Beruflich Dokumente
Kultur Dokumente
Presentation 1
Presentation 1
•Liliana Rud
Marc Kilian
Valentin Szankovich
19.01.2024
Einleitung und
Szenariobeschreibung
Unternehmensvorstellung:
Name: Unternehmen X
Branche: Online-Modehandel
Projektauftrag:
Internationale Einbindung:
Hosting: Anbindung an Server von W-LLC in San Francisco, USA, als kostengünstige Hosting-Lösung
Datenschutzrelevante Herausforderungen:
Internationale Datenübermittlung: Berücksichtigung der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) bei der Übermittlung
personenbezogener Daten über Landesgrenzen hinweg
DSGVO (Datenschutz-Grundverordnung): EU-weite Verordnung, die den Umgang mit personenbezogenen Daten regelt.
Österreichisches Datenschutzgesetz (DSG): Nationale Umsetzung der DSGVO mit spezifischen Regelungen für Österreich.
Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z.B. Name, E-Mail-Adresse).
Verarbeitung: Jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, egal ob automatisiert oder nicht (z.B. Sammeln, Speichern, Übermitteln).
Auftragsverarbeiter: Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (z.B. Cloud-Service-Anbieter).
Verantwortlicher: Die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (z.B. das Unternehmen,
das den Webshop betreibt).
Internationale Datenübermittlung:
Herausforderungen: Sicherstellung eines angemessenen Datenschutzniveaus bei der Übermittlung von Daten außerhalb der EU/EWR.
Notwendige Maßnahmen: Einsatz von Standardvertragsklauseln, Beachtung des Angemessenheitsbeschlusses der EU-Kommission, Einhaltung spezifischer Vorgaben für
Länder ohne Angemessenheitsbeschluss.
Datenschutzrechtliche Rollen
und Verantwortlichkeiten
Verantwortlich für die Definition und Überwachung der Verarbeitung personenbezogener Daten.
Muss sicherstellen, dass alle Datenschutzprinzipien, wie die Rechtmäßigkeit der Verarbeitung, Transparenz und Datensparsamkeit, eingehalten werden.
Hauptverantwortlich für die Einhaltung der DSGVO und des österreichischen DSG.
Muss die Sicherheit und Vertraulichkeit der Daten gemäß den Anweisungen Ihres Unternehmens gewährleisten.
Unterliegt auch den Datenschutzgesetzen in Indien, die in Einklang mit der DSGVO gebracht werden müssen.
Verantwortlich für das Hosting des Webshops und damit für die sichere Speicherung von Daten.
Muss die Datenintegrität und -verfügbarkeit sicherstellen und hat die Pflicht, Datenschutzverletzungen zu melden.
Muss den Datenschutzanforderungen der DSGVO entsprechen, insbesondere bei der Übermittlung von Daten aus der EU.
Vertragliche Vereinbarungen: Notwendigkeit, Datenschutzklauseln in Verträge mit Auftragsverarbeitern einzufügen, um Compliance zu gewährleisten.
Schulungen und Bewusstsein: Regelmäßige Schulung der Mitarbeiter in Datenschutzfragen, um ein hohes Maß an Datenschutzbewusstsein im Unternehmen zu fördern.
Details des Vorfalls:
Entdeckung des Vorfalls: Der Vorfall wurde entdeckt, als der Angreifer die
Geschäftsleitung kontaktierte und ein Lösegeld forderte.
Was ist passiert? Für Individuen: Risiko des Identitätsdiebstahls, finanzieller Betrug und Verletzung der
Privatsphäre.
Sofortige Einleitung von Untersuchungen zur Bestimmung des vollen Umfangs des
Datenlecks.
Gesetzliche Verpflichtung: Nach Artikel 33 der DSGVO ist das Unternehmen verpflichtet,
eine Datenschutzverletzung innerhalb von 72 Stunden nach Kenntniserlangung der
zuständigen Datenschutzbehörde zu melden.
Inhalt der Meldung: Die Meldung muss Details über die Natur der Verletzung, die
Kategorien und die ungefähre Anzahl der betroffenen Daten und Personen sowie die
wahrscheinlichen Folgen der Verletzung enthalten.
Datenschutzverletzungen
Datenschutzverletzung gegenüber allen relevanten Parteien, einschließlich der
Geschäftsführung, Mitarbeitern und betroffenen Kunden.
Betonung der Transparenz: Transparente Kommunikation trägt dazu bei, das Vertrauen der
(1/2) Kunden und der Öffentlichkeit zu bewahren und zeigt die Verpflichtung des Unternehmens
zur Einhaltung ethischer Standards und gesetzlicher Vorschriften.
Erste Reaktionsschritte:
Gesetzliche Anforderung: Gemäß Artikel 34 der DSGVO müssen betroffene Personen unverzüglich
benachrichtigt werden, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für ihre
Rechte und Freiheiten darstellt.
Inhalt der Benachrichtigung: Klarstellung der Art der Verletzung, mögliche Auswirkungen und die
vom Unternehmen ergriffenen Maßnahmen zur Minderung der Risiken.
Umsetzung der Dokumentationspflicht: Detaillierte Erfassung des Vorfalls, der betroffenen Daten,
der eingeleiteten Untersuchungen und der ergriffenen Gegenmaßnahmen.
Datenschutzverletzungen Zweck der Dokumentation: Ermöglicht die Überprüfung durch die Aufsichtsbehörden und dient als
Nachweis der Compliance sowie als Grundlage für zukünftige Präventionsstrategien.
Evaluierung der Sicherheitsvorkehrungen: Analyse, wie der Vorfall stattfinden konnte, und
Identifikation von Schwachstellen in den bestehenden Sicherheitssystemen.
Regelmäßige Überprüfung und Anpassung: Aktualisierung der Datenschutzstrategien und -praktiken, um mit den sich ändernden
technologischen und rechtlichen Rahmenbedingungen Schritt zu halten.
Datenschutz-Folgenabschätzung: Durchführung von Datenschutz-Folgenabschätzungen für neue Projekte oder bei wesentlichen
Präventive
Änderungen der Datenverarbeitung, um Risiken frühzeitig zu erkennen und zu mindern.
Regelmäßige Schulungsprogramme: Organisation von fortlaufenden Schulungen und Workshops für Mitarbeiter, um das
Bewusstsein und das Verständnis für Datenschutz und Datensicherheit zu fördern.
Maßnahmen und Praktische Leitlinien: Bereitstellung von klaren Richtlinien und Handlungsanweisungen für den Umgang mit personenbezogenen
Daten und Reaktionsplänen im Falle einer Datenschutzverletzung.
Kultur der Datensicherheit: Förderung einer Unternehmenskultur, die Datensicherheit und Datenschutz als wesentlichen Bestandteil
des täglichen Geschäfts ansieht.
Vertrauen der Kunden: Ein starkes Engagement für Datenschutz stärkt das Vertrauen der Kunden und verbessert das Markenimage.
Wettbewerbsvorteil: Compliance mit Datenschutzgesetzen kann als Wettbewerbsvorteil genutzt werden, besonders in einer Zeit, in
der Kunden zunehmend Wert auf Datenschutz legen.
Risikominimierung: Vermeidung von rechtlichen Konsequenzen, finanziellen Strafen und Reputationsverlust durch proaktive
Einhaltung der Datenschutzgesetze.
Zusammenfassung der wichtigsten Punkte:
Schlussfolgerungen
Handlungsempfehlungen für das Unternehmen:
und Empfehlungen
Datenschutz als integralen Bestandteil der Unternehmensstrategie etablieren: Sicherstellung,
dass Datenschutzmaßnahmen in alle Geschäftsentscheidungen und -prozesse eingebettet sind.
Aufbau eines Krisenreaktionsteams: Etablierung eines spezialisierten Teams, das im Falle eines
Datenschutzvorfalls schnell und effektiv reagieren kann.
Vertrauensbildung bei Kunden und Geschäftspartnern: Ein starker Fokus auf Datenschutz
schafft Vertrauen und Loyalität bei Kunden und Partnern.
Vermeidung von Sanktionen und Strafen: Die Einhaltung von Datenschutzgesetzen hilft,
rechtliche Sanktionen und finanzielle Strafen zu vermeiden.