New York, NY, USA

Verhaltensmaßnahmen bei einer datenpanne Muster

PerryGrosser August 12, 2020 0 Comments

Das Unternehmen sollte die Wirksamkeit des Reaktionsplans und etwaiger Minderungsbemühungen nach der Verletzung bewerten und dokumentieren und festlegen, welche Änderungen gegebenenfalls am Reaktionsplan vorgenommen werden sollten, um besser auf künftige Verstöße vorbereitet zu sein. Nach einer Datenschutzverletzung ist es unerlässlich, dass ein Unternehmen schnell und entschlossen handelt, um die Sicherheit der Daten wiederzuerlangen, Beweise zu bewahren und seinen Ruf bei Kunden zu schützen. In einem ersten Schritt, wenn ein Unternehmen ein Reaktionsteam benannt hat, sollte dieses Team sofort benachrichtigt und der Antwortplan aktiviert werden. Insbesondere ist es entscheidend (ob das Unternehmen einen formalen Antwortplan hat oder nicht): Die Annahme ist, dass eine Datenschutzverletzung von einem externen Hacker verursacht wird, aber das ist nicht immer wahr. Böswillige Kriminelle neigen dazu, einem grundlegenden Muster zu folgen: Das Ziel einer Organisation für eine Verletzung erfordert Planung. Sie erforschen ihre Opfer, um zu erfahren, wo sich die Schwachstellen befinden, wie fehlende oder fehlgeschlagene Updates und die Anfälligkeit der Mitarbeiter für Phishing-Kampagnen. Das Unternehmen sollte ein Team zur Reaktion auf Datenschutzverletzungen zusammenstellen, das mit der Gewährleistung einer effizienten und effektiven Reaktion gemäß dem Plan betraut ist. Der Plan zur Reaktion auf Datenschutzverletzungen sollte die Rollen und Verantwortlichkeiten jedes Teammitglieds klar definieren. Das Team zur Reaktion auf Datenschutzverletzungen sollte folgende Personen umfassen: PBworks ist gesetzlich verpflichtet, betroffene Personen zu benachrichtigen, wenn ihre personenbezogenen Daten verletzt wurden. Dies wird Einzelpersonen ermutigen, vorbeugende Maßnahmen zu ergreifen, um die Auswirkungen der Datenschutzverletzung zu verringern, und auch PBworks dabei helfen, das Vertrauen der Verbraucher wiederherzustellen. Nach der DSGVO ist der DSB gesetzlich verpflichtet, die Aufsichtsbehörde innerhalb von 72 Stunden nach der Datenschutzverletzung zu benachrichtigen (Artikel 33). Einzelpersonen müssen benachrichtigt werden, wenn nachteilige Auswirkungen festgestellt werden (Artikel 34). Darüber hinaus muss PBworks betroffene Kunden unverzüglich informieren, nachdem sie von einer Verletzung personenbezogener Daten Kenntnis gemacht haben (Artikel 33).

Nach dem Erstellen einer Datenzuordnung sollte eine Organisation als nächstes ein Datenklassifizierungssystem erstellen, das die Daten basierend auf ihrer Empfindlichkeit und den rechtlichen Auswirkungen auf die Organisation im Falle einer Verletzung kategorisiert. Beispiele für die Datenklassifizierung sind: Das Unternehmen sollte eine Liste von externen Kreditoren oder Entitäten erstellen, die die Organisation im Falle einer Verletzung möglicherweise sofort durchführen muss. Zu diesen Anbietern oder Einrichtungen können gehören: Eine Reihe von Gesetzen über staatliche Datenschutzverletzungen lässt entweder ausdrücklich ein privates Klagerecht zu oder wurde von den Gerichten als solche ausgelegt. Siehe z.B., In re Target Corp. Customer Data Sec. Breach Litig., 66 F. Supp. 3d 1154 (D. Minn. 2014). Dies schafft die Möglichkeit für Sammelklagen, die in der Regel behaupten, dass ein Unternehmen nicht rechtzeitig über einen Verstoß informiert, wie in den einschlägigen staatlichen Gesetzen gefordert. Solche Klagen können auch eine Reihe anderer Ansprüche vorwerfen, wie die Verletzung der Treuhandpflicht, Fahrlässigkeit, Verletzung eines ausdrücklichen oder stillschweigenden Vertrags, ungerechte Bereicherung, Verletzung der Privatsphäre und unlautere und irreführende Geschäftspraktiken.