Datenpannen | DSGVO
Datenpannen – warum Schulungen so wichtig sind
Im besten Fall treten Datenpannen gar nicht erst auf – aber die Realität sieht leider anders aus. Eine Sensibilisierung der Beschäftigten hilft dabei, um nicht in die Situation zu kommen, sich mit dem Thema im Detail befassen zu müssen. Sollte aber doch einmal eine Datenpanne vorliegen, ist die richtige Reaktion von allen Beteiligten gefragt. Hier sind Sensibilisierungs- und Schulungsmaßnahmen für die Mitarbeitenden wichtig, denn es gelten kurze Fristen ab dem Zeitpunkt der Kenntnisnahme. In einem solchen Moment kann viel falsch laufen und Hektik ausbrechen, wenn sich Organisationen nicht bereits vorab mit dem Thema beschäftigt und entsprechend vorbereitet haben.
Was ist eigentlich eine Datenpanne?
Eine Datenpanne im datenschutzrechtlichen Sinne, setzt immer eine Sicherheitsverletzung voraus. Zudem müssen personenbezogene Daten betroffen sein. Meistens geht es dabei um einen Bruch der Vertraulichkeit. Manchmal reicht es aber auch, wenn die Integrität oder die Verfügbarkeit von personenbezogenen Daten beeinträchtigt ist. Die Klassiker einer Datenpanne möchten wir nachfolgend einmal auflisten – der Phantasie sind hier aber (leider) keine Grenzen gesetzt.
Beispiele für Datenpannen sind:
- Die Personalabteilung versendet eine E-Mail an alle Bewerber*innen in „CC“ statt in „BCC“.
- Das eigene Onlineportal wird gehackt.
- Ein Social Engineering-Angriff hat Erfolg.
- Ein Beschäftigter entdeckt, dass er vermutlich einer Ransomware-Attacke zum Opfer gefallen ist.
- Eine Fehlkonfiguration der Rechte führt dazu, dass Beschäftigte in vertrauliche Ordner der Personalabteilung Einblick erhalten.
- Lohnabrechnungen wurden falsch versendet.
- Sensible Daten wurden in den sozialen Medien versehentlich veröffentlicht.
Was ist bei einer Datenpanne zu tun?
Die Kenntnisnahme einer Datenpanne löst eine strenge Frist aus. Diese beginnt in der Regel dann, wenn die erste Person in der Organisation die Datenschutzverletzung entdeckt bzw. diese von einer Person außerhalb der Organisation mitgeteilt wird. Innerhalb einer 72-Stunden-Frist muss geprüft werden, ob die Datenpanne an die zuständige Aufsichtsbehörde zu melden ist und ob eine Benachrichtigung der Betroffenen vorgenommen werden muss. Es ist also wichtig, dass alle Beschäftigten darüber informiert sind, was eine Datenpanne ist und wie in einem solchen Fall reagiert werden sollte. Dazu braucht es eine verbindliche Richtlinie, die den richtigen Umgang mit einer Datenpanne gegenüber allen Beschäftigten regelt: Nach der Entdeckung bzw. Mitteilung der Datenschutzverletzung muss diese unverzüglich an die intern zuständige Person weitergegeben werden – meist direkt an den Datenschutzbeauftragten der Organisation oder ggf. an einen Datenschutzkoordinator. Eine Richtlinie ist eine gute Grundlage, darüber hinaus ist es jedoch wichtig, die Beschäftigten in regelmäßigen Abständen an den richtigen Umgang mit einer Datenpanne zu erinnern und den Blick für die Abläufe und Fristen zu schärfen. Hier kommen dann Schulungs- und Awareness-Maßnahmen zum Einsatz.
Schulungen zum Umgang mit Datenpannen in der Praxis
Grundsätzlich sollte jedes Unternehmen bzw. jede Organisation über eine Schulungsstrategie für Pflichtschulungen im Bereich Datenschutz verfügen. Dabei geht es zunächst darum, die Grundlagen zum Thema Datenschutz zu vermitteln, die alle Mitarbeitenden kennen sollten. In einem solchen Kurs wird natürlich auch der Umgang mit einer Datenschutzverletzung bereits behandelt. Hilfreich ist aber nochmal ein spezieller Kurs zum Thema Datenpanne, der in komprimierter Form wiedergibt, was in einem solchen Fall zu tun ist. So ein Kurs kann als Wissensauffrischung zur Vorgehensweise bei einer Datenpanne den Beschäftigten regelmäßig – z. B. einmal im Jahr – angeboten werden. Mit solchen wiederkehrenden Trainings sensibilisieren Sie Ihre Mitarbeitenden und können sicherstellen, dass die gesetzlichen Fristen eingehalten werden.
Neben Grundlagen zum Datenschutz, gibt es noch weitere Schulungsthemen, die dabei helfen, Datenverletzungen vorzubeugen. Denn Datenpannen können nicht nur durch Fehler von Mitarbeitenden oder technische Probleme auftreten, sondern auch durch gezielte Angriffe von außen. Die Datensicherheit ist daher im Idealfall auch Teil der Schulungsstrategie, um Datenpannen zu vermeiden. Neben Wissen zum Thema Informationssicherheit gehört dazu eine Sensibilisierung der Mitarbeitenden zum Schutz vor Ransomware, Phishing und Social Engineering.
Testen Sie die eLearning-Kurse von DSN train!
Nachdem Sie nun wissen, welche Schulungsinhalte zum Umgang mit und der Vermeidung von Datenpannen wichtig sind, kommt es jetzt auf das „Wie“ an. Als Trainingsmethode haben eLearning-Kurse den Vorteil, dass sich so eine große Zahl von Mitarbeitenden schulen lässt, ohne dass Räume gebucht und Termine koordiniert werden müssen.
In unseren interaktiven eLearnings wird Wissen anhand von spannenden Geschichten aus dem Arbeitsalltag vermittelt und direkt angewandt – durch die Beantwortung von Multiple-Choice-Fragen und Zuordnungsaufgaben.
Unsere Schulungsinhalte werden von einem eigenen Team gestaltet und wir greifen auf die Erfahrung von über 150 Berater*innen aus der Praxis zurück, die unsere Kunden täglich im Bereich Datenschutz, Informationssicherheit und Compliance beraten.
Wir empfehlen Ihnen die folgenden eLearning-Kurse für Ihre Schulungsstrategie:
Sinnvolle Schulungsergänzungen sind:
- Grundlagenwissen zur Informationssicherheit
- Training zum Schutz vor Ransomware-Angriffen
- Training zum Schutz vor Phishing
- Training zum Schutz vor Social Engineering
Und wenn Sie sicher gehen wollen und nachweisen können, dass alle Beschäftigten die entsprechenden Sensibilisierungen durchlaufen haben, können Sie auf unser smartes Learning Management System (LMS) zählen.
Gerne planen wir mit Ihnen auch weitere Maßnahmen um Datenpannen zu vermeiden und führen z. B. Penetrationstests Ihrer Netzwerke und Webapplikationen durch oder planen mit Ihnen gemeinsam eine Anti-Phishing-Kampagne.
Wir können wir Sie unterstützen? Sprechen Sie uns gerne an!