Data Breach Notification
- 1. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com Verfahren bei Verletzungen des Schutzes personenbezogener Daten Handlungsempfehlungen für Finanzdienstleister von Christian Scholten und Thomas Eustorgi In unserer digitalisierten Welt werden Datenpannen, also Verstösse gegen den Datenschutz bei denen personenbezogene Daten Unberechtigten bekannt wer- den, immer häufiger entdeckt und an die entsprechenden Datenschutzbehörden gemeldet.1 Die Folgen einer solchen Datenpanne können schwerwiegend sein und ernsthafte betriebliche, finanzielle und reputationsbezogenen Schäden ver- ursachen. Besonders anfällig sind dabei Finanzdienstleister, da sie eine grosse Menge sensibler Daten bearbeiten und gleichzeitig einer verstärkten Kontrolle durch die Aufsichtsbehörden unterstehen. Aus operativer Sicht benötigen Finanzdienstleister ein Verfahren, um bei Verlet- zungen des Schutzes personenbezogener Daten rasch reagieren zu können und die Aufsichtsbehörden, betroffene Kunden sowie weitere Anspruchsgruppen zeitnah zu informieren. Die erforderlichen Verfahren und Massnahmen, welche mitunter die Offenlegung der betroffenen Daten beinhaltet, bergen erhebliche be- triebliche und finanzielle Risiken. Daher sind Organisationen gut beraten, auf die Erfahrung professioneller Dienstleister für Rechtsberatung und für die Planung und Ausführung der erforderlichen Verfahren und Massnahmen zurückzugreifen. Fussnote: 1 Einige EU-Datenschutz- behörden erhalten pro Jahr bis zu 70 Meldungen pro 100.000 Einwohner (GDPR today, www.gdprtoday.org/ gdpr-in-numbers-4)
- 2. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com2 Verletzung des Schutzes personenbezogener Daten und DSGVO Die Datenschutz-Grundverordnung der EU (DSGVO) definiert die Rechte betroffener Per- sonen2 – beispielsweise Kunden oder Mitarbei- ter – im Falle einer Datenschutzverletzung bei welcher personenbezogene Daten Unberech- tigten bekannt werden. Gemäss DSGVO Art. 32 muss der Auftragsverarbeiter, z.B. eine Bank, jede Verletzung innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde melden. Der Auftragsverarbeiter ist des Weiteren ge- setzlich verpflichtet die betroffenen Personen zu benachrichtigen sofern die Verletzung zu ei- nem hohen Risiko für die Rechte und Freihei- Verfahren bei Verletzung des Schutzes personenbezogener Daten ten3 natürlicher Personen führen könnte (DSGVO Art. 33). Falls dies zutrifft, so hat der Auftragsverarbeiter jede betroffene Person einzeln und vorzugsweise schriftlich zu be- nachrichtigen.4 Darüber hinaus ist der Auf- tragsverarbeiter nach DSGVO Art. 15 verpflich- tet, Zugang zu personenbezogenen Daten zu gewähren und eine Anlaufstelle (Helpdesk) ein- zurichten. Unter bestimmten Umständen muss den betroffenen Personen auch eine Kopie von Dokumenten, wie z.B. die Kopie einer E-Mail ausgehändigt werden.5 Das von uns empfohlene Verfahren im Falle ei- ner Verletzung des Schutzes personenbezoge- ner Daten kann in sechs Schritte unterteilt wer- den (Abb. 2). Als Erstes (Schritt 1) sind technische Massnah- men zur Erkennung eines Verstosses, dessen Eindämmung und Beseitigung sowie zur Da- tenwiederherstellung zu ergreifen. Dazu muss man die Verletzung analysieren, die betroffe- nen Daten identifizieren und massgeschnei- derte Sofortmassnahmen zur Prävention wei- terer Verstösse implementieren. Sehr bald stellt sich für das Unternehmen die Frage, wie mit der Datenschutzverletzung um- zugehen ist. Hierzu ist eine strategische Pla- nung der nächsten Schritte notwendig (Schritt 2). Eine Datenschutzverletzung ist der Auf- sichtsbehörde unverzüglich innerhalb von 72 Stunden nach Bekanntwerden des Verstosses zu melden. Vom Zeitpunkt der Meldung lohnt es sich eine effiziente Kommunikation mit den Behörden zu pflegen, da eine einmalige Mel- dung selten ausreichen wird. Ein rechtliches Gutachten sollte Auskunft darü- ber geben, ob und wie die betroffenen Perso- nen benachrichtigt werden müssen und in wel- chem Umfang sie ein Recht auf Zugang zu ihren Daten haben. Das rechtliche Guthaben sollte auch pragmatische Fragen beantworten, Fussnoten: 2 Im Englischen spricht man von data subject («Datensubjekten») 3 Das Risiko für die Rechte und Freiheiten beinhaltet z.B. das Risiko von Diskriminierung, Identi- täts-diebstahl, finanziellem Verlust oder Reputa- tions-schäden (vgl. EU-DSGVO, Erwägungs- grund 75) 4 Falls dies zu einem unverhältnismässigen Aufwand führen würde, kann die Verletzung öffentlich bekanntgeben werden. Abbildung 1: Meldeverfahren gemäss DSGVO 5 Da sich der weit gefasste Wortlaut von DSGVO Art. 15 darüber ausschweigt, was der Verantwortliche in der Praxis genau zur Verfügung stellen muss, gehen die Meinungen über die Reichweite des Anspruchs auf Auskunftserteilung und Aushändigung einer Kopie entsprechend weit auseinander.
- 3. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com3 wie beispielsweise, welche Rolleninhaber eines Kontos kontaktiert werden müssen (bei einer Bank) oder ob die betroffenen Personen per E- Mail kontaktiert werden können. Ist das weitere Vorgehen in den Grundzügen definiert, müssen in Schritt 3 die betroffenen Personen identifiziert werden. In der Praxis wird oftmals eine Kombination aus automati- sierter Datenanalyse und manueller Überprü- fungen der Ergebnisse angewendet. Als Bei- spiel nehmen wir an, dass eine Bank die betroffenen Daten nach Kontonummern durch- sucht. Die automatisch generierten Ergebnisse müssen danach einer manuellen falsch-positiv Überprüfung unterzogen werden, um sicherzu- stellen, dass die Nummern einem Konto und nicht einer Telefonnummer o.ä. zuzuordnen sind. Sobald die betroffenen Personen identifiziert sind, müssen Adressdaten abgefragt, bereinigt und eventuell sogar manuell ergänzt werden. Diese Adressbereinigung ist insbesondere für ehemalige Kunden relevant oder in Fällen wo die Benachrichtigungsadresse von der regulä- ren Postanschrift abweicht. Als letzte Aktivität im Schritt 3 muss eine An- laufstelle für Rückfragen eingerichtet werden. Nur diese Anlaufstelle sollte befugt sein mit be- troffenen Personen über Angelegenheiten im Zusammenhang mit der Datenschutzverletzung zu kommunizieren. Dabei hat sich die Stelle an vorher definierte Leitlinien zu halten, um Inkon- sistenzen in der Kommunikation zu vermeiden. In Schritt 4 folgt nun die Benachrichtigung aller betroffenen Personen. Um Rückfragen besser zu handhaben, ist die Benachrichtigung gestaf- felt zu senden. Ein gewisser Anteil der betroffenen Personen wird in der Folge Zugang zu den betroffenen Daten verlangen. Das Unternehmen muss folg- lich bereits frühzeitig Vorbereitungen treffen, um innerhalb einer angemessenen Frist, in der Praxis innerhalb von 30 Tagen6, Zugang zu den Daten zu gewähren. Dabei müssen Daten von Drittpersonen vor der Offenlegung geschützt werden. Auf dem Markt gibt es dafür zwar Soft- warelösungen, welche Daten von Drittperso- nen erkennt und abdeckt, trotzdem wird ein ge- wisses Mass an manueller Qualitätssicherung weiterhin notwendig sein. Betroffenen Personen ist auf möglichst effizien- te Weise Zugang zu ihren Daten zu gewähren. Dafür eignet sich in der Regel ein elektroni- sches Format. Die Daten können zum Beispiel in einen virtuellen Datenraum hochgeladen werden worauf betroffene Personen mit einem individuellen Benutzerprofil zugreifen können. Abbildung 2: Das Verfahren bei Verletzung des Schutzes personenbezogener Daten in 6 Schritten Fussnote: 6 Der Zeitraum kann je nach Komplexität und Anzahl der Anfragen um weitere 60 Tage erweitert werden (DSGVO Art. 12).
- 4. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com4 In Schritt 4 ist es wichtig, dass alle Aktivitäten, jeder Kundenkontakt, jede Anfrage oder jede Bereitstellung von Zugangsdaten erfasst wird. Die Abläufe sollten idealerweise in einem Workflow-Management-Tool abgebildet wer- den. In Schritt 5 müssen schliesslich die Vorberei- tungen für die langfristigen Massnahmen ge- plant werden. Dazu gehört die Vorbereitung auf mögliche Rechtsstreitigkeiten oder die Um- setzung zusätzlicher Abwehrmassnahmen, um das Risiko weitere Datenschutzverletzungen zu reduzieren. Durch eine wirksame Öffentlichkeitsarbeit und Medienkommunikation (Schritt 6) gilt es vom ersten Tag an weitere Reputationsschäden zu verhindern. Das Unternehmen darf die Kontrol- le über die Informationen und die Diskussionen in der Öffentlichkeit nicht aus der Hand geben. Abbildung 3: Von TALOS abgedeckte/ koordinierte Dienstleistun- gen in einem konkreten Anwendungsfall Die Herausforderung Unser Kunde erlitt eine Datenpanne in der Schweiz und einem EU-Land, was dazu führte, dass personenbezogene Daten von Kunden und Mitarbeitern für eine ausländische Behör- de zugänglich waren. Der Kunde war ver- pflichtet die betroffenen Personen über den Datenschutzverstoss zu informieren. Mehre- re betroffene Personen in der Schweiz und in der EU haben daraufhin Zugang zu Daten und Dokumenten verlangt. Unser Beitrag Für unseren Kunden haben wir den End-zu-End-Benachrichtigungs- und Offenle- gungsprozess konzipiert und implementiert. Unsere Berater unterstützten bei der Identifi- zierung betroffener Personen, bei der Benach- richtigung von Kunden und Mitarbeiter sowie beim Betrieb eines Helpdesks. TALOS defi- nierte die Rolle von Kundenteams, entwickel- te Richtlinien und Arbeitsanweisungen und implementierte Tools zur Überwachung des Status jeder einzelnen Anfrage. Temporäre Ressourcen von TALOS unterstützten zudem bei der Abdeckung von Daten Dritter. Für den Kunden koordinierte TALOS fast alle mit dem Datenleck verbunden Aktivitäten angefangen vom Projektmanagement bis hin zur Identifi- kation der betroffenen Personen und der Qua- litätssicherung vor der Offenlegung relevanter Daten und Dokumente. Der Kundenutzen Der Kunde konnte sich auf uns als eine zentra- lisierte Funktion verlassen, welche sowohl mit internen Anspruchsgruppen, wie auch mit spezialisierten Anbietern zusammenzuarbei- tet und so alle Verfahrensschritte von der stra- tegischen Planung bis zur Offenlegung der betroffenen Daten entweder selbst oder in Ko- operation mit anderen Dienstleistern und in- ternen Stellen abdecken konnte. Anwendungsbeispiel
- 5. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com5 Eine Verletzung des Schutzes personenbezo- gener Daten löst eine Reihe verbindlicher ope- rativer Verfahren aus. Darunter fallen die Mel- dung an die Aufsichtsbehörden, die Identifizierung betroffener Daten und Perso- nen, die Benachrichtigung und Kommunikation mit Kunden und Mitarbeitern, sowie die Offen- legung relevanter Daten. Die Steuerung dieser Verfahren erfordert einen interdisziplinären Ansatz, das Wissen spezialisierter Anbieter, ju- ristisches Know-how und Projektmanagement- Schlusswort Fähigkeiten. Wenn diese operativen Verfahren nicht ordnungsgemäss geplant und ausgeführt werden, führen Fehler und andere Ineffizien- zen rasch zu weiteren finanziellen Verlusten und Reputationsschäden. Unternehmen sind daher gut beraten auf das Wissen und die Er- fahrung professioneller Anbieter zurückzugrei- fen, die in der Lage sind, die interdisziplinären Aspekte einer Verletzung des Schutzes perso- nenbezogener Daten zu steuern und zu koordi- nieren.
- 6. Publication © 2020 TALOS Management Consultants. All rights reserved. | www.talos-consultants.com6 TALOS definiert neue Standards in der Ma- nagement Beratung. Als spezialisierte Bou- tique Beratung mit Schweizer Wurzeln und Büwros in Zürich und Luxemburg beraten wir Kunden aus der Europäischen Finanzindustrie. TALOS wurde 2008 von erfahrenen Manage- ment Beratern gegründet und ist seither zu ei- nem etablierten Beratungsunternehmen für Fi- nanzunternehmen gewachsen. Als Experten für regulatorische Transformati- onslösungen decken wir die gesamte Band- breite möglicher Fragestellungen ab, von der Analyse über die Strategie bis hin zur Umset- zung. Zürich TALOS Management Consultants Bleicherweg 45 CH-8002 Zürich Tel. +41 44 380 14 40 Luxembourg TALOS Management Consultants 6, Rives de Clausen L-2165 Luxembourg Tel. +352 26 20 23 54 www.talos-consultants.com www.shapenewstandards.com Who we are Your Contact Christian ist Partner bei TALOS und arbeitete früher als interner Berater für einen deutschen Logistikkonzern und ist seit 2007 als Unterneh- mensberater (Accenture, TALOS) tätig. Christian Scholten Partner christian.scholten@talos-consultants.ch Thomas ist Manager und kam 2016 zu TALOS. Er verfügt über mehr als 8 Jahre Erfahrung in der Finanzdienstleistungsbranche mit einer weltweiten Karriere in der Schweiz, den USA, Spanien und Südkorea. Thomas bringt funktio- nale Expertise und Projekterfahrung in den Be- reichen Compliance, Outsourcing und Finanz- management ein. Thomas Eustorgi Manager thomas.eustorgi@talos-consultants.ch