Mel­dung von In­for­ma­ti­ons­si­cher­heits­vor­f?l­len

S?mtliche Angriffe auf die IT-Systeme oder der unerlaubte Umgang mit personenbezogenen bzw. sensiblen Daten (Informationssicherheitsvorf?lle) bzw. diesbezügliche Verdachtsmomente müssen der Universit?t gemeldet werden. Hierunter fallen beispielsweise

• Angriffe auf zentrale IT-Systeme (PAUL, PANDA, MACH) oder dezentrale IT-Systeme (Umfragesysteme oder Forschungsdatenbanken), bei denen Angreifer personenbezogene Daten zur Kenntnis gelangt sein k?nnen,
• Systemver?nderungen oder Aussp?hen von Zugangskennungen (Passw?rter) durch massenhafte Verbreitung von Viren, Malware und Spam-Mails,
• die unbeabsichtigte Fehlkonfiguration eines Systems, sodass personenbezogene Daten ungewollt ver?ffentlicht werden,
• der versehentliche Versand personenbezogener Daten an einen für diese Daten nicht zust?ndigen E-Mail-Verteiler,
• der Verlust eines mobilen Endger?ts (Notebook, Smartphone) oder Datentr?gers (USB-Stick), auf dem sich personenbezogene Daten befinden,
• aber auch die unzul?ssige Ver?ffentlichung papierbasierter Unterlagen wie namentliche Aush?nge von Klausurergebnissen.

Durchführen einer Meldung

Sollte es zu einem vermeintlichen oder tats?chlichen Informationssicherheitsvorfall ? ob beabsichtigt oder unbeabsichtigt ? gekommen sein, so füllen 365足彩投注_365体育投注@ bitte das Meldeformular mit s?mtlichen bereits bekannten Fakten aus:

• PDF: Vorfallmeldung.pdf
• Word: Vorfallmeldung.docx
• OpenOffice: Vorfallmeldung.odt

Bei Verlust oder Diebstahl eines mobilen Endger?ts oder Datentr?gers, auf dem sich personenbezogene Daten befinden, zus?tzlich:

• PDF: Datentr?gerverlustmeldung.pdf (108KB)

Ziehen 365足彩投注_365体育投注@, soweit zeitnah verfügbar, die Leitung und die Datenschutzkoordinatorin oder den Datenschutzkoordinator Ihres Bereichs und, wenn erforderlich, beteiligte Kolleginnen, Kollegen, Administratorinnen oder Administratoren vor einer Meldung hinzu.

Senden 365足彩投注_365体育投注@ das ausgefüllte Meldeformular per E-Mail an die Adresse vorfall@upb.de.

Die Meldung kann nur unterlassen werden, wenn sicher bekannt ist, dass der Vorfall bereits von anderen Besch?ftigten gemeldet worden ist. Im Zweifel muss immer eine Meldung erfolgen. Informationssicherheitsvorf?lle haben dazu Vorrang. Das bedeutet, dass deren Meldung stets dem Tagesgesch?ft oder sonstigen aktuellen Arbeiten vorgeht.

Bearbeitung der Meldung durch ein Vorfallteam

Die über dieses Formular abgegebenen Meldungen werden von einem ?Vorfallteam“ bearbeitet, dem Datenschutzbeauftragte, Informationssicherheitsbeauftragte, CIO und der Zentrale Datenschutzkoordinator angeh?ren. Dort wird der Vorfall geprüft und bewertet, wozu ggf. Rückfragen an die meldende Person oder die Organisationseinheit erfolgen und die Leitung der Organisationseinheit kontaktiert oder eingeladen wird. Ebenso k?nnen bei Bedarf weitere Personen hinzugezogen werden (bspw. Administratorinnen oder Administratoren, die Systemdetails kennen oder Sicherheitsexpertinnen oder -experten von au?erhalb der Universit?t).

Bestehen m?gliche Risiken für die Betroffenen, so wird der Vorfall schnellstm?glich (binnen 72 Stunden nach Bekanntwerden) der Aufsichtsbeh?rde gemeldet und ggf. werden auch die betroffenen Personen über die Datenschutzverletzung informiert. Aufgrund der Begründungspflicht gegenüber der Beh?rde bei einer versp?teten Meldung sollte immer der Zeitpunkt der Entdeckung protokolliert werden.

In jedem Falle wird der Vorfall hochschulintern dokumentiert und die betroffene Organisationseinheit sowie die Hochschulleitung erhalten einen entsprechenden Bericht.

Hintergrund

Die unbefugte Nutzung von sensiblen und/oder personenbezogenen Daten kann negative Folgen für die Universit?t und/oder die betroffene(n) Person(en) haben.

Im Falle einer ?Verletzung des Schutzes personenbezogener Daten“ (Datenschutzverletzung) ist die Universit?t gem?? Artikel 33 der Europ?ischen Datenschutzgrundverordnung (DSGVO) verpflichtet, schnell zu reagieren, wirksame Gegenma?nahmen zu ergreifen und binnen 72 Stunden den Vorfall ggf. der zust?ndigen Aufsichtsbeh?rde, d. h. der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW, zu melden.

Datenschutzverletzungen sind Verletzungen der Datensicherheit, die zur Vernichtung, zum Verlust oder zur Ver?nderung personenbezogener Daten führen bzw. diese gegenüber Unbefugten offenlegen oder einen unbefugten Zugang zu personenbezogenen Daten erm?glichen. (vgl. Art. 4 Nr. 12 DSGVO)

Damit die Universit?t ihrer Meldepflicht gem?? DSGVO fristgerecht nachkommen kann, ist sie darauf angewiesen, von ihren Besch?ftigten und Organisationseinheiten über s?mtliche Informationssicherheitsvorf?lle verl?sslich und unmittelbar nach Bekanntwerden informiert zu werden. Unerheblich ist dabei, ob die Vorf?lle innerhalb der Universit?t selbst erkannt, von einem Auftragsverarbeiter gemeldet oder von au?en an die Universit?t herangetragen werden.

Die Universit?t ist zur Dokumentation von Datenschutzverletzungen einschlie?lich aller Fakten, deren Auswirkungen und die diesbezüglich ergriffenen Ma?nahmen verpflichtet. Der Inhalt dieser internen Dokumentation geht über den Inhalt einer Meldung der Datenschutzverletzung an die Aufsichtsbeh?rde hinaus.