kunden relevant oder in Fällen wo die Benachrichtigungsadresse von der regulä- ren Postanschrift abweicht. Als letzte Aktivität im Schritt 3 muss eine An- laufstelle für Rückfragen eingerichtet werden. Nur diese Anlaufstelle sollte befugt sein mit be- troffenen Personen über Angelegenheiten im Zusammenhang mit der Datenschutzverletzung zu kommunizieren. Dabei hat sich die Stelle an vorher definierte Leitlinien zu halten, um Inkon- sistenzen in der Kommunikation zu vermeiden. In Schritt 4 folgt nun die Benachrichtigung aller betroffenen Personen. Um Rückfragen besser zu handhaben, ist die Benachrichtigung gestaf- felt zu senden. Ein gewisser Anteil der betroffenen Personen wird in der Folge Zugang zu den betroffenen Daten verlangen. Das Unternehmen muss folg- lich bereits frühzeitig Vorbereitungen treffen, um innerhalb einer angemessenen Frist, in der Praxis innerhalb von 30 Tagen6, Zugang zu den Daten zu gewähren. Dabei müssen Daten von Drittpersonen vor der Offenlegung geschützt werden. Auf dem Markt gibt es dafür zwar Soft- warelösungen, welche Daten von Drittperso- nen erkennt und abdeckt, trotzdem wird ein ge- wisses Mass an manueller Qualitätssicherung weiterhin notwendig sein. Betroffenen Personen ist auf möglichst effizien- te Weise Zugang zu ihren Daten zu gewähren. Dafür eignet sich in der Regel ein elektroni- sches Format. Die Daten können zum Beispiel in einen virtuellen Datenraum hochgeladen werden worauf betroffene Personen mit einem individuellen Benutzerprofil zugreifen können. Abbildung 2: Das Verfahren bei Verletzung des Schutzes personenbezogener Daten in 6 Schritten Fussnote: 6 Der Zeitraum kann je nach Komplexität und Anzahl der Anfragen um weitere 60 Tage erweitert werden (DSGVO Art. 12).
Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com4 In Schritt 4 ist es wichtig, dass alle Aktivitäten, jeder Kundenkontakt, jede Anfrage oder jede Bereitstellung von Zugangsdaten erfasst wird. Die Abläufe sollten idealerweise in einem Workflow-Management-Tool abgebildet wer- den. In Schritt 5 müssen schliesslich die Vorberei- tungen für die langfristigen Massnahmen ge- plant werden. Dazu gehört die Vorbereitung auf mögliche Rechtsstreitigkeiten oder die Um- setzung zusätzlicher Abwehrmassnahmen, um das Risiko weitere Datenschutzverletzungen zu reduzieren. Durch eine wirksame Öffentlichkeitsarbeit und Medienkommunikation (Schritt 6) gilt es vom ersten Tag an weitere Reputationsschäden zu verhindern. Das Unternehmen darf die Kontrol- le über die Informationen und die Diskussionen in der Öffentlichkeit nicht aus der Hand geben. Abbildung 3: Von TALOS abgedeckte/ koordinierte Dienstleistun- gen in einem konkreten Anwendungsfall Die Herausforderung Unser Kunde erlitt eine Datenpanne in der Schweiz und einem EU-Land, was dazu führte, dass personenbezogene Daten von Kunden und Mitarbeitern für eine ausländische Behör- de zugänglich waren. Der Kunde war ver- pflichtet die betroffenen Personen über den Datenschutzverstoss zu informieren. Mehre- re betroffene Personen in der Schweiz und in der EU haben daraufhin Zugang zu Daten und Dokumenten verlangt. Unser Beitrag Für unseren Kunden haben wir den End-zu-End-Benachrichtigungs- und Offenle- gungsprozess konzipiert und implementiert. Unsere Berater unterstützten bei der Identifi- zierung betroffener Personen, bei der Benach- richtigung von Kunden und Mitarbeiter sowie beim Betrieb eines Helpdesks. TALOS defi- nierte die Rolle von Kundenteams, entwickel- te Richtlinien und Arbeitsanweisungen und implementierte Tools zur Überwachung des Status jeder einzelnen Anfrage. Temporäre Ressourcen von TALOS unterstützten zudem bei der Abdeckung von Daten Dritter. Für den Kunden koordinierte TALOS fast alle mit dem Datenleck verbunden Aktivitäten angefangen vom Projektmanagement bis hin zur Identifi- kation der betroffenen Personen und der Qua- litätssicherung vor der Offenlegung relevanter Daten und Dokumente. Der Kundenutzen Der Kunde konnte sich auf uns als eine zentra- lisierte Funktion verlassen, welche sowohl mit internen Anspruchsgruppen, wie auch mit spezialisierten Anbietern zusammenzuarbei- tet und so alle Verfahrensschritte von der stra- tegischen Planung bis zur Offenlegung der betroffenen Daten entweder selbst oder in Ko- operation mit anderen Dienstleistern und in- ternen Stellen abdecken konnte. Anwendungsbeispiel
Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com5 Eine Verletzung des Schutzes personenbezo- gener Daten löst eine Reihe verbindlicher ope- rativer Verfahren aus. Darunter fallen die Mel- dung an die Aufsichtsbehörden, die Identifizierung betroffener Daten und Perso- nen, die Benachrichtigung und Kommunikation mit Kunden und Mitarbeitern, sowie die Offen- legung relevanter Daten. Die Steuerung dieser Verfahren erfordert einen interdisziplinären Ansatz, das Wissen spezialisierter Anbieter, ju- ristisches Know-how und Projektmanagement- Schlusswort Fähigkeiten. Wenn diese operativen Verfahren nicht ordnungsgemäss geplant und ausgeführt werden, führen Fehler und andere Ineffizien- zen rasch zu weiteren finanziellen Verlusten und Reputationsschäden. Unternehmen sind daher gut beraten auf das Wissen und die Er- fahrung professioneller Anbieter zurückzugrei- fen, die in der Lage sind, die interdisziplinären Aspekte einer Verletzung des Schutzes perso- nenbezogener Daten zu steuern und zu koordi- nieren.
Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com6 TALOS definiert neue Standards in der Ma- nagement Beratung. Als spezialisierte Bou- tique Beratung mit Schweizer Wurzeln und Büwros in Zürich und Luxemburg beraten wir Kunden aus der Europäischen Finanzindustrie. TALOS wurde 2008 von erfahrenen Manage- ment Beratern gegründet und ist seither zu ei- nem etablierten Beratungsunternehmen für Fi- nanzunternehmen gewachsen. Als Experten für regulatorische Transformati- onslösungen decken wir die gesamte Band- breite möglicher Fragestellungen ab, von der Analyse über die Strategie bis hin zur Umset- zung. Zürich TALOS Management Consultants Bleicherweg 45 CH-8002 Zürich Tel. +41 44 380 14 40 Luxembourg TALOS Management Consultants 6, Rives de Clausen L-2165 Luxembourg Tel. +352 26 20 23 54 www.talos-consultants.com www.shapenewstandards.com Who we are Your Contact Christian ist Partner bei TALOS und arbeitete früher als interner Berater für einen deutschen Logistikkonzern und ist seit 2007 als Unterneh- mensberater (Accenture, TALOS) tätig. Christian Scholten Partner christian.scholten@talos-consultants.ch Thomas ist Manager und kam 2016 zu TALOS. Er verfügt über mehr als 8 Jahre Erfahrung in der Finanzdienstleistungsbranche mit einer weltweiten Karriere in der Schweiz, den USA, Spanien und Südkorea. Thomas bringt funktio- nale Expertise und Projekterfahrung in den Be- reichen Compliance, Outsourcing und Finanz- management ein. Thomas Eustorgi Manager thomas.eustorgi@talos-consultants.ch

Empfohlen

Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Michael Rohrlich
 
DSGVO für Marketer
DSGVO für MarketerDSGVO für Marketer
DSGVO für Marketer
Mapp Digital
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?
Michael Rohrlich
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
Michael Lanzinger
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Inxmail GmbH
 
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPSHeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
Konrad Becker
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
Michael Lanzinger
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
Michael Lanzinger
 

Empfohlen

Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Michael Rohrlich
 
DSGVO für Marketer
DSGVO für MarketerDSGVO für Marketer
DSGVO für Marketer
Mapp Digital
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?
Michael Rohrlich
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
Michael Lanzinger
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Inxmail GmbH
 
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPSHeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
Konrad Becker
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
Michael Lanzinger
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
Michael Lanzinger
 
DSGVO für Schulen, Teil 3: Das Verzeichnis der Verarbeitungstätigkeiten
DSGVO für Schulen, Teil 3: Das Verzeichnis der VerarbeitungstätigkeitenDSGVO für Schulen, Teil 3: Das Verzeichnis der Verarbeitungstätigkeiten
DSGVO für Schulen, Teil 3: Das Verzeichnis der Verarbeitungstätigkeiten
faltmannPR
 
Datenschutz im Verein
Datenschutz im VereinDatenschutz im Verein
Datenschutz im Verein
ChristianGohlke1
 
Vortrag zum Urheberrecht und Datenschutzrecht
Vortrag zum Urheberrecht und DatenschutzrechtVortrag zum Urheberrecht und Datenschutzrecht
Vortrag zum Urheberrecht und Datenschutzrecht
andresheyn
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & Datenschutzrecht
Michael Rohrlich
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert
 
DSGVO
DSGVODSGVO
DSGVO
TALOSCommunications
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
Michael Rohrlich
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
AllFacebook.de
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
Michael Rohrlich
 
Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...
Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...
Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...
culbricht
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
Michael Rohrlich
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internet
Michael Rohrlich
 
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Carl-Christian Buhr
 
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende InformationenDSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
Mailjet
 
Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017
Michael Lanzinger
 
Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016
ehlaw
 
Soziale Medien und Recht
Soziale Medien und RechtSoziale Medien und Recht
Soziale Medien und Recht
Oliver_Staffelbach
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
Michael Lanzinger
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)
Gigya
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
caniceconsulting
 
Personal Data Breach Notification
Personal Data Breach Notification Personal Data Breach Notification
Personal Data Breach Notification
TALOSCommunications
 
AIFM Pitfalls
AIFM PitfallsAIFM Pitfalls
AIFM Pitfalls
TALOSCommunications
 

Weitere ähnliche Inhalte

Ähnlich wie Data Breach Notification

Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert
 
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende InformationenDSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
Mailjet
 

Ähnlich wie Data Breach Notification (20)

DSGVO für Schulen, Teil 3: Das Verzeichnis der Verarbeitungstätigkeiten
DSGVO für Schulen, Teil 3: Das Verzeichnis der VerarbeitungstätigkeitenDSGVO für Schulen, Teil 3: Das Verzeichnis der Verarbeitungstätigkeiten
DSGVO für Schulen, Teil 3: Das Verzeichnis der Verarbeitungstätigkeiten
 
Datenschutz im Verein
Datenschutz im VereinDatenschutz im Verein
Datenschutz im Verein
 
Vortrag zum Urheberrecht und Datenschutzrecht
Vortrag zum Urheberrecht und DatenschutzrechtVortrag zum Urheberrecht und Datenschutzrecht
Vortrag zum Urheberrecht und Datenschutzrecht
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & Datenschutzrecht
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
 
DSGVO
DSGVODSGVO
DSGVO
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 
Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...
Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...
Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internet
 
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
 
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende InformationenDSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
 
Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017
 
Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016
 
Soziale Medien und Recht
Soziale Medien und RechtSoziale Medien und Recht
Soziale Medien und Recht
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
 

Mehr von TALOSCommunications

Compliance Organisation Health Check
Compliance Organisation Health CheckCompliance Organisation Health Check
Compliance Organisation Health Check
TALOSCommunications
 
Le règlement général sur la protection des données (« RGPD ») chez les banque...
Le règlement général sur la protection des données (« RGPD ») chez les banque...Le règlement général sur la protection des données (« RGPD ») chez les banque...
Le règlement général sur la protection des données (« RGPD ») chez les banque...
TALOSCommunications
 
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
TALOSCommunications
 

Mehr von TALOSCommunications (19)

Personal Data Breach Notification
Personal Data Breach Notification Personal Data Breach Notification
Personal Data Breach Notification
 
AIFM Pitfalls
AIFM PitfallsAIFM Pitfalls
AIFM Pitfalls
 
Compliance Organisation Health Check
Compliance Organisation Health CheckCompliance Organisation Health Check
Compliance Organisation Health Check
 
LIBOR DE
LIBOR DELIBOR DE
LIBOR DE
 
LIBOR
LIBORLIBOR
LIBOR
 
TALOS Luxembourg FR
TALOS Luxembourg FRTALOS Luxembourg FR
TALOS Luxembourg FR
 
TALOS Luxembourg EN
TALOS Luxembourg ENTALOS Luxembourg EN
TALOS Luxembourg EN
 
TALOS Luxembourg DE
TALOS Luxembourg DETALOS Luxembourg DE
TALOS Luxembourg DE
 
goAML
goAMLgoAML
goAML
 
Blockchain
BlockchainBlockchain
Blockchain
 
Revidiertes Geldwaeschereigesetz
Revidiertes GeldwaeschereigesetzRevidiertes Geldwaeschereigesetz
Revidiertes Geldwaeschereigesetz
 
Digital Transformation
Digital TransformationDigital Transformation
Digital Transformation
 
Digital Transformation
Digital TransformationDigital Transformation
Digital Transformation
 
Kostentransparenz unter FIDLEG und MiFID II
Kostentransparenz unter FIDLEG und MiFID IIKostentransparenz unter FIDLEG und MiFID II
Kostentransparenz unter FIDLEG und MiFID II
 
Successfully Managing Remediation Projects
Successfully Managing Remediation ProjectsSuccessfully Managing Remediation Projects
Successfully Managing Remediation Projects
 
MiFID II und PRIIPs - Das erste Quartal
MiFID II und PRIIPs - Das erste QuartalMiFID II und PRIIPs - Das erste Quartal
MiFID II und PRIIPs - Das erste Quartal
 
Choices on your digital path
Choices on your digital pathChoices on your digital path
Choices on your digital path
 
Le règlement général sur la protection des données (« RGPD ») chez les banque...
Le règlement général sur la protection des données (« RGPD ») chez les banque...Le règlement général sur la protection des données (« RGPD ») chez les banque...
Le règlement général sur la protection des données (« RGPD ») chez les banque...
 
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
 

Data Breach Notification

  • 1. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com Verfahren bei Verletzungen des Schutzes personenbezogener Daten Handlungsempfehlungen für Finanzdienstleister von Christian Scholten und Thomas Eustorgi In unserer digitalisierten Welt werden Datenpannen, also Verstösse gegen den Datenschutz bei denen personenbezogene Daten Unberechtigten bekannt wer- den, immer häufiger entdeckt und an die entsprechenden Datenschutzbehörden gemeldet.1 Die Folgen einer solchen Datenpanne können schwerwiegend sein und ernsthafte betriebliche, finanzielle und reputationsbezogenen Schäden ver- ursachen. Besonders anfällig sind dabei Finanzdienstleister, da sie eine grosse Menge sensibler Daten bearbeiten und gleichzeitig einer verstärkten Kontrolle durch die Aufsichtsbehörden unterstehen. Aus operativer Sicht benötigen Finanzdienstleister ein Verfahren, um bei Verlet- zungen des Schutzes personenbezogener Daten rasch reagieren zu können und die Aufsichtsbehörden, betroffene Kunden sowie weitere Anspruchsgruppen zeitnah zu informieren. Die erforderlichen Verfahren und Massnahmen, welche mitunter die Offenlegung der betroffenen Daten beinhaltet, bergen erhebliche be- triebliche und finanzielle Risiken. Daher sind Organisationen gut beraten, auf die Erfahrung professioneller Dienstleister für Rechtsberatung und für die Planung und Ausführung der erforderlichen Verfahren und Massnahmen zurückzugreifen. Fussnote: 1 Einige EU-Datenschutz- behörden erhalten pro Jahr bis zu 70 Meldungen pro 100.000 Einwohner (GDPR today, www.gdprtoday.org/ gdpr-in-numbers-4)
  • 2. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com2 Verletzung des Schutzes personenbezogener Daten und DSGVO Die Datenschutz-Grundverordnung der EU (DSGVO) definiert die Rechte betroffener Per- sonen2 – beispielsweise Kunden oder Mitarbei- ter – im Falle einer Datenschutzverletzung bei welcher personenbezogene Daten Unberech- tigten bekannt werden. Gemäss DSGVO Art. 32 muss der Auftragsverarbeiter, z.B. eine Bank, jede Verletzung innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde melden. Der Auftragsverarbeiter ist des Weiteren ge- setzlich verpflichtet die betroffenen Personen zu benachrichtigen sofern die Verletzung zu ei- nem hohen Risiko für die Rechte und Freihei- Verfahren bei Verletzung des Schutzes personenbezogener Daten ten3 natürlicher Personen führen könnte (DSGVO Art. 33). Falls dies zutrifft, so hat der Auftragsverarbeiter jede betroffene Person einzeln und vorzugsweise schriftlich zu be- nachrichtigen.4 Darüber hinaus ist der Auf- tragsverarbeiter nach DSGVO Art. 15 verpflich- tet, Zugang zu personenbezogenen Daten zu gewähren und eine Anlaufstelle (Helpdesk) ein- zurichten. Unter bestimmten Umständen muss den betroffenen Personen auch eine Kopie von Dokumenten, wie z.B. die Kopie einer E-Mail ausgehändigt werden.5 Das von uns empfohlene Verfahren im Falle ei- ner Verletzung des Schutzes personenbezoge- ner Daten kann in sechs Schritte unterteilt wer- den (Abb. 2). Als Erstes (Schritt 1) sind technische Massnah- men zur Erkennung eines Verstosses, dessen Eindämmung und Beseitigung sowie zur Da- tenwiederherstellung zu ergreifen. Dazu muss man die Verletzung analysieren, die betroffe- nen Daten identifizieren und massgeschnei- derte Sofortmassnahmen zur Prävention wei- terer Verstösse implementieren. Sehr bald stellt sich für das Unternehmen die Frage, wie mit der Datenschutzverletzung um- zugehen ist. Hierzu ist eine strategische Pla- nung der nächsten Schritte notwendig (Schritt 2). Eine Datenschutzverletzung ist der Auf- sichtsbehörde unverzüglich innerhalb von 72 Stunden nach Bekanntwerden des Verstosses zu melden. Vom Zeitpunkt der Meldung lohnt es sich eine effiziente Kommunikation mit den Behörden zu pflegen, da eine einmalige Mel- dung selten ausreichen wird. Ein rechtliches Gutachten sollte Auskunft darü- ber geben, ob und wie die betroffenen Perso- nen benachrichtigt werden müssen und in wel- chem Umfang sie ein Recht auf Zugang zu ihren Daten haben. Das rechtliche Guthaben sollte auch pragmatische Fragen beantworten, Fussnoten: 2 Im Englischen spricht man von data subject («Datensubjekten») 3 Das Risiko für die Rechte und Freiheiten beinhaltet z.B. das Risiko von Diskriminierung, Identi- täts-diebstahl, finanziellem Verlust oder Reputa- tions-schäden (vgl. EU-DSGVO, Erwägungs- grund 75) 4 Falls dies zu einem unverhältnismässigen Aufwand führen würde, kann die Verletzung öffentlich bekanntgeben werden. Abbildung 1: Meldeverfahren gemäss DSGVO 5 Da sich der weit gefasste Wortlaut von DSGVO Art. 15 darüber ausschweigt, was der Verantwortliche in der Praxis genau zur Verfügung stellen muss, gehen die Meinungen über die Reichweite des Anspruchs auf Auskunftserteilung und Aushändigung einer Kopie entsprechend weit auseinander.
  • 3. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com3 wie beispielsweise, welche Rolleninhaber eines Kontos kontaktiert werden müssen (bei einer Bank) oder ob die betroffenen Personen per E- Mail kontaktiert werden können. Ist das weitere Vorgehen in den Grundzügen definiert, müssen in Schritt 3 die betroffenen Personen identifiziert werden. In der Praxis wird oftmals eine Kombination aus automati- sierter Datenanalyse und manueller Überprü- fungen der Ergebnisse angewendet. Als Bei- spiel nehmen wir an, dass eine Bank die betroffenen Daten nach Kontonummern durch- sucht. Die automatisch generierten Ergebnisse müssen danach einer manuellen falsch-positiv Überprüfung unterzogen werden, um sicherzu- stellen, dass die Nummern einem Konto und nicht einer Telefonnummer o.ä. zuzuordnen sind. Sobald die betroffenen Personen identifiziert sind, müssen Adressdaten abgefragt, bereinigt und eventuell sogar manuell ergänzt werden. Diese Adressbereinigung ist insbesondere für ehemalige Kunden relevant oder in Fällen wo die Benachrichtigungsadresse von der regulä- ren Postanschrift abweicht. Als letzte Aktivität im Schritt 3 muss eine An- laufstelle für Rückfragen eingerichtet werden. Nur diese Anlaufstelle sollte befugt sein mit be- troffenen Personen über Angelegenheiten im Zusammenhang mit der Datenschutzverletzung zu kommunizieren. Dabei hat sich die Stelle an vorher definierte Leitlinien zu halten, um Inkon- sistenzen in der Kommunikation zu vermeiden. In Schritt 4 folgt nun die Benachrichtigung aller betroffenen Personen. Um Rückfragen besser zu handhaben, ist die Benachrichtigung gestaf- felt zu senden. Ein gewisser Anteil der betroffenen Personen wird in der Folge Zugang zu den betroffenen Daten verlangen. Das Unternehmen muss folg- lich bereits frühzeitig Vorbereitungen treffen, um innerhalb einer angemessenen Frist, in der Praxis innerhalb von 30 Tagen6, Zugang zu den Daten zu gewähren. Dabei müssen Daten von Drittpersonen vor der Offenlegung geschützt werden. Auf dem Markt gibt es dafür zwar Soft- warelösungen, welche Daten von Drittperso- nen erkennt und abdeckt, trotzdem wird ein ge- wisses Mass an manueller Qualitätssicherung weiterhin notwendig sein. Betroffenen Personen ist auf möglichst effizien- te Weise Zugang zu ihren Daten zu gewähren. Dafür eignet sich in der Regel ein elektroni- sches Format. Die Daten können zum Beispiel in einen virtuellen Datenraum hochgeladen werden worauf betroffene Personen mit einem individuellen Benutzerprofil zugreifen können. Abbildung 2: Das Verfahren bei Verletzung des Schutzes personenbezogener Daten in 6 Schritten Fussnote: 6 Der Zeitraum kann je nach Komplexität und Anzahl der Anfragen um weitere 60 Tage erweitert werden (DSGVO Art. 12).
  • 4. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com4 In Schritt 4 ist es wichtig, dass alle Aktivitäten, jeder Kundenkontakt, jede Anfrage oder jede Bereitstellung von Zugangsdaten erfasst wird. Die Abläufe sollten idealerweise in einem Workflow-Management-Tool abgebildet wer- den. In Schritt 5 müssen schliesslich die Vorberei- tungen für die langfristigen Massnahmen ge- plant werden. Dazu gehört die Vorbereitung auf mögliche Rechtsstreitigkeiten oder die Um- setzung zusätzlicher Abwehrmassnahmen, um das Risiko weitere Datenschutzverletzungen zu reduzieren. Durch eine wirksame Öffentlichkeitsarbeit und Medienkommunikation (Schritt 6) gilt es vom ersten Tag an weitere Reputationsschäden zu verhindern. Das Unternehmen darf die Kontrol- le über die Informationen und die Diskussionen in der Öffentlichkeit nicht aus der Hand geben. Abbildung 3: Von TALOS abgedeckte/ koordinierte Dienstleistun- gen in einem konkreten Anwendungsfall Die Herausforderung Unser Kunde erlitt eine Datenpanne in der Schweiz und einem EU-Land, was dazu führte, dass personenbezogene Daten von Kunden und Mitarbeitern für eine ausländische Behör- de zugänglich waren. Der Kunde war ver- pflichtet die betroffenen Personen über den Datenschutzverstoss zu informieren. Mehre- re betroffene Personen in der Schweiz und in der EU haben daraufhin Zugang zu Daten und Dokumenten verlangt. Unser Beitrag Für unseren Kunden haben wir den End-zu-End-Benachrichtigungs- und Offenle- gungsprozess konzipiert und implementiert. Unsere Berater unterstützten bei der Identifi- zierung betroffener Personen, bei der Benach- richtigung von Kunden und Mitarbeiter sowie beim Betrieb eines Helpdesks. TALOS defi- nierte die Rolle von Kundenteams, entwickel- te Richtlinien und Arbeitsanweisungen und implementierte Tools zur Überwachung des Status jeder einzelnen Anfrage. Temporäre Ressourcen von TALOS unterstützten zudem bei der Abdeckung von Daten Dritter. Für den Kunden koordinierte TALOS fast alle mit dem Datenleck verbunden Aktivitäten angefangen vom Projektmanagement bis hin zur Identifi- kation der betroffenen Personen und der Qua- litätssicherung vor der Offenlegung relevanter Daten und Dokumente. Der Kundenutzen Der Kunde konnte sich auf uns als eine zentra- lisierte Funktion verlassen, welche sowohl mit internen Anspruchsgruppen, wie auch mit spezialisierten Anbietern zusammenzuarbei- tet und so alle Verfahrensschritte von der stra- tegischen Planung bis zur Offenlegung der betroffenen Daten entweder selbst oder in Ko- operation mit anderen Dienstleistern und in- ternen Stellen abdecken konnte. Anwendungsbeispiel
  • 5. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com5 Eine Verletzung des Schutzes personenbezo- gener Daten löst eine Reihe verbindlicher ope- rativer Verfahren aus. Darunter fallen die Mel- dung an die Aufsichtsbehörden, die Identifizierung betroffener Daten und Perso- nen, die Benachrichtigung und Kommunikation mit Kunden und Mitarbeitern, sowie die Offen- legung relevanter Daten. Die Steuerung dieser Verfahren erfordert einen interdisziplinären Ansatz, das Wissen spezialisierter Anbieter, ju- ristisches Know-how und Projektmanagement- Schlusswort Fähigkeiten. Wenn diese operativen Verfahren nicht ordnungsgemäss geplant und ausgeführt werden, führen Fehler und andere Ineffizien- zen rasch zu weiteren finanziellen Verlusten und Reputationsschäden. Unternehmen sind daher gut beraten auf das Wissen und die Er- fahrung professioneller Anbieter zurückzugrei- fen, die in der Lage sind, die interdisziplinären Aspekte einer Verletzung des Schutzes perso- nenbezogener Daten zu steuern und zu koordi- nieren.
  • 6. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com6 TALOS definiert neue Standards in der Ma- nagement Beratung. Als spezialisierte Bou- tique Beratung mit Schweizer Wurzeln und Büwros in Zürich und Luxemburg beraten wir Kunden aus der Europäischen Finanzindustrie. TALOS wurde 2008 von erfahrenen Manage- ment Beratern gegründet und ist seither zu ei- nem etablierten Beratungsunternehmen für Fi- nanzunternehmen gewachsen. Als Experten für regulatorische Transformati- onslösungen decken wir die gesamte Band- breite möglicher Fragestellungen ab, von der Analyse über die Strategie bis hin zur Umset- zung. Zürich TALOS Management Consultants Bleicherweg 45 CH-8002 Zürich Tel. +41 44 380 14 40 Luxembourg TALOS Management Consultants 6, Rives de Clausen L-2165 Luxembourg Tel. +352 26 20 23 54 www.talos-consultants.com www.shapenewstandards.com Who we are Your Contact Christian ist Partner bei TALOS und arbeitete früher als interner Berater für einen deutschen Logistikkonzern und ist seit 2007 als Unterneh- mensberater (Accenture, TALOS) tätig. Christian Scholten Partner christian.scholten@talos-consultants.ch Thomas ist Manager und kam 2016 zu TALOS. Er verfügt über mehr als 8 Jahre Erfahrung in der Finanzdienstleistungsbranche mit einer weltweiten Karriere in der Schweiz, den USA, Spanien und Südkorea. Thomas bringt funktio- nale Expertise und Projekterfahrung in den Be- reichen Compliance, Outsourcing und Finanz- management ein. Thomas Eustorgi Manager thomas.eustorgi@talos-consultants.ch