Notfall-Organisation

bei erfolgter Datenschutzverletzung

Eine Datenschutzverletzung wurde festgestellt. Was ist zu tun?  Wir helfen pragmatisch und unterstützen vor Ort um die rechtlichen, technischen, organisatorischen sowie kommunikativen Sofortmassnahmen einzuleiten. 

Dabei werden die folgenden Themenbereiche abgehandelt:

Technik
  • Recherche zu den Ursachen und Auswirkungen des Datenschutzvorfalles
  • Bei technischer Ursache – Einleiten geeigneter Sofortmassnahmen
  • Dokumentation zu Ursache, Wirkung und Lösungsvorschlag
Recht
  • Abklären ob eine Meldung an die Behörden notwendig ist
  • Entscheid ob man den Sachverhalt zur Anzeige bringen muss
  • Liegt eine Auftragsbearbeitung vor (Verträge)
Organisation/Kommunikation
  • Feststellen der Anzahl betroffener Personen
  • Risikoabschätzung mit Recht und IT-Security
  • Sofortmassnahmen festlegen 
  • Mitteilung an die Öffentlichkeit (wenn notwendig)
  • Meldung an die Datenschutzbehörde (EDÖB)
  • Informationsschreiben an die Betroffenen
  • Dokumentation zu den eingeleiteten Massnahmen (TOM’s)
Inhalt der Meldung bei einer Datenschutzverletzung

Bei hoher Gefährdung von Personendaten sind die Betroffenen rasch zu benachrichtigen. Es genügt dabei eine Presse-Mitteilung, wenn der Aufwand sonst zu gross wäre. 

Folgenden Angaben sollten enthalten sein:

  • Was ist passiert?
  • Wer ist betroffen und kann kontaktiert werden? 
  • Wie sind die Auswirkungen oder Folgen der Verletzung?
  • Welche Massnahmen werden ergriffen?
Prävention

Ein Vorfallreaktionsplan, auch Incident Response Plan (IRP) genannt, sind schriftliche Anweisungen für den Eintritt des Schadensfalles. Mithilfe des Dokuments sollen Sicherheitsvorfälle entdeckt werden. Weiterhin sind dort angemessene Reaktionen hinterlegt, die wiederum zur Limitierung der Auswirkungen führen.

Wir unterstützen Sie dabei präventiv einen Vorfallreaktionsplan zu erstellen und mit diesem zu helfen, die Dauer eines Sicherheitsvorfalls und den dadurch verursachten Schaden zu minimieren.