Ihr Geschäftspartner wurde Opfer eines Cyberangriffs? Unverhofft erhalten Sie von ihm eine Nachricht über kursierende Angriffswellen mit Schadsoftware im Netz. Was sonst anderen passiert, beschreibt er Ihnen nun sehr realitätsnah: eine E-Mail, ein Anhang, ein Klick, ein Trojaner... Auch Ihre personenbezogenen Daten sind in seinen IT-Systemen gespeichert.
Trotz sofortiger Gegenmaßnahmen wird schnell klar: es ist nicht ausgeschlossen, dass personenbezogene Daten abgeflossen sind oder noch abfließen könnten. Unbefugte Dritte können sich Zugang zu Ihren Daten und Daten aus Ihrem Unternehmen (beispielsweise aus Postfächern, Kontakten, Datenbanken) verschafft haben und nun unkontrolliert damit agieren.
Wie reagieren Sie als Betroffener nun richtig?
Nachfolgend eine Checkliste zur möglichen Vorgehensweise und Schadensprävention nach einer Meldung einer Datenschutzverletzung nach Artikel 34 der Datenschutzgrundverordnung (DS-GVO):
1. Nehmen Sie die Benachrichtigung ernst.
Ihr Geschäftspartner hat Sie informiert, weil er eine Meldepflicht für die Datenschutzverletzung festgestellt hat. Seine weiterführende Risikoabwägung hat ergeben, dass auch für Sie als betroffenes Unternehmen bzw. betroffene Person das resultierende Risiko hoch ist. Das kann vor allem in Form eines Verlustes, einer Vernichtung, einer Veränderung oder unbefugten Offenlegung von Daten auftreten. Schlimmstenfalls würden Ihre Daten zu Betrugszwecken verwendet oder Ihre geschäftlichen E-Mail-Adressen zum Versand von E-Mails mit Schadcode missbraucht werden.
2. Prüfen Sie, welche Arten und Kategorien von Daten betroffen sind.
Stammdaten (Anschrift, Name), Kontaktdaten (Telefon, Fax) , E-Mail-Schriftverkehr (nebst Anlagen), Bankverbindungen, Unternehmensdaten (wie Controlling-Daten, Verträge, Berichte, interne Notizen), und weitere?
Tipp:
Details zu gefährdeten personenbezogenen Daten ergeben sich in der Regel aus der Meldung Ihres Geschäftspartners. Haken Sie im Zweifelsfall nach.
3. Legen Sie den Kreis der zu informierenden Mitarbeiter (IT, Personal, Vertrieb...) fest, in Abhängigkeit davon, welche Datenarten und Datenkategorien betroffen sind.
Tipp:
Beziehen Sie Ihre IT-Abteilung oder Ihren externen IT-Dienstleister sowie Ihren Datenschutzbeauftragten mit ein.
4. Informieren Sie Ihre Mitarbeiter zügig und leiten Sie Vorsichtsmaßnahmen ein.
Geben Sie die Meldung Ihres Geschäftspartners weiter oder erstellen Sie eine eigene interne Eilmeldung.
Tipp:
Bitten Sie Ihre Mitarbeiter um besondere Achtsamkeit und Sorgfalt in Bezug auf den Datenschutzvorfall und mögliche Folgen. Legen Sie Gefahren, die bspw. von Phishing-Angriffen ausgehen, dar und zeigen Sie Ihren Mitarbeitern mögliche Vorsichtsmaßnahmen auf. So sind zum Beispiel unerwartete Nachrichten, auch von Personen, mit denen man in Kontakt steht, mit besonderer Vorsicht und Skepsis zu behandeln. Name, E-Mail-Adresse, Ansprache und Signatur können durchaus korrekt angegeben sein, was die E-Mail authentisch aussehen lässt. Schnell ist deshalb ein enthaltener Link oder ein schädlicher Anhang angeklickt.
Schulen Sie Ihre Mitarbeiter in der IT-Sicherheit oder weisen Sie zumindest auf die Empfehlungen des BSI (Bundesamt für Sicherheit der Informationstechnik) für Unternehmen hin.
5. Dokumentieren Sie die Meldung, gegebenenfalls gemeinsam mit Ihrem Datenschutzbeauftragten und überlegen Sie gemeinsam, ob zusätzliche Schritte nötig sind.
Fazit
Entscheidend ist, dass Sie bei einer eingegangenen Meldung über Datenpannen schnell reagieren und IT-Verantwortliche und alle Mitarbeiter, die betroffen sein könnten, in Kenntnis setzen und anweisen.
Wichtig ist ebenfalls die kontinuierliche Einhaltung der Sicherheitsmaßnahmen und die regelmäßige Schulung der Belegschaft. Bestenfalls hat Ihr Unternehmen einen Datenschutzbeauftragten bestellt, der Sie hierbei unterstützt.
Wir von der exkulpa stehen Ihnen als externer Datenschutzbeauftragter und als IT-Sicherheitsexperte gern zur Seite.
Nicht nur in Datenschutz-Angelegenheiten, auch in Fragen zur Informationssicherheit steht Ihnen das Team der exkulpa gmbh gerne zur Verfügung. Machen Sie heute den ersten Schritt und finden Sie mit unserem IT-Sicherheits-Selbstcheck heraus, wie gut Ihr eigenes Unternehmen in der IT-Sicherheit aufgestellt ist!
Inga Reifenrath