Der EDSA (das ist der Europäische Datenschutzausschuss für alle die nicht fließend DSGVO sprechen!) beschäftigt sich zur Zeit damit Guidelines herauszugeben in welchen Fällen man einen Data Breach der Aufsichtsbehörde melden muss.
Warum? Das wissen wir nicht. Vielleicht sitzen manche Mitglieder gerade Corona-bedingt in Quarantäne und benötigen einen Zeitvertreib. Gut ist es auf jeden Fall, dass es eine neue Guideline geben wird, denn der alte stammt noch aus dem Jahre 2016 und ist damit in digitaler Zeitrechnung ausgedrückt aus der Steinzeit!

Wie sieht der Entwurf aus?

Zum gegenwärtigen Zeitpunkt handelt es sich bei dem Dokument, welches man hierabrufen kann, noch um einen Entwurf, doch lohnt sich natürlich schon jetzt ein Blick in das Dokument:

Neben allgemeinem Gebrabbel warum ein Data Breach nicht gerade toll ist und Datenschutz ganz, ganz wichtig ist usw... usw... enthält die Guideline - wie auch schon sein Vorläufer - konkrete Data Breach - Szenarien und Stellungnahmen zur Meldepflicht sowie zur allgemeinen Risikobewertung und Risikoabmilderung. Diese geben wir in diesem Beitrag in a nutshell wieder. Für Detailinformationen zum Beispiel im Akkuten Bedarfsfall, liest man besser die Guideline direkt.

Ransomware

Ein Großteil der angesprochenen Szenarien betrifft Security-Incidents, welche durch Ransomware verursacht werden.
Laut Guideline sind hier die wichtigsten Entscheidungskriterien, ob ein Backup vorhanden ist und ob ein Datenabfluss stattgefunden hat. Fehlt ein Backup oder sind Daten abgeflossen, dann ist ein solcher Vorfall zu melden. Und zwar sowohl der Behörde als auch den betroffenen Personen. In anderen Fällen reicht oftmals eine schlichte interne Dokumentation des Vorfalls.

Kleines Detail am Rande: sehr überraschend (und zwar im positiven Sinne) ist die Tatsache, dass man sich in der Guideline auch zur 72h Frist äußert. Und zwar wird zugestanden, dass eine - auch provisorische - Aufklärung eines solchen Security Incidents oftmals länger braucht und die Überschreitung dieser Frist daher bisweilen zulässig ist.

Gestohlene Datenträger (und Papier!)

Auch mit dem Klassiker des verlorenen gegangenem Datenträgers hat sich der EDSA beschäftigt. Und zwar sowohl digital (also beispielsweise USB-Sticks, Mobiltelefone, etc...) als auch analog (soll heißen Papier-Akten!!!).
In diesen Fällen ist entscheidend, ob die verloren gegangenen Datenträger verschlüsselt sind und ein Backup vorhanden ist.

Anmerkung: Verschlüsselung in diesem Kontext heißt, dass es eine dem Stand der Technik entsprechende sichere Verschlüsselung sein muss.

Liegt eine solche (und ein Backup) vor, dann kann man auch hier mit einer internen Dokumentation des Vorfalls das Auslangen finden.

Praxistipp! Da sich Papierakten meistens schlecht verschlüsseln lassen (wer druck denn schon gerne Wingdings aus?) sollte man als einer der wenig verbliebenen Baummörder endlich auf den Zug der Digitalisierung aufspringen!

und ... last... but not least...

die Königin des Data Breach schlechthin: die falsch versendete E-Mail!!!
Wer kennt sie nicht die folgenden Szenarien: mal aus Versehen "CC" statt "BCC", mal - dank Autovervollständigen - aus dem Herrn Maier die Frau Mair gemacht oder aufgrund zu kleinem Monitor den falschen Anhang in die Mail gegeben, usw... usw...

Auch mit derartigen Szenarien hat sich der EDSA beschäftigt und sieht hier eine Verständigung der Aufsichtsbehörde (und auch der betroffenen Personen) als notwendig, wenn Artikel 9 - Daten betroffen sind.
Sind nur "normale" personenbezogene Daten involviert, dann ist hingegen eine interne Dokumentation in den allermeisten Fällen ausreichend.

Neben diesen hier erwähnten Szenarien hat sich der EDSA in seinem Guideline auch noch mit den Themen Social Engineering, Phishing-Versuchen, Passwörterabgriff und noch vielem mehr beschäftigt.

Wir wollen ja hier keine Werbung machen, aber wir möchten dieses Dokument - welches darüber hinaus noch gratis ist (gasp!!!) jedem wärmstens weiterempfehlen.