Privacy-Incident

~~Datenschutz~~Ein ~~dient~~Privacy-Incident ~~dem~~in ~~Schutz~~unserem ITSM-System metis bezeichnet eine Störung mit datenschutzrelevanten Auswirkungen. Auf dieser Seite erläutern wir die verschiedenen Aspekte des Datenschutzes und der relevanten items-Prozesse genauer.

Das Ziel von ~~natürlichen~~Datenschutz ~~Personen,~~ist ~~indem~~es, die Privatsphäre und die Rechte von Einzelpersonen in Bezug auf ihre ~~personenbezogenen~~persönlichen Daten ~~geschützt~~zu ~~werden.~~schützen. ~~Dabei~~Dazu ~~wird~~gehört ~~primär~~die ~~das~~Sicherstellung, ~~Schutzziele~~dass ~~Vertraulichkeit~~ ~~verfolgt, d. h.~~personenbezogene Daten ~~dürfen~~sicher, ~~lediglich~~verantwortungsvoll ~~von~~und ~~autorisierten~~in ~~Benutzern~~Übereinstimmung ~~gelesen~~mit ~~bzw.~~geltenden Gesetzen verarbeitet werden. Die ~~Wird~~Datenschutz-Grundverordnung ~~dieses~~(DSGVO) ~~Schutzziel~~verfolgt spezifische Schutzziele, um personenbezogene Daten zu schützen und die Rechte der betroffenen Personen zu gewährleisten.

Vertraulichkeit: Schutz personenbezogener Daten vor unbefugtem Zugriff, Offenlegung oder Missbrauch

Integrität: Gewährleistung der Richtigkeit und Vollständigkeit personenbezogener Daten

Verfügbarkeit: Sicherstellung, dass personenbezogene Daten rechtzeitig verfügbar sind, wenn sie benötigt werden

Transparenz: Nachvollziehbarkeit für betroffene Personen, welche Daten verarbeitet werden und wie

Rechtmäßigkeit: Verarbeitung personenbezogener Daten nur auf Basis einer gültigen Rechtsgrundlage (z. B. Einwilligung, Vertragserfüllung)

Zweckbindung: Verwendung von Daten nur für klar definierte und rechtmäßige Zwecke

Datenminimierung: Verarbeitung nur derjenigen Daten, die für den jeweiligen Zweck erforderlich sind

Rechenschaftspflicht: Nachweis der Einhaltung der DSGVO durch verantwortliche Stellen

Werden diese Schutzziele bedroht oder verletzt, dann wird bei items ein entsprechender Prozess zur Behandlung der Situation ausgelöst. Der ~~Wir~~Prozess ~~unterscheiden~~ist ~~dabei~~in zwei „Stufen“: aufgeteilt:

Datenschutzrelevanter Incident
Als datenschutzrelevanter Incident wird ein Ticket bezeichnet, bei dem der Verdacht besteht, dass personenbezogene Daten betroffen sein könnten. ~~Beispiele: eine Störung erlaubt unberechtigten Zugriff auf personenbezogene Daten; personenbezogene Daten wurden ohne Autorisierung verändert~~
~~Datenschutzvorfall bzw.~~ Privacy-Incident
~~Als~~Ein ~~Datenschutzvorfall~~datenschutzrelevanter ~~bzw.~~Incident ~~englisch~~wird nach Prüfung durch das zuständige items-Team entweder als unkritisch oder als bestätigter Fall mit datenschutzrechtlichen Auswirkungen eingestuft. Letzteres wird durch die Einstufung Privacy-Incident ~~wird~~am ~~ein~~Ticket … gekennzeichnet.

Das Kennzeichen „Datenschutzrelevant“ stellt sozusagen die Vorstufe zum Privacy-Incident dar. Auch Sie als Kunde können einen potenziellen Privacy-Incident melden. Dies können Sie entweder über unsere telefonische Hotline oder selbständig über unser Serviceportal erledigen.

Anlass für einen ~~Security-~~Privacy-Incident sind alle Ereignisse oder Begebenheiten, bei denen personenbezogene Daten ungewollt offengelegt, verändert, gelöscht oder unberechtigt verarbeitet werden und die ~~entweder~~

einem

~~den~~potenziellen ~~Verlust~~Schaden (materiell oder immateriell) bei der ~~Integrität,~~betroffenen ~~Vertraulichkeit~~Person ~~oder Verfügbarkeit von Daten und Informationen,~~

~~eine Beeinträchtigung der physischen Sicherheit der IT-Infrastruktur oder~~

~~Personenschäden~~

~~verursacht haben oder verursachen~~führen kö~~nnten.~~nnen. Um ~~diese~~dieses ~~abstrakten~~abstrakte ~~Kriterien~~Kriterium etwas zu illustrieren, seien folgende Beispiele für ~~sicherheitsrelevante Vorfälle~~Privacy-Incidents genannt:

~~die Infektion eines oder mehrerer Systeme durch schadhafte Software, wie beispielsweise Viren, Würmer oder trojanische Pferde~~
der Verdacht auf unberechtigten Zugang zu Systemen, in denen personenbezogene Daten verarbeitet werden, z. B. durch gestohlene Zugangsdaten
der ~~Verdacht auf Missbrauch von Diensten oder Ressourcen, z. B. zum Verbreiten unzulässiger Inhalte~~

~~ein Denial-of-Service-Angriff (DoS-Angriff), durch den die Verfügbarkeit von Diensten eingeschränkt wird~~

~~ein Verdacht auf Spionage, z. B. hinsichtlich Geschäftsgeheimnissen~~

~~der~~ Verlust von IT-Hardware, auf der personenbezogene Daten gespeichert sind, z. B. wenn ein Laptop oder ein Handy verloren oder gestohlen wird, oder nach einem Einbruch in Geschäftsräume
Verlust von personenbezogenen Daten, die nicht gesichert wurden, nach einem Serverausfall

Versand einer E-Mail mit sensiblen personenbezogenen Daten an einen falschen Empfängerkreis

Diese Beispiele sind selbstverständlich nicht abschließend. Grundsätzlich gilt, dass jede Störung, die sich wesentlich auf die oben genannten Schutzziele ~~Vertraulichkeit, Integrität und Verfügbarkeit~~ auswirkt, als ~~Security-~~Privacy-Incident zu bewerten ist. Wenn Sie den Verdacht haben, dass ein Privacy-Incident vorliegen könnte, sollten Sie das Kennzeichen „datenschutzrelevant“ setzen.

items hat eine Reihe von Schutzmaßnahmen implementiert, die das Risiko des Eintretens von ~~Sicherheitsvorfällen~~Privacy-Incidents minimieren sollen. Die Erfahrung zeigt, dass es ~~keinen~~keine ~~hundertprozentigen~~hundertprozentige ~~Schutz vor Angriffen auf die Verfügbarkeit, die Vertraulichkeit oder die Integrität von Daten~~Sicherheit geben kann. Daher werden auch bei der items ~~sicherheitsrelevante~~ Störungen ~~auftreten.~~auftreten, die sich negativ auf die Sicherheit personenbezogener Daten auswirken. Wichtig ist es, die entsprechenden ~~Sicherheitsvorfälle~~Privacy-Incidents als solche zu klassifizieren und das weitere Vorgehen dahingehend zu steuern.

In den meisten Fällen wird items diese Vorfälle selbst erkennen, insbesondere wenn es sich um Infrastruktur-Komponenten oder von mehreren Kunden genutzte Systeme handelt. Dann greifen die definierten Prozesse und Kriterien, mit denen items Vorfälle als ~~Security-Event oder Security-~~Privacy-Incident einstuft und bearbeitet.

~~In vielen weiteren Fällen muss allerdings~~Nach der ~~Kunde~~Bestätigung ~~den~~als ~~Vorfall~~Privacy-Incident ~~melden, insbesondere wenn es sich um Client-Hardware oder nicht durch~~informiert items ~~betreute~~die ~~Anwendungen~~zuständige ~~handelt.~~Stelle Inbeim ~~diesen~~Kunden ~~Fällen~~– ~~greifen~~also ~~natürlich~~in ~~auch~~der ~~items-Prozesse,~~Regel ~~aber~~direkt die ~~Kriterien~~zuständige ~~auf~~Datenschutzbeauftrage. ~~Kundenseite müssen im Vorfeld durch~~Für die weitere, kunden-interne Bearbeitung von Privacy-Incidents (v. A. Dokumentation, Kommunikation mit Behörden und betroffenen Personen) sind unsere Kunden ~~festgelegt~~als ~~werden.~~verantwortliche EsStelle ~~gibt~~selbst ~~dabei~~verantwortlich. ~~keine~~items ~~eindeutige~~als ~~Vorschrift,~~Auftragsverarbeiter ~~weswegen~~unterstützt ~~die~~ihre ~~bewusste~~Kunden ~~Ausgestaltung~~bei ~~des~~der ~~Themas~~Umsetzung ~~auf~~der ~~Kundenseite~~datenschutzrechtlichen ~~sehr~~Verpflichtungen ~~wichtig~~nach ~~ist.~~Maßgabe der in der Auftragsverarbeitung (AVV) festgelegten Kriterien. items steht hierbei gerne beratend mit einschlägigem Fachwissen zur Seite.