Datenschutzverletzungen werden über unseren Incident-Management-Prozess (orientiert an ITIL v4) erkannt und mit lückenloser Nachverfolgbarkeit behandelt. Die Kenntniserlangung erfolgt über zwei Kanäle: intern (z. B. Monitoring) und extern (Meldung per E-Mail/Telefon durch Dienstleister, Kunden oder Dritte). Anschließend folgen wir diesem Vorgehen:
- Kenntniserlangung (intern oder extern) und Sachverhaltsaufklärung
- Einbindung der Datenschutzberatung
- Analyse des Vorfalls und Ergreifen von Maßnahmen zur Abwendung oder Eindämmung
- Klassifizierung durch Geschäftsführung und IT-Verantwortlichen (betroffene Daten, Umfang, Betroffene)
- Risikobeurteilung nach Art. 33 DSGVO und Entscheidung des Verantwortlichen über die Meldung (ggf. Dokumentation der Risikoabwägung bei Nicht-Meldung)
- Als Auftragsverarbeiter: unverzügliche Information der betroffenen Kunden (Verantwortliche), damit diese ihre Melde- und Benachrichtigungspflichten nach Art. 33/34 DSGVO (72-Stunden-Frist) erfüllen können
- Dokumentation im internen Incident-Register (auch unterschwellig, Art. 33(5)); Schadensbeseitigung und ggf. Implementierung von Prozessverbesserungen