Bei meinem Auftragsverarbeiter ist eine Datenpanne passiert – was ist zu tun?
Verletzungen der Datensicherheit können jeden treffen, sehr oft sind davon unsere Auftragsverarbeiter betroffen. Wichtig ist, dass der Auftragsverarbeiter unmittelbar an den Verantwortlichen meldet und dieser an die Behörde. Worauf kommt es an?
Das Szenario: Ransomware-Attacke auf einen Auftragsverarbeiter
Um die Handhabung von Datenschutzverletzungen zu verdeutlichen, hier ein „Best-Case“-Szenario anhand einer Ransomware-Attacke auf einen Auftragsverarbeiter. Dabei wird die Bedeutung einer schnellen Reaktion und präzisen Informationsweitergabe besonders deutlich:
Hier die Schlüsselmomente:
Entdeckung des Angriffs
- Beschäftigte bemerken am Freitagnachmittag Unregelmäßigkeiten in den IT-Systemen.
- Kunden beschweren sich über nicht erreichbare IT-Dienste.
- Die IT-Administration stellt einen Ransomware-Angriff fest.
Erste Maßnahmen
- Die IT-Verantwortlichen informieren Geschäftsführung und Datenschutzbeauftragte und setzen (wir reden von einem Best Case ;-)) den erprobten Notfallplan in Gang.
- Sofern technisch noch möglich erfolgt eine Information aller Mitarbeitenden.
Erste Bilanz des Auftragsverarbeiters
- Eine Vielzahl von eigenen und Kundendaten, einschließlich Datenbanken und Online-Backups, wurden verschlüsselt.
- Der Auftragsverarbeiter informiert sofort seine Kunden, also die Verantwortlichen für die Datenverarbeitungen über den Vorfall.
Meldungen an Aufsichtsbehörde und Verantwortliche
- Der Auftragsverarbeiter meldet die Datenschutzverletzung innerhalb von 72 Stunden an die Aufsichtsbehörde, was seine eigenen Daten (also zB Mitarbeiterdaten) betrifft.
- Die Verantwortlichen führen eine Risikobewertung durch und melden den Vorfall ebenfalls der für sie zuständigen Behörden. Alles, was Kundendaten betrifft, meldet NICHT der Auftragsverarbeiter, sondern der Verantwortliche an die Behörde.
Weitere Entwicklung
- Angreifer drohen mit der Veröffentlichung kopierter personenbezogener Daten und fordern Lösegeld.
- Der Auftragsverarbeiter folgt den Empfehlungen vom Bundesamt für Sicherheit in der Informationstechnik und dem Bundeskriminalamt und zahlt nicht, informiert darüber selbstverständlich auch die Verantwortlichen.
- Der Auftragsverarbeiter informiert seine Mitarbeitenden und jene Personen, von denen er Daten als Verantwortlicher verarbeitet (zB Ansprechpersonen bei Lieferanten).
- Die Verantwortliche überarbeiten ihre Risikobewertung an und informieren SELBST ihre eigenen betroffenen Personen (je nachdem von welchen Personen Daten betroffen sind – Zum Beispiel: Eigene Mitarbeitende, eigene Kunden, eigene Ansprechpersonen bei Geschäftspartnern.
Fortgesetzte Bedrohung
- Angreifer veröffentlichen nach einem Monat Daten im „Darknet“.
- Ein spezialisierter IT-Forensik-Dienstleister analysiert fortlaufend die veröffentlichten Daten.
- Der Auftragsverarbeiter informiert pro aktiv die Verantwortlichen über alle laufenden Vorkommnisse und Untersuchungsergebnisse.
- Weitere Meldungen werden vom Auftragsverarbeiter und den Verantwortlichen an die Datenschutzbehörden erstattet.
Abschluss des Vorfalls
- Auftragsverarbeiter und Verantwortliche analysieren Ursachen des Vorfalls.
- Technische und organisatorische Maßnahmen werden angepasst.
Was können Sie daraus lernen?
Anhand dieses Szenarios wird verdeutlicht, wie eine abgestimmte und schnelle Reaktion aller Beteiligten dazu beitragen kann, die negativen Auswirkungen eines Datenschutzvorfalls zu minimieren. Aber viel mehr noch: Rechtskonform unterwegs zu sein!
Auftragsverarbeiter in der Pflicht
Bei Datenschutzverletzungen sind Auftragsverarbeiter dazu verpflichtet, den Verantwortlichen umgehend zu informieren. Wichtig ist, dass dies unabhängig von der Einschätzung des Risikos geschehen muss. Der Auftragsverarbeiter muss zudem unterstützend bei der Einhaltung datenschutzrechtlicher Pflichten agieren. All dies regelt man am besten im Auftragsverarbeitervertrag!
Jedes Unternehmen agiert als Verantwortlicher und möglicherweise – abhängig vom Geschäftszweck – auch als Auftragsverarbeiter. Ein korrektes Vorgehen bei Datenschutzverletzungen inklusive Vorhandensein eines Notfallplans ist in jedem Unternehmen zwingend erforderlich.
MeineBerater-Tipp
Prüfen Sie Ihre Auftragsverarbeiter. Fordern Sie deren Notfallpläne an, lassen Sie sich jährlich eine aktualisierte Aufstellung aller technischen und organisatorischen Maßnahmen zuschicken. Ergänzen Sie die vorhandenen Verträge – Sie als Verantwortlicher sind dafür verantwortlich. Als Datenschutzexperten und CISO auditieren wir auch gerne Ihre Auftragsverarbeiter und prüfen die vorhandenen Verträge und Schutzmaßnahmen, damit Sie als Verantwortlicher auf der sicheren Seite bleiben.