Rrrrröstfrisch kompromittiert:
Worauf es bei einem Data Breach ankommt

«There are two types of companies: Those that have been hacked, and those who don’t yet know they have been hacked.»

Für viele kleine und mittlere Unternehmen klingt das Thema Datenschutz oft nach „großes Unternehmen, großes Problem“. Doch die Realität sieht anders aus: Gerade KMU geraten immer häufiger ins Visier – nicht nur von Cyberangriffen, sondern auch durch alltägliche Datenpannen, die schnell zum handfesten Vertrauensverlust führen können.

Ein unachtsamer Klick, ein falsch adressiertes E-Mail oder ein ungesichertes System – und schon sind sensible Kundendaten betroffen. In diesem Beitrag zeigen wir, warum Datenschutz auch (und gerade) für KMU ein zentrales Thema ist, welche Risiken besonders häufig auftreten – und wie man sich mit pragmatischen Maßnahmen gut aufstellen kann

In diesem Blogbeitrag knüpfen wir an unsere Podcastfolge „Rrrrröstfrisch kompromittiert“ an. Ganz ohne Fachchinesisch, dafür aber mit zusätzlichen Informationen, die in der Episode keinen Platz mehr hatten: konkrete Beispiele – und vor allem pragmatische Tipps, wie man sich im Datenschutzalltag besser aufstellen kann.

Denn: Datenschutz betrifft uns alle – und fängt genau dort an, wo man es oft am wenigsten erwartet.

OODA-loop

Observe, Orient, Decide, Act - Wahrnehmen, Orientieren, Entscheiden, Handeln

Der OODA-Loop stammt ursprünglich aus der Militärstrategie, lässt sich aber (meines Erachtens) erstaunlich gut auf das Management von Data Breaches übertragen. Im Ernstfall kann auch schon einmal jede Minute zählen, und genau hier hilft der OODA-Ansatz mit meiner verlinkten Checkliste: Beobachten bedeutet, Auffälligkeiten in Systemen oder Meldeketten frühzeitig zu erkennen. Orientieren heißt, die Situation richtig einzuordnen – Was ist passiert? Welche Daten sind betroffen? Entscheiden erfordert schnelles, fundiertes Handeln: Muss gemeldet werden? Wer wird informiert? Und schließlich: Handeln – die Maßnahmen konsequent umsetzen und dokumentieren. Der OODA-Loop macht aus hektischem Reagieren ein strukturiertes Vorgehen – und genau das brauchen KMU, um im Ernstfall ruhig, klar und regelkonform zu handeln.

Definition I (Art 4 Z 12 DSGVO)

"Verletzung des Schutzes personenbezogener Daten: Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden."

DEFINITION II (Art 33 DSGVO)

"Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt."

DEFINITION III (Art 34 DSGVO)

"Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung."