Skip to content

Sie bestätigen eine Datenpanne mit Kunden-PII, und die Rechtsabteilung zögert mit der Offenlegung. Was treibt der CISO voran?

Kurzantwort

Der Umgang mit einer Datenpanne wird durch Gesetz und Vertrag geregelt: mit der Rechtsabteilung die verpflichtenden Meldefristen einhalten (etwa die 72 Stunden der DSGVO an die Aufsichtsbehörde) und Betroffene korrekt informieren. Verschleierung birgt weit höhere Bußgelder, behördliche Maßnahmen und Reputationsschäden, wenn sie später ans Licht kommt. Das vorzeitige Veröffentlichen roher, ungeprüfter technischer Details kann Kunden in die Irre führen und Angreifern helfen. Einen einzelnen Mitarbeiter öffentlich zum Sündenbock zu machen ist weder korrekt, noch rechtmäßig, noch wirksames Krisenmanagement.

Eine bestätigte Datenpanne mit Kunden-PII ist kein rein technisches Ereignis mehr — sie ist ein rechtliches und regulatorisches. Das Szenario prüft, ob der CISO versteht, dass Offenlegungspflichten nicht optional sind und dass „Markenschutz" durch Verschweigen der schnellste Weg ist, die Marke zu zerstören.

Warum eine gesetzeskonforme, fristgerechte Offenlegung richtig ist

Die meisten Rechtsordnungen schreiben verpflichtende Meldepflichten vor. Nach der DSGVO muss der Verantwortliche die Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntnis einer Verletzung des Schutzes personenbezogener Daten benachrichtigen und die Betroffenen „unverzüglich" informieren, wenn ein hohes Risiko für ihre Rechte besteht. Die Aufgabe des CISO ist es, den Incident-Response-Prozess voranzutreiben und mit der Rechtsabteilung jede anwendbare Pflicht zuzuordnen — Behörden, Kunden, Vertragspartner — und korrekt offenzulegen, auch wenn sich das Bild noch formt. Eine ehrliche, gestaffelte Offenlegung („das wissen wir, das untersuchen wir noch") erfüllt das Gesetz und erhält das Vertrauen.

Warum die anderen Optionen scheitern

  • Schweigen, um die Marke zu schützen. Verschleierung ist das Gegenteil von Schutz. Sie verwandelt einen beherrschbaren Vorfall in einen Regelverstoß mit weit höheren Bußgeldern, und die Vertuschung schadet der Reputation meist mehr als die Panne selbst.
  • Sofort alle technischen Details veröffentlichen. Vorzeitige, ungeprüfte Veröffentlichungen können falsch sein, Kunden in die Irre führen und Angreifern eine Anleitung liefern. Offenlegung muss korrekt sein, nicht nur schnell und roh.
  • Einen Mitarbeiter öffentlich beschuldigen. Einen Sündenbock zu suchen ist unzutreffend (Pannen sind meist systemisch), rechtlich unbedacht und zersetzt die Kultur, die für frühzeitige Meldungen nötig ist.

Worauf der Interviewer achtet

Er will sehen, dass Sie Offenlegung als eine vom CISO in Partnerschaft mit der Rechtsabteilung vorangetriebene gesetzliche Pflicht behandeln, nicht als PR-Entscheidung zur Vermeidung von Peinlichkeit. Die reife Antwort verbindet Geschwindigkeit (die 72-Stunden-Frist) mit Genauigkeit, widersteht dem Instinkt zu verbergen, und greift nie zum Sündenbock. Der schwache Kandidat optimiert kurzfristigen Markenkomfort — genau das, was Behörden und Gerichte bestrafen.

Wahrscheinliche Anschlussfragen

  • Welchen Aufsichtsbehörden und Vertragsparteien würden Sie Meldepflichten zuordnen, und wie verfolgen Sie die Frist?
  • Wie legen Sie korrekt offen, wenn die Untersuchung noch läuft und die Fakten unvollständig sind?
  • Was ist der Unterschied zwischen der Meldung an eine Aufsichtsbehörde und der Benachrichtigung der betroffenen Personen?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.