Mel­dung von In­for­ma­ti­ons­si­cher­heits­vor­f?l­len

S?mtliche Angriffe auf die IT-Systeme sowie der unerlaubte Umgang mit personenbezogenen bzw. sensiblen Daten (Informationssicherheitsvorf?lle) oder diesbezügliche Verdachtsmomente müssen der Universit?t gemeldet werden. Hierzu z?hlen beispielsweise

  • Angriffe auf zentrale IT-Systeme (PAUL, PANDA, MACH) oder dezentrale IT-Systeme (Umfragesysteme oder Forschungsdatenbanken), bei denen Angreifern personenbezogene Daten bekannt geworden sein k?nnten,
  • Systemver?nderungen oder das Aussp?hen von Zugangskennungen (Passw?rter) durch die massenhafte Verbreitung von Viren, Malware und Spam-Mails,
  • die unbeabsichtigte Fehlkonfiguration eines Systems, sodass personenbezogene Daten ungewollt ver?ffentlicht werden,
  • der versehentliche Versand personenbezogener Daten an einen für diese Daten nicht zust?ndigen E-Mail-Verteiler,
  • der Verlust eines mobilen Endger?ts (Notebook, Smartphone) oder Datentr?gers (USB-Stick), auf dem sich personenbezogene Daten befinden,
  • aber auch die unzul?ssige Ver?ffentlichung papierbasierter Unterlagen wie namentliche Aush?nge von Klausurergebnissen.

 

Durchführung einer Meldung

  • Sollte es zu einem vermeintlichen oder tats?chlichen Informationssicherheitsvorfall ? ob beabsichtigt oder unbeabsichtigt ? gekommen sein, so füllen Sie bitte das Meldeformular mit s?mtlichen bereits bekannten Fakten aus. Das Meldeformular finden Sie unten im Abschnitt Relevante Dokumente.
  • Bei Verlust oder Diebstahl eines mobilen Endger?ts oder Datentr?gers, auf dem sich personenbezogene Daten befinden, füllen Sie bitte zus?tzlich das Formular für Datentr?gerverlust aus. Dieses finden Sie ebenfalls unten im Abschnitt Relevante Dokumente.

Ziehen Sie, soweit zeitnah verfügbar, die Leitung und die Datenschutzkoordinatorin oder den Datenschutzkoordinator Ihres Bereichs sowie beteiligte Kolleginnen, Kollegen, Administratorinnen oder Administratoren vor einer Meldung hinzu.

Senden Sie das ausgefüllte Meldeformular per E-Mail an die Adresse vorfall[at]upb[dot]de.

Eine Unterlassung der Meldung ist nur zul?ssig, wenn sicher bekannt ist, dass der Vorfall bereits von anderen Besch?ftigten gemeldet worden ist. Im Zweifel muss immer eine Meldung erfolgen. Informationssicherheitsvorf?lle haben Vorrang. Das bedeutet, dass deren Meldung stets dem Tagesgesch?ft oder sonstigen aktuellen Arbeiten vorgeht.

 

Bearbeitung der Meldung durch ein Vorfallteam

Die über dieses Formular abgegebenen Meldungen werden von einem ?Vorfallteam“ bearbeitet, dem der Datenschutzbeauftragte, der Informationssicherheitsbeauftragte, der CIO und der Zentrale Datenschutzkoordinator angeh?ren. Das Team prüft und bewertet den Vorfall. Dazu k?nnen Rückfragen an die meldende Person oder die Organisationseinheit gestellt werden. Die Leitung der Organisationseinheit wird kontaktiert oder eingeladen. Ebenso k?nnen bei Bedarf weitere Personen hinzugezogen werden, beispielsweise Administrator/-innen, die Systemdetails kennen, oder Sicherheitsexpert/-innen von au?erhalb der Universit?t.

Bestehen m?gliche Risiken für die Betroffenen, wird der Vorfall schnellstm?glich (binnen 72 Stunden nach Bekanntwerden) der Aufsichtsbeh?rde gemeldet. Gegebenenfalls werden auch die betroffenen Personen über die Datenschutzverletzung informiert. Aufgrund der Begründungspflicht gegenüber der Beh?rde bei einer versp?teten Meldung sollte der Zeitpunkt der Entdeckung immer protokolliert werden.

In jedem Fall wird der Vorfall hochschulintern dokumentiert und die betroffene Organisationseinheit sowie die Hochschulleitung erhalten einen entsprechenden Bericht.

 

Hintergrund

Die unbefugte Nutzung von sensiblen und/oder personenbezogenen Daten kann negative Folgen für die Universit?t und/oder die betroffene(n) Person(en) haben.

Im Falle einer ?Verletzung des Schutzes personenbezogener Daten“ (Datenschutzverletzung) ist die Universit?t gem?? Artikel 33 der Europ?ischen Datenschutzgrundverordnung (DSGVO) verpflichtet, schnell zu reagieren, wirksame Gegenma?nahmen zu ergreifen und den Vorfall binnen 72 Stunden der zust?ndigen Aufsichtsbeh?rde, d. h. der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW, zu melden.

Datenschutzverletzungen sind Verletzungen der Datensicherheit, die zur Vernichtung, zum Verlust oder zur Ver?nderung personenbezogener Daten führen bzw. diese gegenüber Unbefugten offenlegen oder einen unbefugten Zugang zu personenbezogenen Daten erm?glichen (vgl. Art. 4 Nr. 12 DSGVO).

Damit die Universit?t ihrer Meldepflicht gem?? DSGVO fristgerecht nachkommen kann, ist sie darauf angewiesen, von ihren Besch?ftigten und Organisationseinheiten über s?mtliche Informationssicherheitsvorf?lle verl?sslich und unmittelbar nach Bekanntwerden informiert zu werden. Unerheblich ist dabei, ob die Vorf?lle innerhalb der Universit?t selbst erkannt, von einem Auftragsverarbeiter gemeldet oder von au?en an die Universit?t herangetragen werden.

Die Universit?t ist zur Dokumentation von Datenschutzverletzungen einschlie?lich aller Fakten, deren Auswirkungen und der diesbezüglich ergriffenen Ma?nahmen verpflichtet. Der Inhalt dieser internen Dokumentation geht über den Inhalt einer Meldung der Datenschutzverletzung an die Aufsichtsbeh?rde hinaus.

Relevante Dokumente

Meldung eines Informationssicherheitsvorfalls

Vorfallmeldung in Word-Format

docx | 435 KB

Download

Vorfallmeldung in PDF-Format

pdf | 156 KB

Download

Meldung eines Datentr?gerverlusts

Datentraegerverlustmeldung

pdf | 107 KB

Download

Wei?te?­re In­?­fos

Besuchen Sie unser neues F.A.Q. und erfahren Sie mehr über IT-Sicherheit!

F.A.Q.

Weitere Informationen:

Stabsstelle Datenschutz Informationssicherheitsteam Technische und organisatorische Ma?nahmen (TOMs) Dokumente & Downloads