Meldung von Gefährdungen oder Verletzungen des Schutzes personenbezogener Daten ("Datenpannen") und anderer Informationssicherheitsziele

Eine Verletzung des Schutzes personenbezogener Daten ist ein Ereignis, das zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt (Art. 4 Nr. 12 DS-GVO). Dieses kann erhebliche wirtschaftliche (z.B. Identitätsdiebstahl oder -betrug) oder gesellschaftliche Nachteile (z.B. Diskiminierung) für die betroffene natürliche Person nach sich ziehen. Darüber hinaus ergibt sich für die Universität Konstanz als Teil der Landesverwaltung Baden-Württemberg die Verpflichtung gegenüber den Bürgern und der Wirtschaft, verantwortungsvoll bei der Erhebung, Speicherung, Übermittlung und Nutzung von Daten vorzugehen (vgl. Ziff. 1 VwV Informationssicherheit).

Daher ist es erforderlich, rechtzeitig und angemessen auf Gefährdungen und Verletzungen der Ziele zu reagieren, damit schnellstmöglich und effizient Schäden vermeidende bzw. begrenzende Abhilfemaßnahmen eingeleitet werden können sowie Schadensereignisse dokumentiert und korreliert werden können.

Wenn Sie Kenntnis von einem Vorfall oder einer Gefährdung erlangen, bei denen der Schutz personenbezogener Daten oder eines anderen Zieles der Informationssicherheit verletzt ist oder konkret gefährdet erscheint, melden Sie dies bitte umgehend.

-> zum Meldeformular für eingetretene Vorfälle

Beispiele für Vorfälle können sein:

  • Versehentliche Falschadressierung vertraulicher Informationen an unberechtigte Empfänger
  • Versehentliche Veröffentlichung von personenbezogenen Daten im Internet
  • Dauerhafter Datenverlust nach versehentlicher Löschung, Unmöglichkeit der Wiederherstellung eines Backups
  • Diebstahl oder Verlust eines Datenspeichers (z.B. Laptops, USB-Stick), wenn die Daten nicht wirksam verschlüsselt sind
  • Technisches Versagen von Geräten, Software oder der genutzten Infrastruktur (z.B. ungeplanter Stromausfall)
  • Befall des Computers mit Ransomware (Erpressungssoftware) oder anderen Schadprogrammen
  • Datenzugriff infolge einer Hackerattacke auf eine Datenbank
  • Unberechtigtes Erlangen von Zugriffsrechten auf ein E-Mail-Postfach, z.B. nach Phishing-Angriff
  • Vorübergehende Verhinderung von Diensten, z.B. (D)DoS

-> zur Informationsseite bei gegenwärtigen Gefährdungen

Beispiele für Gefährdungen, die potenziell zu einem Vorfall werden können, es aber voraussichtlich noch nicht wurden, können sein:

  • Unverschlüsselte Passwortübermittlung
  • Verbreitung von E-Mails mit schadhaften Anhängen
  • Sicherheitslücken oder Schwachstellen in IT-Systemen, z.B. unzureichend gesicherte Fernwartungszugänge
  • Keine Berücksichtigung sicherheitstechnischer Anforderungen bei der Planung von Verarbeitungstätigkeiten
  • Auffällig hohes Netzwerkdatenaufkommen
  • Unverschlossene Büroräume
  • Verwendung desselben Passwortes für zwei oder mehrere Dienste
  • Laptop auf Dienstreisen, ohne eine wirksame Festplatten- / Datenverschlüsselung