ich frage mich, welche Pflichten ein Unternehmen und den DSB des Unternehmens in folgendem Fall treffen:
Ein Lieferant und ein Unternehmen sind vertraglich verbunden. Es handelt sich aber nicht um eine Auftragsverarbeitung.
Wenn beim Lieferanten nun ein Datenschutzvorfall (z.B. ein Hackerangriff) passiert und er dies dem Unternehmen mitteilt, was sollten das Unternehmen sowie der DSB des Unternehmens tun?
Meiner Meinung nach sollte das Unternehmen seine Mitarbeiter sensibilisieren, dass ggf. gefährliche E-Mails vom Account des Lieferanten an das Unternehmen gesendet werden könnten.
Mehr fällt mir allerdings nicht ein.
Muss der DSB dazu etwas dokumentieren?
Danke im Voraus für Eure Einschätzung.
Viele Grüße
dedsb
Da der Vorfall beim Lieferanten war, steht er unter der Verantwortung des Unternehmens, da der ein Dritter,
lt. Art. 4 Nr. 10 DSGVO, ist. Der Verantwortliche ist das Unternehmen, Art. 4 Nr. 7 DSGVO. Der Lieferant sollte also das Unternehmen davon in Kenntnis setzen. Daraufhin wird das Unternehmen weitere TOM vornehmen, bzw., bestehende anpassen.
Das vor 2 Tagen beschriebene bezog sich nur auf die Verarbeitung in einer Kunden-Logistiker-Beziehung.
Im Rahmen der Verarbeitung von Personaldaten (personenbezogene und besondere personenbezogene Daten) ist der Logistiker der Verantwortliche. Er hat seine Mitarbeiter, nach einem Angriff auf die Personalakte, zu informieren. Er sollte sich auch mit seinen TOMs beschäftigen. Hinzu tritt für den ihn auch die Meldepflicht gegenüber der Aufsichtsbehörde. Des Weiteren sollte er sich mit dem Thema DSFA beschäftigen, da eine Verarbeitung im Rahmen, Personalakte, des Art. 9 (MUSS-Liste) stattfindet - es besteht für die Mitarbeiter ein hohes Risiko. Die letzte DSFA muss ja gegenüber der Behörde gezeigt werden.
Der DSB des Unternehmens sollte nicht nur seine Mitarbeiter über die Gefahr informieren, sondern unverzüglich Maßnahmen dagegen einleiten. Also als allererstes dafür sorgen, dass von dem Lieferanten gar nichts mehr angenommen wird. Nicht nur E-Mails - ein Hacker kann auch das gehackte System als Ausgangsplattform für weitere Angriffe missbrauchen …
Und generell ist davon auszugehen, dass ein Hackerangriff eine Straftat ist. Die ist bei den für Strafverfolgung zuständigen Behörden (Polizei oder Staatsanwltschaft) zur Anzeige zu bringen.
Ein DSB hat überhaupt keine Befugnis dazu, irgendwelche Maßnahmen einzuleiten. Den Hackerangriff zur Anzeige zu bringen, ist außerdem Sache des Unternehmens, das gehackt wurde. Da kein AV-Verhältnis vorliegt, wird das Unternehmen es tunlichst unterlassen, irgend etwas zur Anzeige zu bringen, es sei denn, es ist von dem Angriff selbst auch betroffen.
Außerdem ist überhaupt nicht klar, welche Verantwortung der Lieferant für den Hackerangriff trägt. In Artikel 32 wird ein" Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung" verlangt. Einen 100%igen Schutz gegen Hackerangriffe gibt es nicht.
Ein Unternehmen muss bei Beauftragungen prüfen, ob ein Dienstleister die Anforderungen von Art. 32 erfüllt, mehr nicht.
Die Verantwortung für Beauftragungen liegt aber nicht beim DSB, sondern beim Verantwortlichen.
Dann frage ich mich, wozu der DSB überhaupt da sitzt. (Der BfDI kann wenigstens Verwarnungen aussprechen, der von NRW, den ich wegen eines dringenden Falls angeschrieben habe, hat da schon weiter reichende Befugnisse.)
Mir ist auch schleierhaft, was an der Verantwortung des Lieferanten zu deuteln wäre. (Dass es eine 100%ige Sicherheit nicht gibt, braucht einem altem ITler keiner zu erklären.) Aber einen Angriff nicht zur Anzeige zu bringen, von dem nicht nur das Unternehmen, sondern auch seine sämtliche Kunden betroffen sein könnten, ist schon sträflicher Leichtsinn.
Discalimer: Ich habe nur von meinem verfassungsmaßig verbrieften Recht auf freie Meinungsäußerung Gebrauch gemacht.
Wer hat behauptet, dass ein Unternehmen einen Hackerangriff auf seine Systeme nicht anzeigen soll? Aber doch bitte nur ein Unternehmen, das von einem Hackerangriff betroffen ist und genaue Angaben dazu machen kann.
Die Aufgaben des DSB sind im Gesetz klar definiert. Er ist als Ansprechpartner für Betroffene und als Berater des Verantwortlichen ja eingebunden. Aber er kann nicht die Aufgaben des Verantwortlichen übernehmen.
Und wer ist denn nun “der Verantwortliche”? In meinem Fall beobachte ich gerade mit wachsendem Amüsement, wie da die Verantwortung von einem zum anderen geschoben wird. Die lt. Impressum Verantwortliche hält sich fein 'raus, ist einfach abwesend. Dumm nur für die, an die sie die Verantwortung “delegiert” hat. Die ist damit hoffnungslos überfordert, aber die wird dann wohl den Schwarzen Peter fangen.
Interessant. Ich stehe seit einer guten Woche in regem Mailverkehr mit allen Adressen, derer ich so habhaft werden konnte. Die einzigen, die noch nie geantwortet haben, nicht mal eine Vertretung benannt, sind die Leitung.
Die letzen Mails gingen nur noch zwischen dem Justiziariat und mir hin und her. Nach dem letzten Wort des guten DSB (bevor er sich bis 9.10. verabschiedet hat), er wolle mit dem Justiziariat “mögliche strafrechtliche Schritte gegen mich erörtern”. Da ist die gute Frau Justiziarin schon etwas vorsichtiger: Kein Wort von Strafrecht, man behält sich nur “weitere Schritte vor”.
Das sehe ich anders: die „normale“ Lohnabrechnung erfordert keine DSFA.
Und dass die letzte DSFA der Aufsicht „gezeigt werden muss“ kann ich auch nicht nachvollziehen.
Oben sprach ich nicht von der Lohnbuchhaltung als solches.
Diese würde ich als Teil der Verarbeitung “Rechnungswesen” sehen. Hier hast du dann Recht das keine Daten i. R. d. Art. 9 DSGVO bearbeitet werden.
Wovon ich sprach waren Personaldaten. Diese kann man in einer Verarbeitung “Personalakte” zusammenfassen. Sie enthält neben normalem Daten (Name, Vorname, Lohndaten, …) auch Daten nach Art. 9 DSGVO (Gesundheitsdaten - Krankheiten, GdB, Religion, Gewerkschaftszugrhörigkeit, usw.).
Natürlich musst du die DSFA nich vorlegen bei der Aufsichtsbehörde.
Aber einmal erstellen und (wenn nötig) überprüfen.
