Woran ist ein Angriff erkennbar?

„Sollten sich Dateien von selbst verschieben und installieren, sich ohne eigenes Zutun Fenster auf dem Desktop öffnen, der Prozessor ungewöhnlich viel arbeiten oder der Rechner unerklärlicherweise abstürzen, besteht die Gefahr, dass sich Schadprogramme im System breitgemacht haben oder gezielt von außen Zugriff auf gespeicherte Daten genommen wird“, sagt Axel Keller, Rechtsanwalt bei Ecovis in Rostock und externer Datenschutzbeauftragter.

Ein Angriff von außen auf die im System gespeicherten Daten ist aus datenschutzrechtlicher Sicht eine Datenpanne. In der Regel werden nämlich personenbezogene Daten wie Namen, Gesundheitsdaten, E-Mail-Adressen, Kontoverbindungen und Ähnliches gelöscht, offengelegt, verändert oder vernichtet. „Das stellt ein mitunter erhebliches Risiko für die betroffenen Personen dar“, sagt Keller.

Aus diesem Grund ist jeder entdeckte Hackerangriff oder auch ein Befall mit Schadsoftware grundsätzlich innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde zu melden, wenn die Panne zu „einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt“, so die Formulierung in Artikel 33 der Datenschutzgrundverordnung (DSGVO).

Meldepflicht, ja oder nein?

Die Einordnung, ob ein meldepflichtiger Verstoß vorliegt oder nicht, ist nicht immer einfach. „Für eine erste Einschätzung, ob ein hohes Risiko für die Betroffenen besteht, hilft die Überlegung, welche Schäden der Betroffene durch die Datenpanne erleiden könnte und welche Auswirkungen diese für ihn haben könnten“, erklärt Datenschutz-Experte Keller (siehe Tipp).

Zur Meldung einer Datenpanne stellen die Aufsichtsbehörden in der Regel entsprechende Formulare bereit. Inhalt einer solchen Meldung muss sein:

• eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten (Daten wurden gestohlen oder sind verloren gegangen);
• Kategorie der Betroffenen (handelt es sich um Kunden, Patienten, Mitarbeiter?);
• ungefähre Anzahl der Betroffenen;
• Beschreibung der wahrscheinlichen Folgen der Datenpanne;
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne oder zur Abmilderung ihrer Auswirkungen;
• Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle.

Betroffene informieren

Daneben sind auch unverzüglich, das bedeutet so schnell wie möglich, der oder die Betroffenen von der Datenpanne in Kenntnis zu setzen. Sie sind in klarer und einfacher Sprache über den Datenschutzbeauftragten sowie über eine Beschreibung der Folgen und der getroffenen Maßnahmen zu informieren.

Sollte eine Datenpanne nicht oder verspätet gemeldet werden, droht ein Bußgeld für das Datenschutzvergehen. Aktuell wurde durch die Aufsichtsbehörde für eine verspätete Information Betroffener bei einer Datenpanne ein Bußgeld in Höhe von 20.000 Euro verhängt.

Um Datenpannen vorbeugen zu können, helfen wirksame Firewalls und Virenprogramme oder Intrusion-Detection-Systeme sowie die regelmäßige Sensibilisierung aller Mitarbeiter. „Wir empfehlen zudem, sich mit dem Prozedere im Fall einer Datenpanne zu beschäftigen, damit keine Zeit verloren geht, sollte tatsächlich ein Angriff von außen erfolgt sein“, rät Keller.

Notfallplan für Hackerangriff

Diese Schritte sind bei einer Datenpanne zu unternehmen

• Feststellen der Datenpanne
• Risikoanalyse durchführen
• Meldepflichten erfüllen
• Maßnahmen zur Behebung der Datenpanne abstimmen
• Betroffene informieren

Axel Keller, Rechtsanwalt bei Ecovis in Rostock