Richtlinie zum Management von Datenschutzvorfällen und Verletzungen des Schutzes personenbezogener Daten im Finanzsektor

Die Richtlinie zum Management von Datenschutzvorfällen und Verletzungen des Schutzes personenbezogener Daten im Finanzsektor definiert Anforderungen an Identifizierung, Meldung, Triage, Klassifizierung, Bewertung, Eindämmung, Benachrichtigung, Dokumentation, Abschluss und Verbesserung im Zusammenhang mit Datenschutzvorfällen und Verletzungen des Schutzes personenbezogener Daten in PIMS-Geltungsbereichen des Finanzsektors. Sie gilt, wenn die Organisation in einem Finanzsektorkontext als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter oder Unterauftragsverarbeiter handelt, und sie umfasst außerdem Systeme, Anwendungen, Services, Prozesse, Lieferanten, Auftragsverarbeiter, Unterauftragsverarbeiter und Drittparteien, die personenbezogene Daten innerhalb des Geltungsbereichs verarbeiten, speichern, übermitteln, unterstützen, darauf zugreifen oder diese anderweitig beeinflussen. Die Richtlinie ist ausdrücklich als Ersatzvariante für PII15 im Finanzsektor konzipiert und verlangt, dass Organisationen für denselben Geltungsbereich entweder PII15 oder PII15-FS auswählen, um doppelte Verpflichtungen, Register und Arbeiten an Auditnachweisen zu vermeiden. Der Zweck der Richtlinie besteht darin sicherzustellen, dass Datenschutzvorfälle und Verletzungen des Schutzes personenbezogener Daten konsistent, unverzüglich, rechtmäßig, sicher und mit auditbereiten Nachweisen behandelt werden. REG10 — Register für Datenschutzvorfälle und Verletzungen des Schutzes personenbezogener Daten wird als primäres Nachweisobjekt eingerichtet, während unterstützende Register den Vorfallsdatensatz mit dem umfassenderen PIMS-Nachweismodell verbinden. REG01 wird für Kontext zu Geltungsbereich, interessierten Parteien, Sektor, Kunden, vertraglichen Anforderungen und Berichterstattung verwendet. REG02 verknüpft betroffene Verarbeitungstätigkeiten, Kategorien personenbezogener Daten, Kategorien betroffener Personen, Zwecke, Systeme und Services. REG03 erfasst Aktualisierungen der Erklärung zur Anwendbarkeit und der Anwendbarkeit von Kontrollen, einschließlich der Ersetzung von PII15 durch PII15-FS. REG04 unterstützt die Verknüpfung von Datenschutzrisiko, Datenschutz-Folgenabschätzung, Restrisiko und Behandlung, während REG08, REG09, REG11 und REG12 Schnittstellen zu Drittparteien, internationale Übermittlungen, Schulung sowie Audit- oder Korrekturmaßnahmen-Nachweise abdecken. Operativ verlangt die Richtlinie, dass jeder gemeldete oder erkannte vermutete Datenschutzvorfall im Finanzsektor innerhalb eines Geschäftstags nach Eingang in REG10 erfasst wird oder früher, wenn Melde-, Kunden- oder Berichterstattungsfristen ausgelöst werden können. Vorfälle müssen innerhalb von 24 Stunden nach Eingang als Nicht-PII-Ereignis, vermuteter Datenschutzvorfall, bestätigter Datenschutzvorfall, bestätigte Verletzung des Schutzes personenbezogener Daten, Datenschutzvorfall im Finanzsektor, wesentlicher Vorfall im Finanzsektor, erhebliche Cyberbedrohung oder Eintrag mit ausstehender Klassifizierung klassifiziert werden. Die Bewertung der Datenschutzverletzung muss betroffene personenbezogene Daten, betroffene Personen, Systeme, Services, Verarbeitungstätigkeiten, Auftragsverarbeiter, Unterauftragsverarbeiter, Übermittlungen, Risiken, Kunden, Gegenparteien und Abhilfemaßnahmen berücksichtigen. Die Richtlinie verlangt außerdem Nachweissicherung, Eindämmung innerhalb definierter Zeitrahmen, Validierung der Wiederherstellung und dokumentierte Abschlussentscheidungen, die Klassifizierung, Meldeentscheidung, Eindämmungsstatus, Wiederherstellungsstatus, Restrisiko, Korrekturmaßnahmen und Vollständigkeit der Nachweise umfassen. Die Richtlinie unterscheidet Verpflichtungen von Verantwortlichen, gemeinsam Verantwortlichen, Auftragsverarbeitern und Unterauftragsverarbeitern. Verantwortliche müssen Entscheidungen zur Meldung von Datenschutzverletzungen aufzeichnen, erforderlichenfalls Nachweise für Meldungen an Aufsichtsbehörden vorbereiten und die Kommunikation mit betroffenen Personen prüfen, wenn ein hohes Risiko festgestellt wird. Auftragsverarbeiter und Unterauftragsverarbeiter müssen Kundenweisungen, vertragliche Meldepflichten, vorgelagerte Benachrichtigungsketten und Anforderungen an die Nachweisweiterleitung bewerten; die Aufzeichnungen werden in REG08 und REG10 geführt. Verantwortlichkeiten gemeinsam Verantwortlicher müssen vor geltenden Fristen für externe Meldungen koordiniert und dokumentiert werden. Bei Datenschutzvorfällen im Finanzsektor mit hoher Tragweite und erheblichen Cyberbedrohungen muss der Incident-Response-Koordinator regulatorische Berichtsauslöser im Finanzsektor bewerten und Entscheidungsnachweise in REG10 aufbewahren. Governance, Messung und Verbesserung sind in den Richtlinienlebenszyklus integriert. Der Privacy Lead / PIMS-Manager muss offene REG10-Vorfälle mindestens wöchentlich bis zum Abschluss prüfen, und die oberste Leitung muss bei bestätigten Datenschutzvorfällen im Finanzsektor mit hoher Tragweite, wesentlichen Vorfällen oder erheblichen Cyberbedrohungen innerhalb von 24 Stunden nach der Klassifizierung eine Eskalation erhalten. Zu den Kennzahlen gehören monatliche Zählungen vermuteter und bestätigter Vorfälle, Verletzungen, wesentlicher Vorfälle im Finanzsektor und erheblicher Cyberbedrohungen sowie die Fristgerechtigkeit der Meldung von Datenschutzverletzungen, Fristgerechtigkeit der Berichterstattung im Finanzsektor, Eindämmung, Wiederherstellung, Validierung der Wiederherstellung und Leistung bei der Reaktion von Drittparteien. Die Richtlinie verlangt ferner eine jährliche Überprüfung, eine Nachprüfung nach Vorfällen bei wesentlichen Ereignissen, eine Überprüfung durch Internes Audit, Ausnahmemanagement, Durchsetzung über REG12-Nichtkonformitäten und Abhilfeschulung über REG11, wenn Sensibilisierungs- oder Kommunikationsfehler auftreten.