- DSGVO erfordert Meldung von Datensicherheitsverletzungen bei Aufsichtsbehörden, wenn Risiko für betroffene Personen besteht.
- Der Europäische Datenschutzausschuss hat neue Leitlinien veröffentlicht, um offene Fragen zu klären und Beispiele für Angriffsvektoren zu geben.
- Die neuen Richtlinien enthalten 18 Beispiele für Ransomware und andere Angriffe, sowie empfohlene Massnahmen zur Risikominderung.
Die DSGVO sieht bekanntlich vor, dass bei Datensicherheitsverletzungen der/den zuständige(n) Aufsichtsbehörde(n) zu melden sind, sofern die Verletzung zu einem Risiko für die betroffene Personen führt (Art. 33 DSGVO, und wenn die Verletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, sich diese von der Verletzung zu benachrichtigen (Art. 34 DSGVO).
Der Europäische Datenschutzausschuss hat zu dieser Frage schon im Februar 2018 Leitlinien veröffentlicht. Diese Leitlinien liessen aber viele Fragen offen, weshalb der EDSA nun den Entwurf zusätzlicher Leitlinien mit Anwendungsbeispielen veröffentlicht hat (Guidelines 01/2021 on Examples regarding Data Breach Notification, Version 1.0, 14. Januar 2021). Die Konsultationsphase endet am 2. März 2021.
Die Leitlinien zu Beispielen sind nach unterschiedlichen Arten von Attacken und Angriffsvektoren gegliedert und umfassen 18 Beispiele:
- Ransomware, wenn ein Back-up existiert und keine Daten entwendet werden;
- Ransomware ohne Back-up;
- Ransomware, wenn ein Back-up existiert und keine Daten entwendet werden, in einem Krankenhaus;
- Ransomware ohne Back-up und mit Datendiebstahl;
- Diebstahl von Bewerberdaten von einer Website;
- Abgreifen eines verschlüsselten (gehashten) Passworts von einer Website;
- Brute-Force-Attacke (“Credentials Stuffing”) gegen eine Online-Banking-Website;
- Datendiebstahl durch einen Angestellten;
- versehentliche Übermittlung von Daten an einen vertrauenswürdigen DrittenÜbermittlung
- verschiedende Fälle des Diebstahls von Datenträgen;
- verschiedende Fälle des versehentlichen Versands von Daten per Post und per E‑Mail;
- Identitätsdiebstahl über Social Engineering per Telefon;
- E‑Mail-Diebstahl durch Weiterleitungsregeln.
Die Leitlinien halten jeweils – relativ knapp – fest, welche Massnahmen zur Vermeidung dieser Sicherheitsverletzungen in Frage gekommen wären und welche Massnahmen der Verantwortliche zur Mitigierung der Risiken nach der Entdeckung des Vorfalls treffen kann.