Was ist ein Data Breach?

Ein Data Breach (= Datenpanne) ist dann anzunehmen, wenn Unberechtigten personenbezogene Daten bewusst oder unbewusst bekannt geworden sind. Das kann zum Beispiel der Fall sein bei einem Verlust eines USB-Stick auf dem personenbezogene Daten von Kunden oder Mitarbeitern gespeichert sind. Ebenso können der Diebstahl eines beruflich genutzten Smartphones oder die Weitergabe von Listen mit personenbezogenen Daten per E-Mail eine meldepflichtige Datenpanne darstellen.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, wie Name, Anschrift, Geburtsdatum, Bankverbindung, Telefonnummer oder Kunden-ID.

Typische meldepflichtige Data Breach-Vorfälle:

• Eine Liste mit den Namen und Privatadressen von OSRAM Mitarbeitern wird versehentlich an den falschen Adressaten geschickt.
• Ein Hackingangriff führt dazu, dass die Angreifer Zugriff auf eine Kundendatenbank von OSRAM erhalten oder ein solcher Zugriff zumindest nicht ausgeschlossen werden kann.
• Bei einem Umzug in andere Büroräume werden Ordner mit Mitarbeiterstammdaten falsch adressiert, sodass Unberechtigte Kenntnis von den Unterlagen erlangen können.
• Ausgedruckte Kunden-/Mitarbeiterlisten werden mit dem normalen Papiermüll entsorgt und nicht in die „Datenschutztonne“ geworfen.
• Ein Dienstleister erhält vollständigen Zugriff auf ein Customer Relationship Management Tool, obwohl dies für seine Aufgaben nicht erforderlich ist.
• Aufgrund eines Softwarefehlers sind Kundendaten aus einem Kundenportal ohne vorherige Registrierung zugänglich.

Was bedeutet „meldepflichtig“?

„Meldepflichtig“ bedeutet, dass OSRAM den Vorfall der zuständigen Aufsichtsbehörde und gegebenenfalls auch den von dem Vorfall betroffenen Personen zur Kenntnis geben muss.

Wie schnell muss ich einen Data Breach-Vorfall melden?

OSRAM hat für die Meldung an die zuständige Aufsichtsbehörde teilweise nur 48-72 Stunden Zeit. Diese Frist ist abhängig von den jeweiligen länderspezifischen Gesetzen und Verordnungen. Daher ist es wichtig, dass Sie einen möglichen Data Breach-Vorfall so schnell wie möglich dem Corporate Data Protection Officer melden. „Tell OSRAM“ gibt Ihnen eine gute Hilfestellung und unterstützt Sie dabei (siehe nächster Punkt).

Wie kann ich einen Data Breach melden?

Um einen Data Breach zu melden, klicken Sie einfach links oben auf unserer Einführungsseite auf den Button „Meldung abgeben“. Sie werden dann durch den Meldeprozess geleitet. Im Laufe des Meldeprozesses haben Sie die Möglichkeit, Dateien mit einer Größe von bis zu 5 MB als Anhang zu Ihrer Meldung beizufügen. Im Anschluss an Ihre Meldung erhalten Sie eine automatisch generierte Referenznummer, die Sie bitte bei Ergänzungen oder Rückfragen angeben. Für die weitere Kommunikation mit uns können Sie sich einen besonders geschützten Postkasten einrichten. Die Einrichtung eines solchen Postkastens ist für die Abgabe einer Meldung aber nicht erforderlich. Auch außerhalb von „Tell OSRAM“ können Sie eine Meldung jederzeit an privacy@osram.com senden.

Welche Risiken folgen aus einem Data Breach?

Data Breach-Vorfälle können das Ansehen und den guten Ruf von OSRAM als zuverlässiges und vertrauenswürdiges Unternehmen beschädigen und dadurch geschäftsschädigend wirken. Darüber hinaus können die zuständigen Aufsichtsbehörden hohe Bußgelder oder andere Sanktionen, wie beispielsweise umfangreiche Prüfpflichten, gegen OSRAM verhängen. Auch Schadensersatzansprüche der Betroffenen sind möglich.