Richtlinie und Verfahren für Sicherheitsvorfälle und Datenverletzungen

Richtlinie und Verfahren für Sicherheitsvorfälle und Datenverletzungen

November 20, 2021

                                

a) Hintergrund

 

My Eco Best Friend als für die Datenverarbeitung Verantwortlicher und die entsprechenden beauftragten Datenverarbeiter unterliegen den Bestimmungen der Allgemeinen Datenschutzverordnung 2016/679 (GDPR) und müssen bei der Erhebung, Verarbeitung und Speicherung personenbezogener Daten und sensibler personenbezogener Daten, die von Mitarbeitern, Verkäufern, Kunden und der Öffentlichkeit für eine bestimmte Verwendung bereitgestellt werden, die erforderliche Sorgfalt walten lassen.

Der Schutz solcher Informationen und die Verhinderung ihrer Verletzung ist von wesentlicher Bedeutung, um sicherzustellen, dass My Eco Best Friend das Vertrauen der oben genannten betroffenen Personen behält. My Eco Best Friend unternimmt daher alle angemessenen Anstrengungen, um die unter der Kontrolle von My Eco Best Friend stehenden Daten vor unbefugtem Zugriff, Verwendung, Offenlegung, Löschung, Zerstörung, Beschädigung oder Entfernung zu schützen.

Obwohl alles getan wird, um Einrichtungen, Geräte, Ressourcen und Daten zu schützen, lassen sich manche Krisen kaum vermeiden. Verstöße gegen die Datensicherheit treten immer häufiger auf, unabhängig davon, ob sie durch menschliches Versagen oder durch böswillige Absicht verursacht werden. My Eco Best Friend muss daher über ein robustes und systematisches Verfahren verfügen, um auf alle gemeldeten Sicherheitsvorfälle zu reagieren und seine Informationswerte so weit wie möglich zu schützen.

Daher wird in dieser Richtlinie ein Verfahren festgelegt, das anzuwenden ist, wenn die geltenden Sicherheitsverfahren einen Verstoß nicht verhindern können. Ziel dieser Richtlinie ist es, die gruppenweite Reaktion auf alle gemeldeten Sicherheitsvorfälle zu standardisieren und sicherzustellen, dass sie angemessen protokolliert und gemäß den Best-Practice-Richtlinien gehandhabt werden.

Durch einen standardisierten, einheitlichen Ansatz für alle gemeldeten Vorfälle soll sichergestellt werden, dass:

Vorfälle werden rechtzeitig gemeldet und können angemessen behandelt werden.

Vorfälle von entsprechend befugtem und qualifiziertem Personal bearbeitet werden

Vorfälle werden auf allen Ebenen vertraulich behandelt (relevante Beteiligte werden nach dem Ermessen der leitenden Ermittler informiert).

die entsprechenden Managementebenen an der Reaktion beteiligt sind

Vorfälle werden erfasst und dokumentiert

die Auswirkungen der Vorfälle verstanden werden und Maßnahmen ergriffen werden, um weitere Vorfälle zu verhindern

Beweise gesammelt, aufgezeichnet und in einer Form aufbewahrt werden, die einer internen und externen Prüfung standhält

externe Stellen oder betroffene Personen bei Bedarf informiert werden

Vorfälle zeitnah behandelt werden und der normale Betrieb schnell wieder aufgenommen werden kann

Vorfälle werden überprüft, um Verbesserungen in der Politik zu ermitteln 

b) Definition

Für die Zwecke dieser Police bezeichnet der Begriff "Datenschutzverletzung" umfasst den Verlust der Kontrolle, die Kompromittierung, die unbefugte Offenlegung oder den unbefugten Zugang oder potenziellen Zugang zu personenbezogenen Daten, unabhängig davon, ob diese in physischer (Papier-) oder elektronischer Form vorliegen.

Eine Verletzung der Datensicherheit kann aus einer Reihe von Gründen geschehen, darunter:

Verlust, Änderung oder Diebstahl von Daten oder Geräten, auf denen Daten gespeichert sind (einschließlich Einbruch in unsere Geschäftsräume)

unangemessener/unbefugter Zugang zu vertraulichen oder streng vertraulichen Daten

Geräteausfall

menschliches Versagen, einschließlich unbeabsichtigter Offenlegungen, mangelnder Sorgfalt und/oder Missbrauch von technischen Mitteln

unvorhergesehene Umstände wie Überschwemmung oder Brand

ein Hackerangriff

Zugang, bei dem Informationen durch Täuschung der Organisation, die sie besitzt, erlangt werden

Für die Zwecke dieser Politik werden diese Gründe als "Sicherheitsvorfälle". Nicht alle Sicherheitsvorfälle führen zu einer Datenverletzung.

c) Umfang

Diese gruppenweite Richtlinie gilt für alle Mitarbeiter von My Eco Best Friend.

Diese Politik ist unter www.myecobestfriend.com abrufbar und wird dem Personal bei der Einarbeitung und bei den regelmäßigen Mitarbeiterschulungen mitgeteilt.

My Eco Best Friend erwartet, dass alle Auftragnehmer von My Eco Best Friend, Lieferanten oder andere Parteien, die im Namen von My Eco Best Friend handeln (zusammenfassend "Externe Parteien"), die personenbezogene Daten erheben oder verwalten, diese Richtlinie befolgen, unabhängig davon, ob sie die Systeme und Datenverwaltungstools von My Eco Best Friend und/oder ihre eigenen nutzen. Die Mitarbeiter von My Eco Best Friend sind dafür verantwortlich, dass alle externen Parteien, mit denen sie zur Unterstützung des Betriebs von My Eco Best Friend zusammenarbeiten, diese Richtlinie einhalten.

d) Verantwortung

Die Mitarbeiter sind dafür verantwortlich, dass in allen Einrichtungen und Ressourcen, die ihrer Kontrolle unterstehen, angemessene und ausreichende Schutzmaßnahmen und Kontrollen vorhanden sind und durchgeführt werden, und sie müssen feststellen, wo dies nicht der Fall ist. Die Vorgesetzten sind dafür verantwortlich, dass die Mitarbeiter in ihrem Bereich diese Richtlinie befolgen und alle damit verbundenen Verfahren einhalten.

Der behördliche Datenschutzbeauftragte (DSB) ist für die Überwachung des Umgangs mit Verstößen zuständig.

My Eco Best Friend Datenschutzbeauftragter:

Gaëtan Bio

Chemin du Creux-Bechet, 6, 1096, Villette (Schweiz)

T: +41 (0)79 847 91 55

contact@myecobestfriend.com

Die Rechtsabteilung führt regelmäßige Überprüfungen der bestehenden Maßnahmen und Praktiken durch.

e) T MINUS 72 STUNDEN VERFAHREN

Meldung von Sicherheitsvorfällen - Meldepflicht für jeden Mitarbeiter 

Bestätigte oder vermutete IT-Sicherheitsvorfälle sollten immer unverzüglich per E-Mail an die IT-Sicherheitsabteilung als erste Anlaufstelle gemeldet werden. contact@myecobestfriend.com

Wenn ein Mitarbeiter feststellt oder vermutet, dass personenbezogene Daten aus einem anderen Grund als einem IT-Sicherheitsvorfall gefährdet sind (z. B. durch den Verlust eines tragbaren Geräts, falsch adressierte Etiketten, sensible Informationen, die an einem Ort zurückgelassen wurden, an dem sie von Unbefugten eingesehen werden könnten - z. B. nicht ordnungsgemäß entsorgte oder auf dem Kopierer zurückgelassene Fotokopien), muss er unverzüglich seinen Vorgesetzten informieren.

Bei einem potenziellen Interessenkonflikt oder aus anderen Gründen kann eine solche Meldung im Interesse der Vertraulichkeit direkt an den DSB gerichtet werden.

In beiden Fällen kann der Mitarbeiter, der den Sicherheitsvorfall meldet, aufgefordert werden, den Bericht über eine Verletzung der Datensicherheit auszufüllen (siehe Anhang 1).


 
2) Eindämmung von Verstößen

Verstöße gegen die Datensicherheit sollten sofort nach Bekanntwerden eines solchen Verstoßes eingedämmt und behoben werden.

Der Mitarbeiter und/oder die IT-Sicherheitsabteilung werden versuchen, die Angelegenheit einzudämmen und eine weitere Gefährdung der personenbezogenen Daten zu verhindern, wobei sie die "DOs and DON'Ts for IT systems" (DOs and DON'Ts for IT systems) beachten, die unter Anhang 2. Je nach Art der Bedrohung für die personenbezogenen Daten kann dies bedeuten, dass einige oder alle PCs, Netzwerke usw. unter Quarantäne gestellt werden und das Personal aufgefordert wird, nicht auf PCs, Netzwerke usw. zuzugreifen. Ebenso kann es eine Quarantäne des/der manuellen Datenspeicher und anderer Bereiche bedeuten, die angemessen sind. In einem ersten Schritt sollte eine Prüfung der gespeicherten Aufzeichnungen oder des/der Sicherungsserver(s) durchgeführt werden, um festzustellen, welche Art von personenbezogenen Daten möglicherweise offengelegt wurde.

3) Folgenabschätzung

 

Parallel bzw. im Anschluss an die sofortige Eindämmung müssen die Risiken bewertet werden, die mit dem Verstoß verbunden sein können, sowie die möglichen negativen Folgen für die betroffenen Personen und für My Eco Best Friend selbst.

Wenn die betreffenden Daten durch technische Maßnahmen geschützt sind, die sie für Personen, die nicht zum Zugriff auf sie berechtigt sind, unverständlich machen, kann My Eco Best Friend zu dem Schluss kommen, dass kein Risiko für die Daten besteht und daher keine Notwendigkeit besteht, den DSB zu informieren. Eine solche Schlussfolgerung wäre jedoch nur dann gerechtfertigt, wenn die technischen Maßnahmen (wie z. B. die Verschlüsselung) einen hohen Standard aufweisen. Darüber hinaus muss jeder Sicherheitsvorfall, der mehr als 100 betroffene Personen betrifft oder sensible personenbezogene Daten oder personenbezogene Daten finanzieller Art umfasst, immer an den DSB weitergeleitet werden.

Erfolgt keine Meldung an den behördlichen Datenschutzbeauftragten, so führt My Eco Best Friend eine zusammenfassende Aufzeichnung des Sicherheitsvorfalls, da alle Datensicherheitsvorfälle zentral im IT-Service-Management-System (ITSM-System) protokolliert werden müssen, um eine angemessene Übersicht über die Art und Häufigkeit der Vorfälle für Verwaltungs- und Berichtszwecke zu gewährleisten.

Sofern My Eco Best Friend nicht zu dem Schluss kommt, dass kein Risiko für die Daten besteht und daher keine Notwendigkeit besteht, den DSB zu informieren, wird dieser unverzüglich vom IT-Sicherheitsteam (gegebenenfalls dem Informations- und Sicherheitsbeauftragten (CISO)) informiert, um ein kleines Team von Personen zusammenzustellen, das die potenzielle Gefährdung/den potenziellen Verlust bewertet. Dieses Team unterstützt den CISO, den DSB (und gegebenenfalls den Manager) bei den praktischen Fragen im Zusammenhang mit dieser Strategie und den Verfahren. Die Maßnahmen werden gemäß den Anweisungen/Beratungen des speziellen Teams durchgeführt. Jedem Teammitglied steht ein Ersatzmitglied zur Seite, um Urlaub, Krankheitsurlaub usw. abzudecken.

Während der Untersuchung sollte das Team versuchen, Informationen zu sammeln, die für die Beurteilung der Frage nützlich sind, ob My Eco Best Friend verpflichtet ist, Aufsichtsbehörden und betroffene Personen zu benachrichtigen.

Die Art der betroffenen Daten;Um die potenzielle Exposition/den potenziellen Verlust zu bewerten, müssen folgende Punkte berücksichtigt werden:

  1. ob die Daten sensibel sind oder für Identitätsbetrug verwendet werden können
  2. Ob es sich um viele Einzelpersonen handelt
  3. Wenn Daten verloren gegangen sind oder gestohlen wurden, ob Verschlüsselungsschutzmaßnahmen vorhanden sind;
  4. Was mit den Daten geschehen ist, z. B. die Möglichkeit, dass sie verwendet werden, um der/den Person(en) Schaden zuzufügen usw...

Das Team kann auch die Hinweise zur "Übersicht über die Einstufung des Datenschutzrisikos" in Anhang 3 berücksichtigen.

4) Benachrichtigungen

 

  1. Aufsichtsbehörde

Da der Auslöser für die 72-Stunden-Frist für die Benachrichtigung der Aufsichtsbehörde im Wesentlichen rechtlicher Natur ist, sollten Anwälte und andere für die Einhaltung der Vorschriften zuständige Mitarbeiter die endgültige Entscheidung darüber treffen, ob ein Vorfall eine Verletzung des Schutzes personenbezogener Daten darstellt, die eine Benachrichtigung der Aufsichtsbehörde erfordert.

Die Benachrichtigung muss Folgendes enthalten: (1) Art, Ausmaß und Auswirkungen der Verletzung; (2) möglicherweise betroffene personenbezogene Daten; (3) Maßnahmen, die zur Behebung der Verletzung ergriffen wurden; (4) Angaben zum behördlichen Datenschutzbeauftragten oder zu der vom behördlichen Datenschutzbeauftragten benannten Kontaktperson, die zusätzliche Informationen bereitstellen kann; und (5) jegliche Unterstützung für die betroffene Person.

ii. Datensubjekt

Wenn dies gesetzlich vorgeschrieben ist, wird das Team unter der Leitung des Datenschutzbeauftragten unverzüglich prüfen, ob die Betroffenen informiert werden müssen.1. Insbesondere soll das Team:

Kontaktaufnahme mit den betroffenen Personen (per Telefon/E-Mail usw.), um ihnen mitzuteilen, dass eine unbefugte Weitergabe/Verlust/Zerstörung oder Änderung der personenbezogenen Daten der betreffenden Person stattgefunden hat

Soweit möglich und sobald es machbar ist, wird die Datensubjekte (d.h. Personen, auf die sich die Daten beziehen) informiert werden sollten:

die Art der Daten, die potenziell gefährdet/kompromittiert wurden;

den Grad der Sensibilität dieser Daten und

einen Überblick über die Maßnahmen, die My Eco Best Friend zur Eindämmung oder Sanierung zu ergreifen gedenkt

Einzelpersonen sollten darüber informiert werden, ob My Eco Best Friend beabsichtigt, andere Aufsichtsbehörden zu kontaktieren.

Schließlich sollte der Einzelne konkrete und klare Ratschläge erhalten, wie er sich selbst schützen kann und was My Eco Best Friend für ihn tun kann.

Die Sicherheit des Mediums, das für die Benachrichtigung von Personen über einen Verstoß verwendet wird, und die Dringlichkeit der Situation sollten berücksichtigt werden.

5) Medienanfragen und andere Dritte

 

Anfragen der Medien zu dem Verstoß werden stets vom Leiter der Abteilung Kommunikation bearbeitet.

My Eco Best Friend prüft auch, ob Polizei, Versicherer, Datenverarbeiter oder beispielsweise Banken benachrichtigt werden sollten.

f) Dokumentieren, Untersuchen und Umsetzen von Änderungen

 

Es ist wichtig, dass alle Sicherheitsvorfälle und tatsächlichen Datenschutzverletzungen dokumentiert und untersucht werden und die Reaktion auf die Verletzung auf ihre Wirksamkeit hin bewertet wird.

Alle Verstöße gegen die Datensicherheit werden daher zentral im ITSM-System protokolliert, um einen angemessenen Überblick über die Art und Häufigkeit der bestätigten Vorfälle für Verwaltungs- und Berichtszwecke zu gewährleisten[1], es sei denn, die Aufsichtsbehörden haben zu Ermittlungszwecken eine Verzögerung verlangt. Erhält My Eco Best Friend eine solche Anweisung von den Aufsichtsbehörden, sollte es sorgfältige Notizen über die erhaltenen Hinweise machen (einschließlich Datum und Uhrzeit des Gesprächs sowie Name und Rang der Person, mit der es gesprochen hat). Wenn möglich, sollte My Eco Best Friend darum bitten, die Anweisungen schriftlich auf Briefpapier der Aufsichtsbehörde zu erhalten, oder, wenn dies nicht möglich ist, sollte My Eco Best Friend an die zuständige Strafverfolgungsbehörde schreiben, dass "wir nehmen Ihre Anweisungen zur Kenntnis, die uns von Ihrem Bediensteten [Name des Bediensteten einfügen] am XX Tag des XX um XX Uhr nachmittags erteilt wurden, dass wir für einen Zeitraum von XXX/bis zu einer weiteren Mitteilung Ihrerseits, dass wir die von der Datenschutzverletzung betroffenen Personen informieren dürfen, aufschieben sollten."

Es sollte eine vollständige Überprüfung vorgenommen werden. Das Personal sollte über alle Änderungen an dieser Politik und über verbesserte Sicherheitsmaßnahmen informiert werden. Das Personal sollte erforderlichenfalls eine Auffrischungsschulung erhalten.

g) Umsetzung und Überprüfung

 

Diese Politik kann im Lichte von Änderungen in der Gesetzgebung, rechtlicher Beratung und dem Aufkommen relevanter neuer Technologien überprüft werden.

Anhang 1- Verletzung der Datensicherheit - Vorfallsbericht

Senden Sie dieses Formular per E-Mail an IT Security contact@myecobestfriend.com

Rufen Sie immer den CISO oder den IT Incident Manager an um sie auf den Verstoß aufmerksam zu machen vor dieses Formular zu senden.

 

 

Bitte geben Sie so viele Informationen/Details wie möglich an

möglich:

Beschreibung des Sicherheitsvorfalls/Datenverstoßes

 

Bestätigter oder vermuteter Verstoß?

 

Wer meldet die Sicherheitsverletzung: Name/Abteilung

 

Uhrzeit und Datum, an dem der Sicherheitsvorfall/-verstoß festgestellt wurde und von wem

 

Gab es weitere Zeugen? Wenn ja, geben Sie die Namen an.

 

Ursache des Verstoßes?

- Unfall oder Versehen,

- Technischer Fehler,

- Vorsätzlicher Diebstahl oder Fehlverhalten,

- Unbefugtes Surfen,

- Sonstiges (bitte beschreiben),

- Unbekannt

 

Erste Klassifizierung der verletzten Daten

- Öffentliche Daten

- Interne Daten

- Persönliche Daten

- Sensible Daten

 

 

Umfang der betroffenen Daten 

Sehr wenige (weniger als 20)

Identifizierte und begrenzte Gruppe (>20 und

<100)

Große Anzahl von Personen betroffen (>100)

Die Zahlen sind nicht bekannt

 

Sind die von der Sicherheitsverletzung betroffenen Personen Studenten/Sponsoren, Mitarbeiter oder beides?

 

Sind Ihnen die betroffenen Personen bekannt (Liste beifügen)?

 

Beziehen sich die Daten auf gefährdete Gruppen?

 

An wen wurden die Daten weitergegeben bzw. von wem wurde darauf zugegriffen, falls bekannt?

 

Arten von Schäden, die durch die Verletzung entstehen können

- Identifizieren Sie den Diebstahl

- Körperlicher Schaden

- Verletzung, Demütigung, Rufschädigung

- Verlust von Geschäfts- oder Beschäftigungsmöglichkeiten

- Verstoß gegen vertragliche Verpflichtungen

 

Wurde die Verletzung eingedämmt oder dauert sie noch an?

 

Wenn ja, welche Maßnahmen werden ergriffen, um die Daten wiederherzustellen?

 

Waren irgendwelche IT-Systeme beteiligt? Wenn ja, führen Sie diese bitte auf.

 

Gab es zum Zeitpunkt des Verstoßes Verschlüsselungsmaßnahmen?

 

Ist es schon einmal zu einem derartigen Verstoß gekommen?

 

Gibt es noch andere Personen, die über Risiken/Maßnahmen beraten können?

 

Alle anderen relevanten Informationen

Wenn z. B. die Bankdaten von Einzelpersonen verloren gegangen sind, sollten Sie sich an die Banken selbst wenden, um sich beraten zu lassen, was sie tun können, um eine betrügerische Nutzung zu verhindern, aber auch an Polizei, Versicherungen, Gewerkschaften, Datenverarbeiter usw..

 

Empfangen von:

 

Datum/Uhrzeit:

 

Verstoß-ID:

 

 

Anhang 2 - DOs und DON'Ts bei der Reaktion auf Zwischenfälle in IT-Systemen


DOs

sofortige Isolierung des betroffenen Systems, um weiteres Eindringen, die Freigabe von Daten, Schäden usw. zu verhindern

das Telefon benutzen, da der Angreifer in der Lage sein könnte, den E-Mail-Verkehr zu überwachen

alle sachdienlichen Protokolle aufbewahren, z. B. Firewall, Router und Eindringlingserkennungssystem

Sicherungskopien von beschädigten oder geänderten Dateien anzufertigen und diese Sicherungskopien an einem sicheren Ort aufzubewahren

festzustellen, wo sich das betroffene System innerhalb der Netztopologie befindet

alle Systeme und Agenturen identifizieren, die mit dem betroffenen System verbunden sind

Ermittlung der Programme und Prozesse, die auf dem/den betroffenen System(en) laufen, der Auswirkungen der Unterbrechung und der maximal zulässigen Ausfallzeit

für den Fall, dass das betroffene System als Beweismittel eingezogen wird, Vorkehrungen für die Kontinuität der Dienste zu treffen, d. h. ein redundantes System vorzubereiten und Datensicherungen zu erstellen

DON'Ts

das Problem mit einer anderen Person als Ihrem direkten Vorgesetzten und den in Abschnitt 3 aufgeführten Empfängern zu besprechen

Dateien auf den betroffenen Systemen zu löschen, zu verschieben oder zu verändern

Kontaktaufnahme mit dem mutmaßlichen Täter

eine kriminaltechnische Analyse durchführen

Anhang 3 - Übersicht über die Einstufung des Datenschutzrisikos

 

 

Faktor

RISIKO-BEWERTUNG

LOW

MEDIUM

HOCH

Art der personenbezogenen Informationen

Öffentlich zugängliche persönliche Informationen, die nicht mit anderen Informationen verknüpft sind

Persönliche Informationen, die für die Organisation einzigartig sind und nicht zu den medizinischen oder finanziellen Informationen gehören

Medizinische, psychologische, beratende oder finanzielle Informationen oder eine eindeutige Kennung einer öffentlichen Einrichtung

Nummer

Beziehungen

Versehentliche Weitergabe an den Vertragspartner, der den Verstoß gemeldet und die Vernichtung oder Rückgabe der Informationen bestätigt hat

Versehentliche Offenlegung gegenüber einer

Unbekannter, der den Verstoß gemeldet und bestätigt hat

Vernichtung oder Rückgabe der Informationen

Offenlegung gegenüber einer Person mit einer gewissen Beziehung

an die betroffene(n) Person(en) oder deren Kenntnis, insbesondere Offenbarungen gegenüber motivierten Familienmitgliedern, Nachbarn oder Arbeitskollegen

     

Diebstahl

Ursache des Verstoßes

Technischer Fehler, der behoben wurde

Versehentlicher Verlust oder Offenlegung

Vorsätzlicher Verstoß. Ursache unbekannt Technischer Fehler - wenn

nicht geklärt

Umfang

Sehr wenige betroffene Personen

Identifizierte und eingeschränkte Gruppe von betroffenen Personen

Große Gruppe oder gesamter Umfang der Gruppe nicht identifiziert

(über 100)

 

Bemühungen zur Eindämmung

Die Daten waren ausreichend verschlüsselt

 

Das tragbare Speichermedium wurde aus der Ferne gelöscht, und es gibt Beweise dafür, dass vor der Löschung kein Zugriff auf das Gerät erfolgte.

 

Hardcopy-Dateien oder -Geräte wurden fast sofort wiederhergestellt und alle Dateien scheinen intakt und/oder ungelesen zu sein

Das tragbare Speichermedium wurde innerhalb weniger Stunden nach dem Verlust aus der Ferne gelöscht, aber es gibt keine Beweise dafür, dass vor der Löschung kein Zugriff auf das Gerät erfolgte.

 

Hardcopy-Dateien oder -Geräte wurden wiederhergestellt, aber zwischen dem Verlust und der Wiederherstellung ist genügend Zeit vergangen.

Wiederherstellung, die die Daten haben könnten

zugegriffen worden

Daten wurden nicht verschlüsselt

 

Die Daten, Dateien oder das Gerät wurden nicht wiederhergestellt

 

Daten, bei denen die Gefahr einer weiteren Veröffentlichung besteht, insbesondere durch Massenmedien oder online

Vorhersehbarer Schaden durch den Verstoß

Kein vorhersehbarer Schaden durch den Verstoß

Verlust von Geschäfts- oder Beschäftigungsmöglichkeiten, Verletzung, Demütigung, Schädigung des Rufs oder der Beziehungen, sozialer/relationaler Schaden

Verlust des Vertrauens in My Eco Best Friend Verlust von My Eco Best Friend-Vermögenswerten Verlust von My Eco Best Friend-Verträgen oder -Geschäften Finanzielles Risiko

Sicherheitsrisiko (z. B. physische Sicherheit) Identifizierung des Diebstahl- oder Betrugsrisikos

Verletzung, Demütigung, Rufschädigung können je nach den Umständen ebenfalls ein hohes Risiko darstellen