SlideShare ist ein Scribd-Unternehmen logo
Publication
© 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com
Verfahren bei Verletzungen des Schutzes personenbezogener Daten
Handlungsempfehlungen für Finanzdienstleister
von Christian Scholten und Thomas Eustorgi
In unserer digitalisierten Welt werden Datenpannen, also Verstösse gegen den
Datenschutz bei denen personenbezogene Daten Unberechtigten bekannt wer-
den, immer häufiger entdeckt und an die entsprechenden Datenschutzbehörden
gemeldet.1 Die Folgen einer solchen Datenpanne können schwerwiegend sein
und ernsthafte betriebliche, finanzielle und reputationsbezogenen Schäden ver-
ursachen. Besonders anfällig sind dabei Finanzdienstleister, da sie eine grosse
Menge sensibler Daten bearbeiten und gleichzeitig einer verstärkten Kontrolle
durch die Aufsichtsbehörden unterstehen.
Aus operativer Sicht benötigen Finanzdienstleister ein Verfahren, um bei Verlet-
zungen des Schutzes personenbezogener Daten rasch reagieren zu können und
die Aufsichtsbehörden, betroffene Kunden sowie weitere Anspruchsgruppen
zeitnah zu informieren. Die erforderlichen Verfahren und Massnahmen, welche
mitunter die Offenlegung der betroffenen Daten beinhaltet, bergen erhebliche be-
triebliche und finanzielle Risiken. Daher sind Organisationen gut beraten, auf die
Erfahrung professioneller Dienstleister für Rechtsberatung und für die Planung
und Ausführung der erforderlichen Verfahren und Massnahmen zurückzugreifen.
Fussnote:
1 Einige EU-Datenschutz-
behörden erhalten pro Jahr
bis zu 70 Meldungen pro
100.000 Einwohner (GDPR
today, www.gdprtoday.org/
gdpr-in-numbers-4)
Publication
© 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com2
Verletzung des Schutzes personenbezogener Daten und DSGVO
Die Datenschutz-Grundverordnung der EU
(DSGVO) definiert die Rechte betroffener Per-
sonen2 – beispielsweise Kunden oder Mitarbei-
ter – im Falle einer Datenschutzverletzung bei
welcher personenbezogene Daten Unberech-
tigten bekannt werden. Gemäss DSGVO Art. 32
muss der Auftragsverarbeiter, z.B. eine Bank,
jede Verletzung innerhalb von 72 Stunden nach
Bekanntwerden der Aufsichtsbehörde melden.
Der Auftragsverarbeiter ist des Weiteren ge-
setzlich verpflichtet die betroffenen Personen
zu benachrichtigen sofern die Verletzung zu ei-
nem hohen Risiko für die Rechte und Freihei-
Verfahren bei Verletzung des Schutzes personenbezogener Daten
ten3 natürlicher Personen führen könnte
(DSGVO Art. 33). Falls dies zutrifft, so hat der
Auftragsverarbeiter jede betroffene Person
einzeln und vorzugsweise schriftlich zu be-
nachrichtigen.4 Darüber hinaus ist der Auf-
tragsverarbeiter nach DSGVO Art. 15 verpflich-
tet, Zugang zu personenbezogenen Daten zu
gewähren und eine Anlaufstelle (Helpdesk) ein-
zurichten. Unter bestimmten Umständen muss
den betroffenen Personen auch eine Kopie von
Dokumenten, wie z.B. die Kopie einer E-Mail
ausgehändigt werden.5
Das von uns empfohlene Verfahren im Falle ei-
ner Verletzung des Schutzes personenbezoge-
ner Daten kann in sechs Schritte unterteilt wer-
den (Abb. 2).
Als Erstes (Schritt 1) sind technische Massnah-
men zur Erkennung eines Verstosses, dessen
Eindämmung und Beseitigung sowie zur Da-
tenwiederherstellung zu ergreifen. Dazu muss
man die Verletzung analysieren, die betroffe-
nen Daten identifizieren und massgeschnei-
derte Sofortmassnahmen zur Prävention wei-
terer Verstösse implementieren.
Sehr bald stellt sich für das Unternehmen die
Frage, wie mit der Datenschutzverletzung um-
zugehen ist. Hierzu ist eine strategische Pla-
nung der nächsten Schritte notwendig (Schritt
2). Eine Datenschutzverletzung ist der Auf-
sichtsbehörde unverzüglich innerhalb von 72
Stunden nach Bekanntwerden des Verstosses
zu melden. Vom Zeitpunkt der Meldung lohnt
es sich eine effiziente Kommunikation mit den
Behörden zu pflegen, da eine einmalige Mel-
dung selten ausreichen wird.
Ein rechtliches Gutachten sollte Auskunft darü-
ber geben, ob und wie die betroffenen Perso-
nen benachrichtigt werden müssen und in wel-
chem Umfang sie ein Recht auf Zugang zu
ihren Daten haben. Das rechtliche Guthaben
sollte auch pragmatische Fragen beantworten,
Fussnoten:
2 Im Englischen spricht
man von data subject
(«Datensubjekten»)
3 Das Risiko für die Rechte
und Freiheiten beinhaltet
z.B. das Risiko von
Diskriminierung, Identi-
täts-diebstahl, finanziellem
Verlust oder Reputa-
tions-schäden (vgl.
EU-DSGVO, Erwägungs-
grund 75)
4 Falls dies zu einem
unverhältnismässigen
Aufwand führen würde,
kann die Verletzung
öffentlich bekanntgeben
werden.
Abbildung 1:
Meldeverfahren gemäss
DSGVO
5 Da sich der weit gefasste
Wortlaut von DSGVO Art. 15
darüber ausschweigt, was
der Verantwortliche in der
Praxis genau zur Verfügung
stellen muss, gehen die
Meinungen über die
Reichweite des Anspruchs
auf Auskunftserteilung und
Aushändigung einer Kopie
entsprechend weit
auseinander.
Publication
© 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com3
wie beispielsweise, welche Rolleninhaber eines
Kontos kontaktiert werden müssen (bei einer
Bank) oder ob die betroffenen Personen per E-
Mail kontaktiert werden können.
Ist das weitere Vorgehen in den Grundzügen
definiert, müssen in Schritt 3 die betroffenen
Personen identifiziert werden. In der Praxis
wird oftmals eine Kombination aus automati-
sierter Datenanalyse und manueller Überprü-
fungen der Ergebnisse angewendet. Als Bei-
spiel nehmen wir an, dass eine Bank die
betroffenen Daten nach Kontonummern durch-
sucht. Die automatisch generierten Ergebnisse
müssen danach einer manuellen falsch-positiv
Überprüfung unterzogen werden, um sicherzu-
stellen, dass die Nummern einem Konto und
nicht einer Telefonnummer o.ä. zuzuordnen
sind.
Sobald die betroffenen Personen identifiziert
sind, müssen Adressdaten abgefragt, bereinigt
und eventuell sogar manuell ergänzt werden.
Diese Adressbereinigung ist insbesondere für
ehemalige Kunden relevant oder in Fällen wo
die Benachrichtigungsadresse von der regulä-
ren Postanschrift abweicht.
Als letzte Aktivität im Schritt 3 muss eine An-
laufstelle für Rückfragen eingerichtet werden.
Nur diese Anlaufstelle sollte befugt sein mit be-
troffenen Personen über Angelegenheiten im
Zusammenhang mit der Datenschutzverletzung
zu kommunizieren. Dabei hat sich die Stelle an
vorher definierte Leitlinien zu halten, um Inkon-
sistenzen in der Kommunikation zu vermeiden.
In Schritt 4 folgt nun die Benachrichtigung aller
betroffenen Personen. Um Rückfragen besser
zu handhaben, ist die Benachrichtigung gestaf-
felt zu senden.
Ein gewisser Anteil der betroffenen Personen
wird in der Folge Zugang zu den betroffenen
Daten verlangen. Das Unternehmen muss folg-
lich bereits frühzeitig Vorbereitungen treffen,
um innerhalb einer angemessenen Frist, in der
Praxis innerhalb von 30 Tagen6, Zugang zu den
Daten zu gewähren. Dabei müssen Daten von
Drittpersonen vor der Offenlegung geschützt
werden. Auf dem Markt gibt es dafür zwar Soft-
warelösungen, welche Daten von Drittperso-
nen erkennt und abdeckt, trotzdem wird ein ge-
wisses Mass an manueller Qualitätssicherung
weiterhin notwendig sein.
Betroffenen Personen ist auf möglichst effizien-
te Weise Zugang zu ihren Daten zu gewähren.
Dafür eignet sich in der Regel ein elektroni-
sches Format. Die Daten können zum Beispiel
in einen virtuellen Datenraum hochgeladen
werden worauf betroffene Personen mit einem
individuellen Benutzerprofil zugreifen können.
Abbildung 2:
Das Verfahren bei
Verletzung des Schutzes
personenbezogener Daten
in 6 Schritten
Fussnote:
6 Der Zeitraum kann je nach
Komplexität und Anzahl der
Anfragen um weitere 60
Tage erweitert werden
(DSGVO Art. 12).
Publication
© 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com4
In Schritt 4 ist es wichtig, dass alle Aktivitäten,
jeder Kundenkontakt, jede Anfrage oder jede
Bereitstellung von Zugangsdaten erfasst wird.
Die Abläufe sollten idealerweise in einem
Workflow-Management-Tool abgebildet wer-
den.
In Schritt 5 müssen schliesslich die Vorberei-
tungen für die langfristigen Massnahmen ge-
plant werden. Dazu gehört die Vorbereitung
auf mögliche Rechtsstreitigkeiten oder die Um-
setzung zusätzlicher Abwehrmassnahmen, um
das Risiko weitere Datenschutzverletzungen
zu reduzieren.
Durch eine wirksame Öffentlichkeitsarbeit und
Medienkommunikation (Schritt 6) gilt es vom
ersten Tag an weitere Reputationsschäden zu
verhindern. Das Unternehmen darf die Kontrol-
le über die Informationen und die Diskussionen
in der Öffentlichkeit nicht aus der Hand geben.
Abbildung 3:
Von TALOS abgedeckte/
koordinierte Dienstleistun-
gen in einem konkreten
Anwendungsfall
Die Herausforderung
Unser Kunde erlitt eine Datenpanne in der
Schweiz und einem EU-Land, was dazu führte,
dass personenbezogene Daten von Kunden
und Mitarbeitern für eine ausländische Behör-
de zugänglich waren. Der Kunde war ver-
pflichtet die betroffenen Personen über den
Datenschutzverstoss zu informieren. Mehre-
re betroffene Personen in der Schweiz und in
der EU haben daraufhin Zugang zu Daten und
Dokumenten verlangt.
Unser Beitrag
Für unseren Kunden haben wir den
End-zu-End-Benachrichtigungs- und Offenle-
gungsprozess konzipiert und implementiert.
Unsere Berater unterstützten bei der Identifi-
zierung betroffener Personen, bei der Benach-
richtigung von Kunden und Mitarbeiter sowie
beim Betrieb eines Helpdesks. TALOS defi-
nierte die Rolle von Kundenteams, entwickel-
te Richtlinien und Arbeitsanweisungen und
implementierte Tools zur Überwachung des
Status jeder einzelnen Anfrage. Temporäre
Ressourcen von TALOS unterstützten zudem
bei der Abdeckung von Daten Dritter. Für den
Kunden koordinierte TALOS fast alle mit dem
Datenleck verbunden Aktivitäten angefangen
vom Projektmanagement bis hin zur Identifi-
kation der betroffenen Personen und der Qua-
litätssicherung vor der Offenlegung relevanter
Daten und Dokumente.
Der Kundenutzen
Der Kunde konnte sich auf uns als eine zentra-
lisierte Funktion verlassen, welche sowohl mit
internen Anspruchsgruppen, wie auch mit
spezialisierten Anbietern zusammenzuarbei-
tet und so alle Verfahrensschritte von der stra-
tegischen Planung bis zur Offenlegung der
betroffenen Daten entweder selbst oder in Ko-
operation mit anderen Dienstleistern und in-
ternen Stellen abdecken konnte.
Anwendungsbeispiel
Publication
© 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com5
Eine Verletzung des Schutzes personenbezo-
gener Daten löst eine Reihe verbindlicher ope-
rativer Verfahren aus. Darunter fallen die Mel-
dung an die Aufsichtsbehörden, die
Identifizierung betroffener Daten und Perso-
nen, die Benachrichtigung und Kommunikation
mit Kunden und Mitarbeitern, sowie die Offen-
legung relevanter Daten. Die Steuerung dieser
Verfahren erfordert einen interdisziplinären
Ansatz, das Wissen spezialisierter Anbieter, ju-
ristisches Know-how und Projektmanagement-
Schlusswort
Fähigkeiten. Wenn diese operativen Verfahren
nicht ordnungsgemäss geplant und ausgeführt
werden, führen Fehler und andere Ineffizien-
zen rasch zu weiteren finanziellen Verlusten
und Reputationsschäden. Unternehmen sind
daher gut beraten auf das Wissen und die Er-
fahrung professioneller Anbieter zurückzugrei-
fen, die in der Lage sind, die interdisziplinären
Aspekte einer Verletzung des Schutzes perso-
nenbezogener Daten zu steuern und zu koordi-
nieren.
Publication
© 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com6
TALOS definiert neue Standards in der Ma-
nagement Beratung. Als spezialisierte Bou-
tique Beratung mit Schweizer Wurzeln und
Büwros in Zürich und Luxemburg beraten wir
Kunden aus der Europäischen Finanzindustrie.
TALOS wurde 2008 von erfahrenen Manage-
ment Beratern gegründet und ist seither zu ei-
nem etablierten Beratungsunternehmen für Fi-
nanzunternehmen gewachsen.
Als Experten für regulatorische Transformati-
onslösungen decken wir die gesamte Band-
breite möglicher Fragestellungen ab, von der
Analyse über die Strategie bis hin zur Umset-
zung.
Zürich
TALOS Management Consultants
Bleicherweg 45
CH-8002 Zürich
Tel. +41 44 380 14 40
Luxembourg
TALOS Management Consultants
6, Rives de Clausen
L-2165 Luxembourg
Tel. +352 26 20 23 54
www.talos-consultants.com
www.shapenewstandards.com
Who we are Your Contact
Christian ist Partner bei TALOS und arbeitete
früher als interner Berater für einen deutschen
Logistikkonzern und ist seit 2007 als Unterneh-
mensberater (Accenture, TALOS) tätig.
Christian Scholten
Partner
christian.scholten@talos-consultants.ch
Thomas ist Manager und kam 2016 zu TALOS.
Er verfügt über mehr als 8 Jahre Erfahrung in
der Finanzdienstleistungsbranche mit einer
weltweiten Karriere in der Schweiz, den USA,
Spanien und Südkorea. Thomas bringt funktio-
nale Expertise und Projekterfahrung in den Be-
reichen Compliance, Outsourcing und Finanz-
management ein.
Thomas Eustorgi
Manager
thomas.eustorgi@talos-consultants.ch

Weitere ähnliche Inhalte

Ähnlich wie Data Breach Notification

DSGVO für Schulen, Teil 3: Das Verzeichnis der Verarbeitungstätigkeiten
DSGVO für Schulen, Teil 3: Das Verzeichnis der VerarbeitungstätigkeitenDSGVO für Schulen, Teil 3: Das Verzeichnis der Verarbeitungstätigkeiten
DSGVO für Schulen, Teil 3: Das Verzeichnis der Verarbeitungstätigkeiten
faltmannPR
 
Datenschutz im Verein
Datenschutz im VereinDatenschutz im Verein
Datenschutz im Verein
ChristianGohlke1
 
Vortrag zum Urheberrecht und Datenschutzrecht
Vortrag zum Urheberrecht und DatenschutzrechtVortrag zum Urheberrecht und Datenschutzrecht
Vortrag zum Urheberrecht und Datenschutzrecht
andresheyn
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & Datenschutzrecht
Michael Rohrlich
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert
 
DSGVO
DSGVODSGVO
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
Michael Rohrlich
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
AllFacebook.de
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
Michael Rohrlich
 
Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...
Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...
Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...
culbricht
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
Michael Rohrlich
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internet
Michael Rohrlich
 
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Carl-Christian Buhr
 
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende InformationenDSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
Mailjet
 
Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017
Michael Lanzinger
 
Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016
ehlaw
 
Soziale Medien und Recht
Soziale Medien und RechtSoziale Medien und Recht
Soziale Medien und Recht
Oliver_Staffelbach
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
Michael Lanzinger
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)
Gigya
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
caniceconsulting
 

Ähnlich wie Data Breach Notification (20)

DSGVO für Schulen, Teil 3: Das Verzeichnis der Verarbeitungstätigkeiten
DSGVO für Schulen, Teil 3: Das Verzeichnis der VerarbeitungstätigkeitenDSGVO für Schulen, Teil 3: Das Verzeichnis der Verarbeitungstätigkeiten
DSGVO für Schulen, Teil 3: Das Verzeichnis der Verarbeitungstätigkeiten
 
Datenschutz im Verein
Datenschutz im VereinDatenschutz im Verein
Datenschutz im Verein
 
Vortrag zum Urheberrecht und Datenschutzrecht
Vortrag zum Urheberrecht und DatenschutzrechtVortrag zum Urheberrecht und Datenschutzrecht
Vortrag zum Urheberrecht und Datenschutzrecht
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & Datenschutzrecht
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
 
DSGVO
DSGVODSGVO
DSGVO
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 
Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...
Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...
Whitepaper "Markenschutz in Social Media - Handlungsempfehlungen für Unterneh...
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internet
 
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
 
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende InformationenDSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
 
Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017
 
Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016
 
Soziale Medien und Recht
Soziale Medien und RechtSoziale Medien und Recht
Soziale Medien und Recht
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
 

Mehr von TALOSCommunications

Personal Data Breach Notification
Personal Data Breach Notification Personal Data Breach Notification
Personal Data Breach Notification
TALOSCommunications
 
AIFM Pitfalls
AIFM PitfallsAIFM Pitfalls
AIFM Pitfalls
TALOSCommunications
 
Compliance Organisation Health Check
Compliance Organisation Health CheckCompliance Organisation Health Check
Compliance Organisation Health Check
TALOSCommunications
 
LIBOR DE
LIBOR DELIBOR DE
LIBOR
LIBORLIBOR
TALOS Luxembourg FR
TALOS Luxembourg FRTALOS Luxembourg FR
TALOS Luxembourg FR
TALOSCommunications
 
TALOS Luxembourg EN
TALOS Luxembourg ENTALOS Luxembourg EN
TALOS Luxembourg EN
TALOSCommunications
 
TALOS Luxembourg DE
TALOS Luxembourg DETALOS Luxembourg DE
TALOS Luxembourg DE
TALOSCommunications
 
goAML
goAMLgoAML
Blockchain
BlockchainBlockchain
Revidiertes Geldwaeschereigesetz
Revidiertes GeldwaeschereigesetzRevidiertes Geldwaeschereigesetz
Revidiertes Geldwaeschereigesetz
TALOSCommunications
 
Digital Transformation
Digital TransformationDigital Transformation
Digital Transformation
TALOSCommunications
 
Digital Transformation
Digital TransformationDigital Transformation
Digital Transformation
TALOSCommunications
 
Kostentransparenz unter FIDLEG und MiFID II
Kostentransparenz unter FIDLEG und MiFID IIKostentransparenz unter FIDLEG und MiFID II
Kostentransparenz unter FIDLEG und MiFID II
TALOSCommunications
 
Successfully Managing Remediation Projects
Successfully Managing Remediation ProjectsSuccessfully Managing Remediation Projects
Successfully Managing Remediation Projects
TALOSCommunications
 
MiFID II und PRIIPs - Das erste Quartal
MiFID II und PRIIPs - Das erste QuartalMiFID II und PRIIPs - Das erste Quartal
MiFID II und PRIIPs - Das erste Quartal
TALOSCommunications
 
Choices on your digital path
Choices on your digital pathChoices on your digital path
Choices on your digital path
TALOSCommunications
 
Le règlement général sur la protection des données (« RGPD ») chez les banque...
Le règlement général sur la protection des données (« RGPD ») chez les banque...Le règlement général sur la protection des données (« RGPD ») chez les banque...
Le règlement général sur la protection des données (« RGPD ») chez les banque...
TALOSCommunications
 
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
TALOSCommunications
 

Mehr von TALOSCommunications (19)

Personal Data Breach Notification
Personal Data Breach Notification Personal Data Breach Notification
Personal Data Breach Notification
 
AIFM Pitfalls
AIFM PitfallsAIFM Pitfalls
AIFM Pitfalls
 
Compliance Organisation Health Check
Compliance Organisation Health CheckCompliance Organisation Health Check
Compliance Organisation Health Check
 
LIBOR DE
LIBOR DELIBOR DE
LIBOR DE
 
LIBOR
LIBORLIBOR
LIBOR
 
TALOS Luxembourg FR
TALOS Luxembourg FRTALOS Luxembourg FR
TALOS Luxembourg FR
 
TALOS Luxembourg EN
TALOS Luxembourg ENTALOS Luxembourg EN
TALOS Luxembourg EN
 
TALOS Luxembourg DE
TALOS Luxembourg DETALOS Luxembourg DE
TALOS Luxembourg DE
 
goAML
goAMLgoAML
goAML
 
Blockchain
BlockchainBlockchain
Blockchain
 
Revidiertes Geldwaeschereigesetz
Revidiertes GeldwaeschereigesetzRevidiertes Geldwaeschereigesetz
Revidiertes Geldwaeschereigesetz
 
Digital Transformation
Digital TransformationDigital Transformation
Digital Transformation
 
Digital Transformation
Digital TransformationDigital Transformation
Digital Transformation
 
Kostentransparenz unter FIDLEG und MiFID II
Kostentransparenz unter FIDLEG und MiFID IIKostentransparenz unter FIDLEG und MiFID II
Kostentransparenz unter FIDLEG und MiFID II
 
Successfully Managing Remediation Projects
Successfully Managing Remediation ProjectsSuccessfully Managing Remediation Projects
Successfully Managing Remediation Projects
 
MiFID II und PRIIPs - Das erste Quartal
MiFID II und PRIIPs - Das erste QuartalMiFID II und PRIIPs - Das erste Quartal
MiFID II und PRIIPs - Das erste Quartal
 
Choices on your digital path
Choices on your digital pathChoices on your digital path
Choices on your digital path
 
Le règlement général sur la protection des données (« RGPD ») chez les banque...
Le règlement général sur la protection des données (« RGPD ») chez les banque...Le règlement général sur la protection des données (« RGPD ») chez les banque...
Le règlement général sur la protection des données (« RGPD ») chez les banque...
 
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
Die Datenschutzgrundverordnung («DSGVO») bei Banken und Finanzdienstleistern:...
 

Data Breach Notification

  • 1. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com Verfahren bei Verletzungen des Schutzes personenbezogener Daten Handlungsempfehlungen für Finanzdienstleister von Christian Scholten und Thomas Eustorgi In unserer digitalisierten Welt werden Datenpannen, also Verstösse gegen den Datenschutz bei denen personenbezogene Daten Unberechtigten bekannt wer- den, immer häufiger entdeckt und an die entsprechenden Datenschutzbehörden gemeldet.1 Die Folgen einer solchen Datenpanne können schwerwiegend sein und ernsthafte betriebliche, finanzielle und reputationsbezogenen Schäden ver- ursachen. Besonders anfällig sind dabei Finanzdienstleister, da sie eine grosse Menge sensibler Daten bearbeiten und gleichzeitig einer verstärkten Kontrolle durch die Aufsichtsbehörden unterstehen. Aus operativer Sicht benötigen Finanzdienstleister ein Verfahren, um bei Verlet- zungen des Schutzes personenbezogener Daten rasch reagieren zu können und die Aufsichtsbehörden, betroffene Kunden sowie weitere Anspruchsgruppen zeitnah zu informieren. Die erforderlichen Verfahren und Massnahmen, welche mitunter die Offenlegung der betroffenen Daten beinhaltet, bergen erhebliche be- triebliche und finanzielle Risiken. Daher sind Organisationen gut beraten, auf die Erfahrung professioneller Dienstleister für Rechtsberatung und für die Planung und Ausführung der erforderlichen Verfahren und Massnahmen zurückzugreifen. Fussnote: 1 Einige EU-Datenschutz- behörden erhalten pro Jahr bis zu 70 Meldungen pro 100.000 Einwohner (GDPR today, www.gdprtoday.org/ gdpr-in-numbers-4)
  • 2. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com2 Verletzung des Schutzes personenbezogener Daten und DSGVO Die Datenschutz-Grundverordnung der EU (DSGVO) definiert die Rechte betroffener Per- sonen2 – beispielsweise Kunden oder Mitarbei- ter – im Falle einer Datenschutzverletzung bei welcher personenbezogene Daten Unberech- tigten bekannt werden. Gemäss DSGVO Art. 32 muss der Auftragsverarbeiter, z.B. eine Bank, jede Verletzung innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde melden. Der Auftragsverarbeiter ist des Weiteren ge- setzlich verpflichtet die betroffenen Personen zu benachrichtigen sofern die Verletzung zu ei- nem hohen Risiko für die Rechte und Freihei- Verfahren bei Verletzung des Schutzes personenbezogener Daten ten3 natürlicher Personen führen könnte (DSGVO Art. 33). Falls dies zutrifft, so hat der Auftragsverarbeiter jede betroffene Person einzeln und vorzugsweise schriftlich zu be- nachrichtigen.4 Darüber hinaus ist der Auf- tragsverarbeiter nach DSGVO Art. 15 verpflich- tet, Zugang zu personenbezogenen Daten zu gewähren und eine Anlaufstelle (Helpdesk) ein- zurichten. Unter bestimmten Umständen muss den betroffenen Personen auch eine Kopie von Dokumenten, wie z.B. die Kopie einer E-Mail ausgehändigt werden.5 Das von uns empfohlene Verfahren im Falle ei- ner Verletzung des Schutzes personenbezoge- ner Daten kann in sechs Schritte unterteilt wer- den (Abb. 2). Als Erstes (Schritt 1) sind technische Massnah- men zur Erkennung eines Verstosses, dessen Eindämmung und Beseitigung sowie zur Da- tenwiederherstellung zu ergreifen. Dazu muss man die Verletzung analysieren, die betroffe- nen Daten identifizieren und massgeschnei- derte Sofortmassnahmen zur Prävention wei- terer Verstösse implementieren. Sehr bald stellt sich für das Unternehmen die Frage, wie mit der Datenschutzverletzung um- zugehen ist. Hierzu ist eine strategische Pla- nung der nächsten Schritte notwendig (Schritt 2). Eine Datenschutzverletzung ist der Auf- sichtsbehörde unverzüglich innerhalb von 72 Stunden nach Bekanntwerden des Verstosses zu melden. Vom Zeitpunkt der Meldung lohnt es sich eine effiziente Kommunikation mit den Behörden zu pflegen, da eine einmalige Mel- dung selten ausreichen wird. Ein rechtliches Gutachten sollte Auskunft darü- ber geben, ob und wie die betroffenen Perso- nen benachrichtigt werden müssen und in wel- chem Umfang sie ein Recht auf Zugang zu ihren Daten haben. Das rechtliche Guthaben sollte auch pragmatische Fragen beantworten, Fussnoten: 2 Im Englischen spricht man von data subject («Datensubjekten») 3 Das Risiko für die Rechte und Freiheiten beinhaltet z.B. das Risiko von Diskriminierung, Identi- täts-diebstahl, finanziellem Verlust oder Reputa- tions-schäden (vgl. EU-DSGVO, Erwägungs- grund 75) 4 Falls dies zu einem unverhältnismässigen Aufwand führen würde, kann die Verletzung öffentlich bekanntgeben werden. Abbildung 1: Meldeverfahren gemäss DSGVO 5 Da sich der weit gefasste Wortlaut von DSGVO Art. 15 darüber ausschweigt, was der Verantwortliche in der Praxis genau zur Verfügung stellen muss, gehen die Meinungen über die Reichweite des Anspruchs auf Auskunftserteilung und Aushändigung einer Kopie entsprechend weit auseinander.
  • 3. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com3 wie beispielsweise, welche Rolleninhaber eines Kontos kontaktiert werden müssen (bei einer Bank) oder ob die betroffenen Personen per E- Mail kontaktiert werden können. Ist das weitere Vorgehen in den Grundzügen definiert, müssen in Schritt 3 die betroffenen Personen identifiziert werden. In der Praxis wird oftmals eine Kombination aus automati- sierter Datenanalyse und manueller Überprü- fungen der Ergebnisse angewendet. Als Bei- spiel nehmen wir an, dass eine Bank die betroffenen Daten nach Kontonummern durch- sucht. Die automatisch generierten Ergebnisse müssen danach einer manuellen falsch-positiv Überprüfung unterzogen werden, um sicherzu- stellen, dass die Nummern einem Konto und nicht einer Telefonnummer o.ä. zuzuordnen sind. Sobald die betroffenen Personen identifiziert sind, müssen Adressdaten abgefragt, bereinigt und eventuell sogar manuell ergänzt werden. Diese Adressbereinigung ist insbesondere für ehemalige Kunden relevant oder in Fällen wo die Benachrichtigungsadresse von der regulä- ren Postanschrift abweicht. Als letzte Aktivität im Schritt 3 muss eine An- laufstelle für Rückfragen eingerichtet werden. Nur diese Anlaufstelle sollte befugt sein mit be- troffenen Personen über Angelegenheiten im Zusammenhang mit der Datenschutzverletzung zu kommunizieren. Dabei hat sich die Stelle an vorher definierte Leitlinien zu halten, um Inkon- sistenzen in der Kommunikation zu vermeiden. In Schritt 4 folgt nun die Benachrichtigung aller betroffenen Personen. Um Rückfragen besser zu handhaben, ist die Benachrichtigung gestaf- felt zu senden. Ein gewisser Anteil der betroffenen Personen wird in der Folge Zugang zu den betroffenen Daten verlangen. Das Unternehmen muss folg- lich bereits frühzeitig Vorbereitungen treffen, um innerhalb einer angemessenen Frist, in der Praxis innerhalb von 30 Tagen6, Zugang zu den Daten zu gewähren. Dabei müssen Daten von Drittpersonen vor der Offenlegung geschützt werden. Auf dem Markt gibt es dafür zwar Soft- warelösungen, welche Daten von Drittperso- nen erkennt und abdeckt, trotzdem wird ein ge- wisses Mass an manueller Qualitätssicherung weiterhin notwendig sein. Betroffenen Personen ist auf möglichst effizien- te Weise Zugang zu ihren Daten zu gewähren. Dafür eignet sich in der Regel ein elektroni- sches Format. Die Daten können zum Beispiel in einen virtuellen Datenraum hochgeladen werden worauf betroffene Personen mit einem individuellen Benutzerprofil zugreifen können. Abbildung 2: Das Verfahren bei Verletzung des Schutzes personenbezogener Daten in 6 Schritten Fussnote: 6 Der Zeitraum kann je nach Komplexität und Anzahl der Anfragen um weitere 60 Tage erweitert werden (DSGVO Art. 12).
  • 4. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com4 In Schritt 4 ist es wichtig, dass alle Aktivitäten, jeder Kundenkontakt, jede Anfrage oder jede Bereitstellung von Zugangsdaten erfasst wird. Die Abläufe sollten idealerweise in einem Workflow-Management-Tool abgebildet wer- den. In Schritt 5 müssen schliesslich die Vorberei- tungen für die langfristigen Massnahmen ge- plant werden. Dazu gehört die Vorbereitung auf mögliche Rechtsstreitigkeiten oder die Um- setzung zusätzlicher Abwehrmassnahmen, um das Risiko weitere Datenschutzverletzungen zu reduzieren. Durch eine wirksame Öffentlichkeitsarbeit und Medienkommunikation (Schritt 6) gilt es vom ersten Tag an weitere Reputationsschäden zu verhindern. Das Unternehmen darf die Kontrol- le über die Informationen und die Diskussionen in der Öffentlichkeit nicht aus der Hand geben. Abbildung 3: Von TALOS abgedeckte/ koordinierte Dienstleistun- gen in einem konkreten Anwendungsfall Die Herausforderung Unser Kunde erlitt eine Datenpanne in der Schweiz und einem EU-Land, was dazu führte, dass personenbezogene Daten von Kunden und Mitarbeitern für eine ausländische Behör- de zugänglich waren. Der Kunde war ver- pflichtet die betroffenen Personen über den Datenschutzverstoss zu informieren. Mehre- re betroffene Personen in der Schweiz und in der EU haben daraufhin Zugang zu Daten und Dokumenten verlangt. Unser Beitrag Für unseren Kunden haben wir den End-zu-End-Benachrichtigungs- und Offenle- gungsprozess konzipiert und implementiert. Unsere Berater unterstützten bei der Identifi- zierung betroffener Personen, bei der Benach- richtigung von Kunden und Mitarbeiter sowie beim Betrieb eines Helpdesks. TALOS defi- nierte die Rolle von Kundenteams, entwickel- te Richtlinien und Arbeitsanweisungen und implementierte Tools zur Überwachung des Status jeder einzelnen Anfrage. Temporäre Ressourcen von TALOS unterstützten zudem bei der Abdeckung von Daten Dritter. Für den Kunden koordinierte TALOS fast alle mit dem Datenleck verbunden Aktivitäten angefangen vom Projektmanagement bis hin zur Identifi- kation der betroffenen Personen und der Qua- litätssicherung vor der Offenlegung relevanter Daten und Dokumente. Der Kundenutzen Der Kunde konnte sich auf uns als eine zentra- lisierte Funktion verlassen, welche sowohl mit internen Anspruchsgruppen, wie auch mit spezialisierten Anbietern zusammenzuarbei- tet und so alle Verfahrensschritte von der stra- tegischen Planung bis zur Offenlegung der betroffenen Daten entweder selbst oder in Ko- operation mit anderen Dienstleistern und in- ternen Stellen abdecken konnte. Anwendungsbeispiel
  • 5. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com5 Eine Verletzung des Schutzes personenbezo- gener Daten löst eine Reihe verbindlicher ope- rativer Verfahren aus. Darunter fallen die Mel- dung an die Aufsichtsbehörden, die Identifizierung betroffener Daten und Perso- nen, die Benachrichtigung und Kommunikation mit Kunden und Mitarbeitern, sowie die Offen- legung relevanter Daten. Die Steuerung dieser Verfahren erfordert einen interdisziplinären Ansatz, das Wissen spezialisierter Anbieter, ju- ristisches Know-how und Projektmanagement- Schlusswort Fähigkeiten. Wenn diese operativen Verfahren nicht ordnungsgemäss geplant und ausgeführt werden, führen Fehler und andere Ineffizien- zen rasch zu weiteren finanziellen Verlusten und Reputationsschäden. Unternehmen sind daher gut beraten auf das Wissen und die Er- fahrung professioneller Anbieter zurückzugrei- fen, die in der Lage sind, die interdisziplinären Aspekte einer Verletzung des Schutzes perso- nenbezogener Daten zu steuern und zu koordi- nieren.
  • 6. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com6 TALOS definiert neue Standards in der Ma- nagement Beratung. Als spezialisierte Bou- tique Beratung mit Schweizer Wurzeln und Büwros in Zürich und Luxemburg beraten wir Kunden aus der Europäischen Finanzindustrie. TALOS wurde 2008 von erfahrenen Manage- ment Beratern gegründet und ist seither zu ei- nem etablierten Beratungsunternehmen für Fi- nanzunternehmen gewachsen. Als Experten für regulatorische Transformati- onslösungen decken wir die gesamte Band- breite möglicher Fragestellungen ab, von der Analyse über die Strategie bis hin zur Umset- zung. Zürich TALOS Management Consultants Bleicherweg 45 CH-8002 Zürich Tel. +41 44 380 14 40 Luxembourg TALOS Management Consultants 6, Rives de Clausen L-2165 Luxembourg Tel. +352 26 20 23 54 www.talos-consultants.com www.shapenewstandards.com Who we are Your Contact Christian ist Partner bei TALOS und arbeitete früher als interner Berater für einen deutschen Logistikkonzern und ist seit 2007 als Unterneh- mensberater (Accenture, TALOS) tätig. Christian Scholten Partner christian.scholten@talos-consultants.ch Thomas ist Manager und kam 2016 zu TALOS. Er verfügt über mehr als 8 Jahre Erfahrung in der Finanzdienstleistungsbranche mit einer weltweiten Karriere in der Schweiz, den USA, Spanien und Südkorea. Thomas bringt funktio- nale Expertise und Projekterfahrung in den Be- reichen Compliance, Outsourcing und Finanz- management ein. Thomas Eustorgi Manager thomas.eustorgi@talos-consultants.ch