Richtlinie zum Management von Datenschutzvorfällen und Verletzungen des Schutzes personenbezogener Daten

Die Richtlinie zum Management von Datenschutzvorfällen und Verletzungen des Schutzes personenbezogener Daten definiert, wie eine Organisation Datenschutzvorfälle und Verletzungen des Schutzes personenbezogener Daten innerhalb des PIMS-Geltungsbereichs identifiziert, meldet, triagiert, bewertet, eindämmt, meldet, dokumentiert, abschließt und daraus Verbesserungen ableitet. Ihr erklärter Zweck ist sicherzustellen, dass Vorfälle und Verletzungen konsistent, unverzüglich, rechtmäßig, sicher und mit auditbereiten Nachweisen behandelt werden. Die Richtlinie gilt in Kontexten als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter und erstreckt sich auf Systeme, Anwendungen, Services, Prozesse, Lieferanten, Auftragsverarbeiter, Unterauftragsverarbeiter und Dritte, die personenbezogene Daten innerhalb des PIMS-Geltungsbereichs verarbeiten, speichern, übermitteln, unterstützen, darauf zugreifen oder anderweitig beeinflussen. Ein zentrales Merkmal der Richtlinie ist ihr integriertes Nachweismodell. REG10 — Register für Datenschutzvorfälle und Verletzungen des Schutzes personenbezogener Daten ist das primäre Nachweisobjekt für das Vorfalls- und Verletzungsmanagement, während unterstützende Register Kontext und Nachvollziehbarkeit bereitstellen. REG01 unterstützt den Geltungsbereich sowie den rechtlichen, vertraglichen, sektoralen, kundenbezogenen und Berichterstattungskontext. REG02 verknüpft betroffene Verarbeitungstätigkeiten, Kategorien personenbezogener Daten, Kategorien betroffener Personen, Zwecke und Systeme. REG04 unterstützt die Verknüpfung mit Datenschutzrisiken, DSFA und Restrisiko. REG08 erfasst Schnittstellen zu Vorfällen bei Auftragsverarbeitern, Unterauftragsverarbeitern, Kunden, Lieferanten und Drittparteien. REG09 wird verwendet, wenn Vorfälle grenzüberschreitende Verarbeitung betreffen, REG11 unterstützt Schulungs- und Kompetenznachweise, und REG12 erfasst Nachweise zu Audit, Nichtkonformität, Korrekturmaßnahmen und Verbesserung. Diese Struktur trägt dazu bei, dass Vorfallsaufzeichnungen nicht vom breiteren PIMS isoliert sind. Die Richtlinie legt detaillierte Anforderungen an Bereitschaft, Eingangserfassung, Klassifizierung, Bewertung der Datenschutzverletzung, Eindämmung, Wiederherstellung, Meldung, Kommunikation, Schutz von Nachweisen und Erkenntnisse aus Vorfällen fest. Vermutete Datenschutzvorfälle müssen unverzüglich aufgezeichnet werden; jeder gemeldete oder erkannte vermutete Vorfall ist innerhalb eines Geschäftstags nach Eingang in REG10 einzutragen, oder früher, wenn Melde- oder Kundenberichtspflichten ausgelöst werden können. Die technische Triage von Sicherheitsereignissen mit Bezug zu personenbezogenen Daten muss innerhalb von 24 Stunden nach Erkennung abgeschlossen werden, und jeder REG10-Eintrag muss innerhalb von 24 Stunden nach Eingang als Ereignis ohne Bezug zu personenbezogenen Daten, vermuteter Datenschutzvorfall, bestätigter Datenschutzvorfall oder bestätigte Verletzung des Schutzes personenbezogener Daten klassifiziert werden, sofern der Grund für eine ausstehende Klassifizierung nicht dokumentiert ist. Für die Bewertung der Datenschutzverletzung verlangt die Richtlinie die Identifikation betroffener Verarbeitungstätigkeiten, Kategorien personenbezogener Daten, Kategorien betroffener Personen, Systeme, Auftragsverarbeiter, Unterauftragsverarbeiter, Übermittlungsorte und Datenschutzrisiken, bevor Meldeentscheidungen finalisiert werden. Melde- und Kommunikationspflichten werden nach Rollen getrennt. Für Verantwortliche verlangt die Richtlinie dokumentierte Entscheidungen über Meldungen an Aufsichtsbehörden für jede bestätigte Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung, wobei Meldung, Begründung für die Nichtmeldung oder Begründung für die Verzögerung in REG10 aufzubewahren sind. Wenn eine Kommunikation an betroffene Personen ausgelöst wird, verlangt die Richtlinie, dass Inhalt, Zielgruppe, Zeitpunkt, Bereitstellungsverfahren und Freigabenachweise aufgezeichnet werden. Für Auftragsverarbeiter und Unterauftragsverarbeiter verlangt die Richtlinie eine Benachrichtigung der betroffenen Verantwortlichen, Kunden, vorgelagerten Auftragsverarbeiter oder genehmigten vertraglichen Kanäle ohne unangemessene Verzögerung und innerhalb der geltenden vertraglichen Fristen. Für Datenschutzvorfälle mit hoher Tragweite verlangt sie außerdem die Bewertung rechtlicher, sektoraler, finanzsektorspezifischer, cybersicherheitsbezogener, vertraglicher, kundenbezogener und serviceempfängerbezogener Berichterstattungsauslöser, sofern anwendbar. Governance, Messung und Verbesserung sind in den Prozess integriert. Der Privacy Lead / PIMS-Manager ist für den Vorfalls- und Verletzungsmanagementprozess verantwortlich und muss sicherstellen, dass REG10 bis zum Abschluss gepflegt wird. Der Incident-Response-Koordinator steuert Eingangserfassung, Triage, Eindämmungs-Workflow, Statusverfolgung, Abschluss und Erkenntnisse aus Vorfällen. Die Informationssicherheit leitet technische Untersuchung, Eindämmung, Beseitigung, Wiederherstellung, Sicherung von Nachweisen und Ursachenanalyse, wenn Systeme oder Sicherheitskontrollen betroffen sind. Die oberste Leitung erhält Eskalationen für bestätigte Datenschutzvorfälle mit hoher Tragweite innerhalb von 24 Stunden nach Klassifizierung und überprüft Vorfälle mit hoher Tragweite, meldepflichtige Verletzungen, überfällige Korrekturmaßnahmen und wesentliche Auswirkungen im Rahmen der Managementbewertung. Kennzahlen umfassen Vorfallsvolumen, Zeitpunkte für Klassifizierung und Eindämmung, Rechtzeitigkeit von Meldungen, Alterung von Korrekturmaßnahmen, Reaktionsleistung von Drittparteien und Abschluss von Übungen. Die Richtlinie verlangt außerdem eine jährliche Überprüfung, eine Nachprüfung nach Vorfällen mit hoher Tragweite oder bestätigten Verletzungen sowie eine jährliche interne Auditprüfung der Umsetzung.