NR. 37 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Sie leiten das Datenschutzbüro eines Unternehmens, das Daten von Personen aus verschiedenen Ländern Europas und Amerikas verarbeitet. Sie beginnen an diesem Morgen mit der Überprüfung des Datenschutzes, als ein Vertragsbeauftragter Ihnen eine Nachricht schickt, in der er Sie um einen Anruf bittet. Der Nachricht mangelt es an Klarheit und Details, aber Sie vermuten, dass Daten verloren gegangen sind.
Als Sie sich mit dem Vertragsbeauftragten in Verbindung setzen, teilt er Ihnen mit, dass er einen Brief von einem Anbieter erhalten hat, in dem er behauptet, dass der Anbieter unrechtmäßig Informationen über Ihre Kunden weitergegeben hat. Er rief bei dem Anbieter an und bestätigte, dass Ihr Unternehmen vor kurzem genau 2000 Personen zu ihren jüngsten Erfahrungen im Gesundheitswesen befragt und diese Umfragen an den Anbieter geschickt hat, damit dieser sie in eine Datenbank überträgt, aber der Anbieter vergaß, die Datenbank wie im Vertrag versprochen zu verschlüsseln. Infolgedessen hat der Anbieter die Kontrolle über die Daten verloren.
Der Verkäufer ist äußerst entschuldigend und bietet an, die Verantwortung für den Versand der Benachrichtigungen zu übernehmen. Er sagt Ihnen, dass er 2000 frankierte Postkarten beiseite gelegt hat, weil das die Zeit bis zum Versand der Benachrichtigung verkürzen soll. Eine Seite ist auf das Logo des Unternehmens beschränkt, aber die andere Seite ist frei und sie akzeptieren alles, was Sie schreiben wollen. Sie stellen das Angebot zurück und beginnen, den Text unter Berücksichtigung des begrenzten Platzes zu entwickeln. Sie geben sich damit zufrieden, dass das Logo des Verkäufers mit der Mitteilung in Verbindung gebracht wird.
In der Benachrichtigung wird erklärt, dass Ihr Unternehmen vor kurzem einen Anbieter beauftragt hat, Informationen über die letzten Erfahrungen in der Klinik für Infektionskrankheiten des St. Sebastian Krankenhauses zu speichern. Der Anbieter hat die Informationen nicht verschlüsselt und hat keine Kontrolle mehr über sie. Alle 2000 betroffenen Personen werden gebeten, sich für E-Mail-Benachrichtigungen über ihre Daten anzumelden. Dazu müssen sie lediglich auf die Website Ihres Unternehmens gehen, eine kurze Werbung ansehen und dann ihren Namen, ihre E-Mail-Adresse sowie Geburtsmonat und -jahr angeben.
Sie schreiben eine E-Mail an den Krisenstab, um dessen Zustimmung vor 9 Uhr einzuholen. Wenn in dieser Situation etwas schief geht, wollen Sie die Schuld auf Ihre Kollegen verteilen. In den nächsten acht Stunden schickt jeder seine Kommentare per E-Mail hin und her. Der Berater, der das Notfallteam leitet, merkt an, dass dies sein erster Tag im Unternehmen ist, er aber schon seit 45 Jahren in anderen Branchen tätig ist und sein Bestes geben wird. Einer der drei Anwälte im Rat sorgt dafür, dass das Gespräch vom Kurs abweicht, aber schließlich kommt es wieder in Gang. Am Ende stimmen sie dafür, mit der von Ihnen verfassten Mitteilung fortzufahren und die Postkarten des Verkäufers zu verwenden.
Kurz nachdem der Verkäufer die Postkarten verschickt hat, erfahren Sie, dass die Daten auf einem Server gespeichert waren, der gestohlen wurde, und Sie beschließen, dass Ihr Unternehmen Kreditüberwachungsdienste anbieten soll. Eine schnelle Internetrecherche findet ein Kreditüberwachungsunternehmen mit einem überzeugenden Namen: Credit Under Lock and Key (CRUDLOK). Ihr Vertriebsmitarbeiter hat noch nie einen Vertrag für 2000 Personen abgewickelt, entwickelt aber innerhalb eines Tages ein Angebot, in dem steht, dass CRUDLOK dies tun wird:
1. am Tag nach der Unterzeichnung des Vertrags eine Einladung zur Einschreibung an alle Teilnehmer zu senden.
2.jemanden nur mit seinem Vornamen und den letzten 4 seiner nationalen Kennung erfassen.
3. das Guthaben jedes Antragstellers zwei Jahre lang ab dem Datum der Einschreibung zu überwachen.
4. monatlich eine E-Mail mit ihrer Bonitätsbewertung und Angeboten für kreditbezogene Dienstleistungen zu marktüblichen Preisen zu versenden.
5. 20% der Kosten für die Wiederherstellung des Guthabens werden Ihrem Unternehmen in Rechnung gestellt.
Sie schließen den Vertrag ab, und die Einladungen zur Teilnahme werden per E-Mail an die 2000 Personen verschickt. Drei Tage später setzen Sie sich hin und dokumentieren alles, was gut gelaufen ist und was besser hätte laufen können. Sie legen es in eine Akte, um beim nächsten Vorfall darauf zurückgreifen zu können.
Welcher der folgenden Punkte würde bei der Kreditüberwachung die größten Bedenken hervorrufen?
Eine Antwort hinterlassen