06-12-2023, 14:55
Sobald du dieses erste Bild hast, entscheidest du, ob eine Benachrichtigung notwendig ist. Nach der GDPR musst du, wenn der Vorfall ein Risiko für die Rechte und Freiheiten der Menschen darstellt, die zuständige Aufsichtsbehörde benachrichtigen - normalerweise ist das die Datenschutzbehörde in dem Land, in dem deine Hauptgeschäftstätigkeiten sind. Du machst das innerhalb von 72 Stunden, nachdem du davon erfahren hast. Ja, das ist die große Frist, über die jeder ausflippt. Ich erinnere mich an diese eine Zeit in meinem alten Job; wir hatten einen Phishing-Vorfall, und wir haben es um etwa 2 Uhr morgens an einem Freitag erkannt. Wir bemühten uns, bis Sonntagabend den Bericht zusammenzustellen, denn diese 72 Stunden pausieren nicht für das Wochenende. Du sendest ihnen eine Beschreibung des Vorfalls, die wahrscheinlichen Konsequenzen, die betroffenen Daten, wie viele Menschen es betrifft und welche Schritte du unternimmst, um das Problem zu beheben und zu verhindern, dass es erneut passiert. Wenn du all diese Informationen nicht rechtzeitig bereitstellen kannst, informierst du sie trotzdem und fügst später den Rest hinzu.
Aber es sind nicht nur die Behörden - du musst möglicherweise auch die betroffenen Personen informieren. Wenn der Vorfall voraussichtlich ein hohes Risiko verursacht, wie wenn sensible Daten veröffentlicht werden und dies zu Identitätsdiebstahl oder Diskriminierung führen könnte, informierst du diese Personen ohne unangemessene Verzögerung. Ich denke, "ohne unangemessene Verzögerung" bedeutet in der Regel, so schnell wie möglich nach dem 72-Stunden-Zeitraum für die Behörden, aber in der Praxis überschneidest du sie, um die Dinge reibungslos zu halten. Du erklärst in klaren Worten, was passiert ist, was sie darüber tun können - wie das Ändern von Passwörtern oder das Überwachen ihrer Konten - und was du auf deiner Seite unternimmst. Keine vagen Unternehmensformulierungen; die Menschen verdienen klare Informationen. Ich habe gesehen, wie Teams das vermasseln, indem sie persönliche Benachrichtigungen verzögern, und das führt nur zu weiteren Kopfschmerzen und Strafen.
Du musst auch berücksichtigen, ob andere Länder beteiligt sind, da die GDPR EU-weit gilt. Wenn du Daten aus mehreren Mitgliedstaaten verarbeitest, benachrichtigst du die zuständige Behörde, aber sie könnten andere einbeziehen. Ich habe einmal ein grenzüberschreitendes Thema bearbeitet, bei dem wir Nutzer in Deutschland und Frankreich hatten, und die Koordination fühlte sich an wie Katzen hüten, aber du kommst da durch, indem du dich an das Protokoll hältst. Und vergiss nicht die internen Sachen - du berichtest an deinen eigenen Datenschutzbeauftragten, falls du einen hast, und vielleicht an deine Führungskräfte oder den Vorstand, je nach deinem Setup. Der gesamte Prozess betont Transparenz; du kannst Vorfälle nicht verbergen, in der Hoffnung, dass sie vorbeigehen.
Jetzt, was die Geschwindigkeit betrifft: Die 72-Stunden-Uhr beginnt zu ticken, sobald du davon erfährst. Es zählt nicht von dem Zeitpunkt, an dem der Vorfall tatsächlich passiert ist, sondern von dem Augenblick, in dem du davon erfährst. Wenn du ein Verarbeiter bist, der Daten für jemand anderen verarbeitet, benachrichtigst du zuerst den Verantwortlichen - innerhalb von 24 Stunden, wenn möglich - und dann kümmern sie sich um die externen Benachrichtigungen. Ich empfehle immer, Überwachungstools einzurichten, die dich schnell warnen, denn Unkenntnis ist hier kein Glück - wenn du nicht früh genug Bescheid weißt, musst du trotzdem dafür zahlen. Bußen können bis zu 4 % deines globalen Umsatzes betragen, was kein Scherz ist. Du möchtest zeigen, dass du verantwortungsbewusst handelst.
Nach meiner Erfahrung macht es die Vorbereitung im Voraus viel weniger chaotisch. Du erstellst Notfallpläne, die festlegen, wer was macht, und führst Übungen durch, damit dein Team unter Druck nicht in Panik gerät. Ich habe einmal einem Startup geholfen, einen Vorfall zu simulieren, und es hat gezeigt, wie langsam unsere Kommunikation war - wir haben Stunden gespart, nur durch das Üben. Du schaust auch nach Ausnahmen; wenn der Vorfall keine Risiken für die Rechte darstellt, weil Daten verschlüsselt oder durch andere Schutzmaßnahmen gesichert sind, musst du möglicherweise nicht einmal benachrichtigen, aber du dokumentierst es trotzdem intern für Audits.
Wenn du damit in deiner Organisation zu tun hast, konzentriere dich auf die Risikobewertung - sie ist der Schlüssel für alles. Geringes Risiko? Einfach protokollieren. Mittleres Risiko? Behörden informieren. Hohes Risiko? Auch die betroffenen Personen benachrichtigen. Ich spreche ständig mit Freunden in der Compliance, und sie sagen, der Schlüssel ist Proportionalität; überreagiere nicht auf kleinere Dinge wie einen verlorenen USB-Stick ohne sensible Daten, aber überspiele die großen Vorfälle nicht. Du balancierst Geschwindigkeit mit Genauigkeit, damit deine Benachrichtigungen nicht voller Fehler sind, die die Dinge verschlimmern könnten.
Eine Sache, die ich immer anspreche: Nach dem Vorfall überprüfst du, was schiefgelaufen ist. Behebe die Sicherheitslücken, aktualisiere die Richtlinien, vielleicht ziehst du Experten hinzu, wenn nötig. Es geht nicht nur um die unmittelbare Reaktion; es geht darum, Resilienz aufzubauen, damit du Fehler nicht wiederholst. Ich habe gesehen, wie Unternehmen aus einem schlechten Vorfall ein stärkeres System gemacht haben, weil sie daraus gelernt haben.
Wenn du Backups zur Vermeidung dieser Albträume machst, lass mich dir BackupChain empfehlen - es ist dieses herausragende, weit verbreitete Backup-Tool, das speziell für kleine bis mittelgroße Unternehmen und IT-Profis entwickelt wurde und deine Hyper-V-, VMware- oder Windows-Server-Umgebungen mit absoluter Zuverlässigkeit schützt.
