Direkt zum Hauptinhalt

Privacy-Incident

Ein Privacy-Incident in unserem ITSM-System metis bezeichnet eine Störung mit datenschutzrelevanten Auswirkungen. Auf dieser Seite erläutern wir die verschiedenen Aspekte des Datenschutzes und der relevanten items-Prozesse genauer.

Ziel von Datenschutz

Das Ziel von Datenschutz ist es, die Privatsphäre und die Rechte von Einzelpersonen in Bezug auf ihre persönlichen Daten zu schützen. Dazu gehört die Sicherstellung, dass personenbezogene Daten sicher, verantwortungsvoll und in Übereinstimmung mit geltenden Gesetzen verarbeitet werden. Die Datenschutz-Grundverordnung (DSGVO) verfolgt spezifische Schutzziele, um personenbezogene Daten zu schützen und die Rechte der betroffenen Personen zu gewährleisten.

  • Vertraulichkeit: Schutz personenbezogener Daten vor unbefugtem Zugriff, Offenlegung oder Missbrauch
  • Integrität: Gewährleistung der Richtigkeit und Vollständigkeit personenbezogener Daten
  • Verfügbarkeit: Sicherstellung, dass personenbezogene Daten rechtzeitig verfügbar sind, wenn sie benötigt werden
  • Transparenz: Nachvollziehbarkeit für betroffene Personen, welche Daten verarbeitet werden und wie
  • Rechtmäßigkeit: Verarbeitung personenbezogener Daten nur auf Basis einer gültigen Rechtsgrundlage (z. B. Einwilligung, Vertragserfüllung)
  • Zweckbindung: Verwendung von Daten nur für klar definierte und rechtmäßige Zwecke
  • Datenminimierung: Verarbeitung nur derjenigen Daten, die für den jeweiligen Zweck erforderlich sind
  • Rechenschaftspflicht: Nachweis der Einhaltung der DSGVO durch verantwortliche Stellen

Meldung einer Verletzung des Datenschutzes

Werden diese Schutzziele bedroht oder verletzt, dann wird bei items ein entsprechender Prozess zur Behandlung der Situation ausgelöst. Der Prozess ist in zwei „Stufen“ aufgeteilt:

  • Datenschutzrelevanter Incident
    Als Als datenschutzrelevanter Incident Incident wird ein Ticket bezeichnet, bei dem der Verdacht besteht, dass personenbezogene Daten betroffen sein könnten.
  • Privacy-Incident
    Ein datenschutzrelevanter Incident wird nach Prüfung durch das zuständige items-Team entweder als unkritisch oder als bestätigter Fall mit datenschutzrechtlichen Auswirkungen eingestuft.   Letzteres wird durch die Einstufung Privacy-Incident am Ticket gekennzeichnet.

Das Kennzeichen „Datenschutzrelevant“ stellt sozusagen die Vorstufe zum Privacy-Incident dar.   Auch Sie als Kunde können einen potenziellen Privacy-Incident melden.   Dies können Sie entweder über unsere telefonische Hotline oder selbständig über unser Serviceportal erledigen.

Anlass für einen Privacy-Incident sind alle Ereignisse oder Begebenheiten, bei denen personenbezogene Daten ungewollt offengelegt, verändert, gelöscht oder unberechtigt verarbeitet werden und die zu einem potenziellen Schaden (materiell oder immateriell) bei der betroffenen Person führen können. Um dieses abstrakte Kriterium etwas zu illustrieren, seien folgende Beispiele für Privacy-Incidents genannt:

  • der Verdacht auf unberechtigten Zugang zu Systemen, in denen personenbezogene Daten verarbeitet werden, z. B. durch gestohlene Zugangsdaten
  • der Verlust von IT-Hardware, auf der personenbezogene Daten gespeichert sind, z. B. wenn ein Laptop oder ein Handy verloren oder gestohlen wird, oder nach einem Einbruch in Geschäftsräume
  • Verlust von personenbezogenen Daten, die nicht gesichert wurden, nach einem Serverausfall
  • Versand einer E-Mail mit sensiblen personenbezogenen Daten an einen falschen Empfängerkreis

Diese Beispiele sind selbstverständlich nicht abschließend. Grundsätzlich gilt, dass jede Störung, die sich wesentlich auf die oben genannten Schutzziele auswirkt, als Privacy-Incident zu bewerten ist. Wenn Sie den Verdacht haben, dass ein Privacy-Incident vorliegen könnte, sollten Sie das Kennzeichen „datenschutzrelevant“ setzen.

Schutzmaßnahmen, Erkennung, weiterer Ablauf

items hat eine Reihe von Schutzmaßnahmen implementiert, die das Risiko des Eintretens von Privacy-Incidents minimieren sollen. Die Erfahrung zeigt, dass es keine hundertprozentige Sicherheit geben kann. Daher werden auch bei der items Störungen auftreten, die sich negativ auf die Sicherheit personenbezogener Daten auswirken. Wichtig ist es, die entsprechenden Privacy-Incidents als solche zu klassifizieren und das weitere Vorgehen dahingehend zu steuern.  

In den meisten Fällen wird items diese Vorfälle selbst erkennen, insbesondere wenn es sich um Infrastruktur-Komponenten oder von mehreren Kunden genutzte Systeme handelt. Dann greifen die definierten Prozesse und Kriterien, mit denen items Vorfälle als Privacy-Incident einstuft und bearbeitet.  

Nach der Bestätigung als Privacy-Incident informiert items die zuständige Stelle beim Kunden – also in der Regel direkt die zuständige Datenschutzbeauftrage. Für die weitere, kunden-interne Bearbeitung von Privacy-Incidents (v. A. Dokumentation, Kommunikation mit Behörden und betroffenen Personen) sind unsere Kunden als verantwortliche Stelle selbst verantwortlich. items als Auftragsverarbeiter unterstützt ihre Kunden bei der Umsetzung der datenschutzrechtlichen Verpflichtungen nach Maßgabe der in der Auftragsverarbeitung (AVV) festgelegten Kriterien.    items steht hierbei gerne beratend mit einschlägigem Fachwissen zur Seite.