Interne Erfassung von Datenpannen/IT-Sicherheitsvorfällen (s. Art. 33 DS-GVO)

Größe: px

Ab Seite anzeigen:

Download "Interne Erfassung von Datenpannen/IT-Sicherheitsvorfällen (s. Art. 33 DS-GVO)"

Krista Busch
vor 6 Jahren
Abrufe

1 1 Interne Erfassung vn Datenpannen/IT-Sicherheitsvrfällen (s. Art. 33 DS-GVO) Was ist eine Datenpanne? Nach Art. 33 DS-GVO liegt eine Datenverletzung vr, wenn der Schutz persnenbezgener Daten verletzt wurde. Das kann durch den Verlust vn Hardware passieren (mbile Endgeräte), durch gezielte Angriffe vn außen der versehentlich durch einen Mitarbeiter. Umfang, Anlass und Auswirkungen sind zunächst unwichtig. Sie sind dann lediglich für die Frage relevant, b die Verletzung der Aufsichtsbehörde und dem Betrffenen zu melden ist. Was ist ein IT-Sicherheitsvrfall? Als Sicherheitsvrfall wird ein unerwünschtes Ereignis (der Kmbinatin mehrerer Ereignisse) bezeichnet, das die Vertraulichkeit, Verfügbarkeit und Integrität vn Infrmatinen, Geschäftsprzessen, IT-Diensten, IT- Systemen der IT-Anwendungen mit hhem der sehr hhem Schutzbedarf derart beeinträchtigt, dass ein grßer Schaden entstehen kann und die Infrmatinssicherheit erheblich verschlechtert wird. I. Allgemeine Angaben Verantwrtliche Stelle Meldende Persn/meldender Bereich Vr- und Nachname Telefnnummer Empfänger des Datenpannen-/IT- Sicherheitsvrfallreprts II. Angaben zu den zu benachrichtigenden Persnen der verantwrtlichen Stelle 1. Betrieblicher/behördlicher Datenschutzbeauftragter Vr- und Nachname Anschrift (falls extern) Telefnnummer 2. IT-Sicherheitsbeauftragter Vr- und Nachname Anschrift (falls extern)

2 2 Telefnnummer 3. Vr- und Nachname Anschrift (falls extern) Telefnnummer III. Beschreibung der Datenpanne/des IT-Sicherheitsvrfalls 1. Art der Verletzung - Welche Datenkategrien sind betrffen? - Wie viele Persnen sind betrffen (ungefähre Anzahl)? - Wie hch ist die (ungefähre) Anzahl der betrffenen Datensätze? 2. Welche Verfahren/Systeme/Objekte sind betrffen? Verfahren Hardware Sftware Kmmunikatinssysteme Dkumente Betrffener Kunde 3. Sind negative Auswirkungen auf Geschäftsprzesse zu erwarten?

3 3 4. zeitliche Angaben Datum und Uhrzeit des Eintritts der Datenpanne/des IT-Sicherheitsvrfalls (TTMMJJJJ, HHMM) Datum und Uhrzeit der Erkennung der Datenpanne/des IT-Sicherheitsvrfalls Datum und Uhrzeit der Meldung der Datenpanne/des IT-Sicherheitsvrfalls bei der verantwrtlichen Stelle Ist die Datenpanne/der IT-Sicherheitsvrfall abgeschlssen? (Zutreffendes bitte ankreuzen) JA Wenn JA, wie lange hat die Datenpanne/der IT-Sicherheitsvrfall angedauert? NEIN Wenn NEIN, wie lange dauert die Datenpanne/der IT-Sicherheitsvrfall bereits an? 5. Typ der Datenpanne/des IT-Sicherheitsvrfalls (Zutreffendes bitte ankreuzen) tatsächlich eingetreten Versuch Verdacht Diebstahl Hacking / Ausspähung vn Daten Betrug schädlicher Cde Infrmatinsabfluss nicht autrisierter Zugriff auf Infrmatinen Sabtage / Physikalische Beschädigung andere Frm des Verlustes Hardwarefehler Störung der Belastbarkeit Sftwarefehler Feuer

4 4 Netzwerkfehler Wasser Ausfall essentieller Dienste Fehlbedienung/-versand Systemausfall Planungsfehler Hardware-Wartungsfehler Fehlentsrgung Sftware-Wartungsfehler andere 6. Verursacher Persn(en) Organisatin / Institutin rganisierte Gruppe intern z. B. natürliche Ereignisse, Ausfall elektrnischer Kmpnenten, menschliche Fehler 7. Vermutliche Mtivatin des Verursachers strafbare Handlung / finanzieller Gewinn Zeitvertreib / Hacking plitisch / terrristisch Unzufriedenheit Fehlverhalten andere IV. Flgen der Datenpanne/des IT-Sicherheitsvrfalls Gewichtung (vrzunehmen vm IT-Verantwrtlichen der vm Infrmatinssicherheitsbeauftragten und vm betrieblichen Datenschutzbeauftragten Ksten (Schätzung) Risik für den Betrffenen - Beeinträchtigung des infrmatinellen Selbstbestimmungsrechts - Ansehens- und Vertrauensbeeinträchtigung - finanzieller Verlust für den Betrffenen vraussichtlich kein Risik nrmal hch

5 5 Verlust der Vertraulichkeit Verlust der Integrität Verlust der Verfügbarkeit Verletzung vn Nachweispflichten Zerstörung Finanzieller Verlust für die verantwrtliche Stelle - Bußgeldverhängung möglich - Immaterieller Schaden Störung vn Geschäftsprzessen Verstß gegen gesetzliche und behördliche Verpflichtungen Beeinträchtigung vn Managementund Geschäftsprzessen V. Maßnahmen zur Behandlung der Datenpanne/des IT-Sicherheitsvrfalls Datum des Beginns Namen der in die Behandlung invlvierten Persnen Funktin in der verantwrtlichen Stelle vraussichtlicher Beginn der Maßnahme vraussichtliche Beendigung der Maßnahme Beschreibung der ergriffenen und geplanten Maßnahme VI. Zusammenfassende Bewertung der Datenpanne/des IT-Sicherheitsvrfalls (vrzunehmen durch betrieblichen/behördlichen Datenschutzbeauftragten und IT-Sicherheitsbeauftragten) hhe Bedeutung

6 6 geringe Bedeutung Begründung: VII. Meldung an Aufsichtsbehörde (Bezeichnung, Adresse,, Tel.) (Vrbereitung durch betrieblichen/behördlichen Datenschutzbeauftragten für Verantwrtlichen) binnen 72 Stunden nicht binnen 72 Stunden Begründung: VIII. Benachrichtigung der vn der Verletzung betrffenen Persn (Art. 34 DS-GVO) (Vrbereitung durch betrieblichen/behördlichen Datenschutzbeauftragten für Verantwrtlichen) hhes Risik liegt vr unverzügliche Benachrichtigung erflgt keine Benachrichtigung ntwendig, da Maßnahmen nach Abs. 3 ergriffen Beschreibung: IX. Benachrichtigte Persnen / Institutinen Leiter verantwrtliche Stelle Versicherung CIO / IT-Leiter Strafverflgungsbehörden Infrmatinssicherheitsbeauftragter Presse /Öffentlichkeit Datenschutzbeauftragter Bereich Finanzen IHK-GfI/ externe Dienstleister Help Desk Persnalverantwrtlicher Andere (z. B. Persnalrat) X. Unterschriften der invlvierten Persnen Vr- und Nachname Vr- und Nachname

7 7 Verantwrtungsbereich/Funktin Datum Datum Unterschrift Unterschrift

Ähnliche Dokumente

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 2. Übung im SoSe 2017: Einführung in den Datenschutz nach der EU-DSGVO (2)

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 2. Übung im SoSe 2017: Einführung in den Datenschutz nach der EU-DSGVO (2) und der IT-Sicherheit Musterlösung zur 2. Übung im SSe 2017: Einführung in den Datenschutz nach der EU-DSGVO (2) 2.1 Gesundheitsdatenverarbeitung Aufgabe: Welche besnderen Rechtsvrschriften zur Verarbeitung