Unter einem Data Breach im Sinne der DSGVO versteht man jede
Verletzung des Schutzes personenbezogener Daten durch
unbefugte Offenlegung (verletzt die Vertraulichkeit/Confidentiality -
C),
unbefugte Veränderung (verletzt die Integrität/Integrity -
I) oder
Vernichtung bzw. Verlust (verletzt die Verfügbarkeit/Availability -
A)
von Daten.
Unter „Daten“ sind dabei nicht nur in IT-Systemen gespeicherte bzw. verarbeitete Daten gemeint,
sondern z. B. auch Daten auf Papier.
Wie ist mit einem Data Breach umzugehen?
Die DSGVO sieht in
Art. 33 bzw. 34 vor, dass die Aufsichtsbehörde respektive die
Betroffenen von der Verletzung des Schutzes der Daten zu verständigen sind.
Die Meldung an die Behörde hat dabei binnen 72 Stunden zu erfolgen.
Was bedeutet das konkret?
Damit man die Maximalfrist von 72 Stunden einhalten kann, ist ein Prozess
zu etablieren, der diese Meldung effizient möglich macht. Kurz zusammen
gefasst schaut dieser Prozess an der TU Graz aus wie folgt:
Falls Ihnen eine (vermutliche) Datenpanne bekannt wird (Beispiele
s. u.), melden Sie diese bitte unverzüglich Ihrem/r
EDV-Beauftragten
oder Ihrem/r Dienstvorgesetzten.
Falls Sie diesen nicht unverzüglich erreichen, dann gehen Sie selbst
weiter zu Schritt 2:
Nach Überprüfung des Sachverhalts (Liegt tatsächlich
mit hoher Wahrscheinlichkeit eine Verletzung des Schutzes personenbezogener
Daten vor?) ist - falls notwendig - die Datenschutzkoordination zu informieren.
Die Datenschutzkoordination
wird dann überprüfen, ob der
Datenschutzbeauftragte zu befassen ist
und zusammen mit dem IT-Security-Team evaluieren, ob gegebenfalls auch
das CERT der TU
Graz
einzuschalten ist.
Der Rektor legt gemeinsam mit der Datenschutzkoordination fest, ob die
Behörde und (bei hohem Risiko für die Betroffenen) auch die
Betroffenen zu verständigen sind.
Falls eine Verständigung als notwendig erachtet wird, wird in
Absprache mit dem Rektorat und der Datenschutzkoordination festgelegt,
wer was kommuniziert.
Die Meldung an die Datenschutzbehörde erfolgt durch die
Datenschutzkoordination.
Beispiele für einen Data Breach
Angegeben wird, was verletzt wird:
Vertraulichkeit (C),
Integrität (I)
oder
Verfügbarkeit (A).
Der Einbruch in ein
IT-System,
auf dem personenbezogene Daten verarbeitet werden.
(C, I)
Die Fehlfunktion eines
IT-Systems,
wodurch personenbezogene Daten verloren gehen, weil es kein Backup gibt.
(A)
Die Fehlkonfiguration eines
IT-Systems,
wodurch personenbezogene Daten unbeabsichtigt offen gelegt werden.
(C)
Alte, ausgewertete Prüfungsbögen mit Namen und/oder
Matrikelnummer und Noten in öffentlichen Papiermüll-Containern.
(C)
Frei zugängliche Personalordner im Sekretariat.
(C)
Der Notenaushang mit Matrikelnummern und/oder Namen.
(C)
Das Versenden von Zwischenergebnissen
an alle Teilnehmer der LV.
Selbst bei expliziter Zustimmung aller Teilnehmer ist das nicht
gestattet, weil damit auch negative Ergebnisse verbreitet würden.
(Entweder, weil auch die negative Note aufscheint oder weil die
Personen in der Liste fehlen, die negativ beurteilt wurden.)
Sobald einzelne Teilnehmer die Zustimmung widerrufen, wird es sowieso
kompliziert.
(C)
Ein verlorener, unverschlüsselter USB-Stick mit personenbezogenen
Daten.
(C, A)
Ein gestohlener Rechner (PC, Notebook) mit personenbezogenen Daten ohne
Festplattenverschlüsselung nach „Stand der Technik“
(Betriebssystemkennwort reicht nicht!).
(C, A)
Ein gestohlenes, nicht verschlüsseltes Smart-Phone z. B.
mit lokalem Adressbuch oder anderen personenbezogenen Daten.
(C, A)
Das Versenden von personenbezogenen Daten per E-Mail an den falschen
Empfänger(kreis).
(C)
Die Verschlüsselung von personenbezogenen Daten ohne Backup
durch Ransomware.
(A)
