Datenpanne – Praxis

Datenpannen-Management ist im Datenschutz-Audit ein Pruefpunkt, bei dem Organisationen haeufig sowohl bei der Praevention als auch bei der Reaktion Luecken haben. Was Auditoren konkret pruefen und wie Evidence aussehen muss, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung von Datenpanne fragt der Auditor nicht nur nach dem Prozess, sondern danach, ob vergangene Pannen korrekt bewertet und -- soweit meldepflichtig -- fristgerecht gemeldet wurden. Das BAM-Objekt CROSS-DP-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.

Haeufige Fehler

• Keine schriftliche Verfahrensanweisung fuer Datenpannen
• Internes Register enthaelt nur gemeldete Pannen, nicht alle bewerteten
• 72-Stunden-Frist wird missverstanden (gilt ab Kenntnis, nicht ab Entscheidung)
• Auftragsverarbeiter melden Pannen nicht oder zu spaet an den Verantwortlichen

Aufbau des Datenpannen-Prozesses

Ein wirksamer Datenpannen-Prozess besteht aus vier Phasen: Erkennung (Wer meldet intern? Welcher Kanal? Wann?), Bewertung (Risikoabschaetzung: meldepflichtig oder nicht? Betroffenenbenachrichtigung noetig?), Meldung (Meldung an Aufsichtsbehoerde innerhalb 72 Stunden, ggf. Benachrichtigung Betroffener), Nachbereitung (Root-Cause-Analyse, Massnahmen, interne Dokumentation im Register). Alle vier Phasen muessen dokumentiert sein -- auch wenn keine Meldung erforderlich ist.

Evidence-Anforderungen im Audit

Der Auditor erwartet: die datierte Verfahrensanweisung fuer Datenpannen, das interne Datenpannen-Register (alle bewerteten Ereignisse, nicht nur gemeldete), bei tatsaechlichen Meldungen die abgesandten Meldungen an die Aufsichtsbehoerde mit Zeitstempel sowie Dokumentation der Nachbereitung und ergriffenen Massnahmen.

Die strategische Einordnung -- warum Datenpannen-Management langfristig mehr als ein Compliance-Pflichtprogramm ist -- findet sich auf Ebene 3.