Richtlinie Umgang mit Sicherheitsvorfällen DMS Daten Management Service GmbH

Transkript

1 Richtlinie Umgang mit Sicherheitsvorfällen DMS Daten Management Service GmbH Stand: November 2018

2 Inhalt 1 Ziel Geltungsbereich Sonstige Begriffe Definition von Sicherheitsvorfällen Definition von Datenschutzverletzung Behandlung von Sicherheitsvorfällen Behandlung von Datenschutzverletzungen Prüfung ob Melde- und Benachrichtungspflicht besteht Meldung an die Aufsicht Benachrichtigung der Betroffenen Untersuchung des Vorfalls Dokumentation einer Datenschutzverletzung Sanktionen... 6 Seite 2 von 7

3 1 Ziel Diese Richtlinie regelt den Umgang mit Sicherheitsvorfällen, sie soll dazu beitragen, dass die Integrität, Verfügbarkeit und Vertraulichkeit von Informationen der IT-Infrastruktur der DMS gewährleistet ist. 2 Geltungsbereich Diese Richtlinie gilt für alle Beschäftigte aller Geschäftsbereiche und Unternehmen der DMS Gruppe. 3 Sonstige Begriffe Die IT-Infrastruktur der DMS umfasst ausnahmslos alle IT-Dienste und Anwendungen sowie IT- Geräte, die auf elektronischem Wege Informationen verarbeiten, übertragen oder speichern wie z. B. Hard- und Software, Netzwerke, Arbeitsplatz-PCs, Switche, Server, Drucker, Speichermedien wie Sticks, Festplatten, Telefone, Fax-Geräte, mobile Telefone, Smartphones, Laptops, Tablet-PCs u.ä. Eine Störung ist eine Situation, in der Prozesse oder Ressourcen der IT-Infrastruktur nicht wie vorgesehen funktionieren. Die dadurch entstehenden Schäden sind als gering einzustufen. Die Beseitigung einer Störung kann im allgemeinen Tagesgeschäft vorgenommen werden. Ein Ausfall liegt vor, wenn ein Teil oder Teile der IT-Infrastruktur ihre Funktionsfähigkeit verloren haben. 4 Definition von Sicherheitsvorfällen Ein Sicherheitsvorfall ist ein unerwünschtes Ereignis, welches die Sicherheit hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität der uns zuzurechnenden personenbezogenen Daten oder Unternehmensdaten, Geschäftsprozesse, IT-Dienste, - Systeme oder Anwendungen bzw. Datenverarbeitungen unabhängig vom jeweiligen Schutzbedarf oder Speichermedium derart beeinträchtigt, dass der DMS oder unseren Kunden/Klienten/Teilnehmer und Beschäftigten ein Schaden entstehen kann. Im Gegensatz zu normalen Störungen weisen Sicherheitsvorfälle folgende Kennzeichen auf: Die Beeinträchtigung / Störung wird durch äußere Einflüsse hervorgerufen z. B. Virenbefall, Hackerangriff, Diebstahl von Geräten oder Daten, Akten, Sabotage, Einbringung von fremden IT-Geräten (z. B. Keylogger), Softwarefehler, Zerstörung von Daten etc. Die Beeinträchtigung / Störung wird durch innere Einflüsse wie z. B. Verletzung von Richtlinien, die Nichteinhaltung von Prozessen, das Erlangen von nicht genehmigten Berechtigungen, Verlust von Notebooks oder Datenträgern, Fehlkonfiguration, Löschung von Daten, Datendiebstahl etc. hervorgerufen. Sicherheitsbarrieren wie z. B. Firewall, Virenscanner, Passwortschutz, Berechtigungen, Türen wurden überwunden. 5 Definition von Datenschutzverletzung Eine Verletzung des Schutzes personenbezogener Daten ist ein Sicherheitsvorfall, der zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Seite 3 von 7

4 Regel: Die DMS verpflichtet sich zur Wahrung der Rechtmäßigkeit personenbezogener Datenverarbeitungen und zum Schutz dieser Daten vor unrechtmäßigem oder unautorisierten Zugriff oder absichtlichen Verlust und Zerstörung. Die örtlichen Verantwortlichen haben, soweit a) ein Sicherheitsvorfall befürchtet wird, unverzüglich die IT-Abteilung zu informieren. b) Sind dabei personenbezogene Daten betroffen und könnte eine Datenschutzverletzung die Folge sein, ist die IT-Abteilung, die Bereichsleitung und der Datenschutzbeauftragten unverzüglich zu informieren. Sicherheitsvorfälle sind vorrangig. Das bedeutet, dass die Meldung von Sicherheitsvorfällen stets dem Tagesgeschäft oder sonstigen aktuellen Arbeiten vorgeht. Alle Meldungen bezüglich möglicher Datenschutzverletzungen sind zu dokumentieren. 6 Behandlung von Sicherheitsvorfällen Sicherheitsvorfälle können erhebliche, negative Konsequenzen für die DMS und betroffene Personen haben. Schon bei einem Verdacht eines Sicherheitsvorfalles muss sofort eine Meldung durch Mitarbeiter erfolgen, die den Sicherheitsvorfall bemerken. Ausnahmen hierzu gibt es nur, wenn dem jeweiligen Mitarbeiter sicher bekannt ist, dass der Sicherheitsvorfall bereits von einem anderen Mitarbeiter gemeldet worden ist. Im Zweifel muss eine Meldung erfolgen. Die Meldung aller Sicherheitsvorfälle erfolgt per oder Telefon direkt an den IT-Helpdesk. Help Desk Team Telefon: m.hirschligau@dms-gruppe.de Die weitere Bearbeitung erfolgt im Ticketsystem. Die Mitarbeiter des Helpdesks sind für die Weitergabe der notwendigen Informationen an den IT-Sicherheitsbeauftragten, die Administratoren und den Prozesseigentümer verantwortlich. Sicherheitsvorfälle sind in der Priorität als sehr hoch einzustufen und unverzüglich zu bearbeiten. Da IT-Sicherheitsvorfälle oft sofortige Entscheidungen bzw. Gegenmaßnahmen erfordern, ist es Aufgabe der Helpdesk-Mitarbeiter, die Informationen neben der Dokumentation/Weiterleitung im Ticketsystem, auch per Telefon bei Nichterreichbarkeit auch per SMS an die Verantwortlichen weiterzugeben. Die Kontaktversuche sind im Ticket zu dokumentieren. Der IT-Sicherheitsbeauftragte prüft mit ob eine Information an weitere Instanzen wie Geschäftsführung, Datenschutzbeauftragten notwendig ist. Nach der Wiederherstellung ist durch den IT-Sicherheitsbeauftragten eine Nachbetrachtung des Sicherheitsvorfalls hinsichtlich folgender Kriterien durchzuführen: Reaktionszeiten Wirksamkeit der Eskalationswege Einbindung der richtigen Personen Rückmeldung an einmeldende Stelle Tätermotivation Ableitung/Ergänzung von Handlungsanweisungen Seite 4 von 7

5 7 Behandlung von Datenschutzverletzungen 7.1 Prüfung ob Melde- und Benachrichtungspflicht besteht Der Datenschutzbeauftragten der DMS wird die gemeldete Datenschutzverletzung unverzüglich auf dessen mögliche Risiken für die Rechte und Freiheiten der betroffenen Personen hin untersuchen. Die Verantwortlichen werden ihn dabei unterstützen. Kann er im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Datenschutzverletzung zu keinem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt, muss keine Meldung an die Aufsichtsbehörde und die Benachrichtigung der Betroffenen binnen 72 Stunden erfolgen. Andernfalls ist nach Abstimmung mit der Geschäftsleitung eine Meldung an die zuständige Aufsichtsbehörde und die Betroffenen vorzunehmen. 7.2 Meldung an die Aufsicht Sobald die DMS mit einiger Sicherheit festgestellt hat, dass: a) eine Datenschutzverletzung aufgetreten ist, und b) der Datenschutzverletzung zu einem substantiellen Risiko für die betroffenen Personen führen, wird die DMS die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen. Sollte dies nicht in dieser Frist im gebotenen Umfang möglich sein, müssen Gründe für die Verzögerung bei der Meldung angegeben werden. Der Datenschutzbeauftragte, der von der Geschäftsleitung diesbezüglich unterstützt wird, ist für die Benachrichtigung der Aufsichtsbehörde zuständig. Die Meldung muss von der Geschäftsleitung genehmigt werden. Die DMS wird der zuständigen Aufsichtsbehörde folgende Informationen in der Meldung mitteilen, soweit diese Informationen zum Zeitpunkt der Meldung bekannt sind: Name und Kontaktdaten des Datenschutzbeauftragten; eine Beschreibung der Datenverletzung; eine Beschreibung der wahrscheinlich betroffenen Personen und ihrer ungefähren Anzahl; eine Beschreibung der Kategorien und des Umfangs der betroffenen personenbezogenen Daten; die wahrscheinlichen Folgen des Datenmissbrauchs; und die Maßnahmen, welche die DMS getroffen hat oder zu ergreifen beabsichtigt, um den Verstoß zu beheben und zu mildern. Wenn eine der oben genannten Informationen zum Zeitpunkt der Meldung nicht bekannt ist oder sich eine der bereits gemeldeten Informationen ändert, aktualisiert die DMS die Informationen gegenüber der zuständigen Aufsichtsbehörde. 7.3 Benachrichtigung der Betroffenen Wenn der Datenverstoß wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, wird die DMS die Betroffenen unverzüglich darüber informieren. Die Mitteilung muss in klarer und verständlicher Sprache die Art der Datenverletzung beschreiben und mindestens Informationen enthalten über: die Identität und die Kontaktdaten des regionalen Datenschutzbeauftragten und des lokalen Datenschutzbeauftragten; die Folgen der Datenverletzung; und die von DMS vorgeschlagenen oder getroffenen Maßnahmen zur Bekämpfung der Datenverletzung. Seite 5 von 7

6 Der Datenschutzbeauftragte, unterstützt von der Geschäftsleitung, ist verantwortlich für die Veröffentlichung von Mitteilungen an die betroffenen Personen. Die Benachrichtigung muss von der Geschäftsleitung genehmigt werden. 7.4 Untersuchung des Vorfalls Die DMS wird bei Bekanntwerden einer möglichen Datenschutzverletzung alles versuchen, diese einzudämmen, möglichen negativen Folgen für die betroffenen Personen entgegen zu wirken sowie eingehende Untersuchungen anstellen zur: Art der Datenschutzverletzung (unbeabsichtigt oder unautorisierte Offenlegung, Zerstörung, Veränderung, Verlust der Daten oder des Zugangs dazu); die Ursache der Datenschutzverletzung (Verletzung einer Richtlinie,...); den Umfang der potentiell implizierten Daten; die Anzahl der davon betroffenen Personen; und die potentiellen Konsequenzen für die betroffenen Personen. Diese Maßnahmen müssen ungeachtet aller übrigen Maßnahmen fortgesetzt werden, bis die Datenschutzverletzung eingedämmt ist, alle angemessenen Schadensminderungsmaßnahmen umgesetzt sind und die relevanten Einzelheiten der Verletzung der DMS bekannt sind. Die Untersuchungsergebnisse werden der Geschäftsleitung und anderen Verantwortlichen umgehend mitgeteilt. Die DMS wird bei allen Untersuchungen oder Anfragen uneingeschränkt kooperieren und keine Dokumente oder Aufzeichnungen entfernen, zerstören oder manipulieren, die für eine Untersuchung oder Anfrage relevant sein könnten. 7.5 Dokumentation einer Datenschutzverletzung Die DMS muss Aufzeichnungen über jeden mutmaßlichen oder tatsächlichen Datenverstoß führen, unabhängig davon, ob dies zu einer Benachrichtigung der Aufsichtsbehörden und Betroffener geführt hat. Die DMS muss dokumentieren, soweit dies praktikabel ist: wie und wann es über den Vorfall informiert wurde; alle relevanten Informationen, die bei der Untersuchung des Vorfalls aufgedeckt wurden; ob festgestellt wurde, dass der Vorfall ein meldepflichtiger Datenverstoß war und wann die Feststellung getroffen wurde; alle Informationen, die einer Aufsichtsbehörde oder einer betroffenen Person (wo zutreffend) zur Verfügung gestellt wurden; und alle Maßnahmen, die ergriffen wurden, um auf die Auswirkungen des Vorfalls zu reagieren und diese zu mildern, sowie Maßnahmen, die ergriffen wurden, um künftige Vorfälle zu verhindern. Der Datenschutzbeauftragte führt ein Verzeichnis der Datenschutzverletzungen. 8 Sanktionen Ein Verstoß gegen diese Richtlinien kann eine arbeitsvertragliche Pflichtverletzung darstellen und entsprechend sanktioniert werden. Seite 6 von 7

7 Versionshistorie Version Datum Anmerkungen Autor Initialfassung der Richtlinie Frank Nitschke Seite 7 von 7