Data Breach – Praxis

Data-Breach-Management ist im Audit ein Pruefpunkt, der sowohl Praevention als auch Reaktion umfasst. Was Auditoren und Datenschutzbehoerden konkret pruefen, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung von Data Breach prueft der Auditor den vorhandenen Response-Prozess, das interne Register und – bei tatsaechlichen Breaches – die Korrektheit und Fristgerechtigkeit der Reaktion. Das BAM-Objekt CROSS-DB-01 definiert, was konkret vorgelegt werden muss.

Haeufige Fehler

• Breach erkannt, aber Meldepflicht nicht geprueft – kein dokumentierter Entscheidungspfad
• Auftragsverarbeiter melden Breaches zu spaet an den Verantwortlichen
• Internes Register enthaelt nur gemeldete, nicht alle bewerteten Vorfaelle
• Keine Kommunikationsstrategie fuer Betroffenenbenachrichtigung vorbereitet

Umsetzung Schritt fuer Schritt

Erster Schritt: Data-Breach-Response-Verfahrensanweisung erstellen mit Eskalationspfad, Entscheidungsmatrix (meldepflichtig?) und Meldevorlagen. Zweiter Schritt: Internes Register aufbauen fuer alle bewerteten Sicherheitsvorfaelle. Dritter Schritt: Auftragsverarbeiter verpflichten, Breaches unverzueglich zu melden. Vierter Schritt: Jaehrliche Tabletop-Uebung durchfuehren und dokumentieren.

Evidence-Anforderungen im Audit

Der Auditor erwartet: datierte Verfahrensanweisung, vollstaendiges internes Register, Meldevorlagen fuer DSGVO und NIS-2, Protokoll der letzten Uebung und – bei tatsaechlichen Breaches – alle abgesandten Meldungen mit Zeitstempeln.

Die strategische Einordnung – warum Data Breach-Management langfristig mehr als ein Compliance-Pflichtprogramm ist – findet sich auf Ebene 3.