Woran ist ein Angriff erkennbar?
„Sollten sich Dateien von selbst verschieben und installieren, sich ohne eigenes Zutun Fenster auf dem Desktop öffnen, der Prozessor ungewöhnlich viel arbeiten oder der Rechner unerklärlicherweise abstürzen, besteht die Gefahr, dass sich Schadprogramme im System breitgemacht haben oder gezielt von außen Zugriff auf gespeicherte Daten genommen wird“, sagt Axel Keller, Rechtsanwalt bei Ecovis in Rostock und externer Datenschutzbeauftragter.
Ein Angriff von außen auf die im System gespeicherten Daten ist aus datenschutzrechtlicher Sicht eine Datenpanne. In der Regel werden nämlich personenbezogene Daten wie Namen, Gesundheitsdaten, E-Mail-Adressen, Kontoverbindungen und Ähnliches gelöscht, offengelegt, verändert oder vernichtet. „Das stellt ein mitunter erhebliches Risiko für die betroffenen Personen dar“, sagt Keller.
Aus diesem Grund ist jeder entdeckte Hackerangriff oder auch ein Befall mit Schadsoftware grundsätzlich innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde zu melden, wenn die Panne zu „einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt“, so die Formulierung in Artikel 33 der Datenschutzgrundverordnung (DSGVO).
Meldepflicht, ja oder nein?
Die Einordnung, ob ein meldepflichtiger Verstoß vorliegt oder nicht, ist nicht immer einfach. „Für eine erste Einschätzung, ob ein hohes Risiko für die Betroffenen besteht, hilft die Überlegung, welche Schäden der Betroffene durch die Datenpanne erleiden könnte und welche Auswirkungen diese für ihn haben könnten“, erklärt Datenschutz-Experte Keller (siehe Tipp).
Zur Meldung einer Datenpanne stellen die Aufsichtsbehörden in der Regel entsprechende Formulare bereit. Inhalt einer solchen Meldung muss sein:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten (Daten wurden gestohlen oder sind verloren gegangen);
- Kategorie der Betroffenen (handelt es sich um Kunden, Patienten, Mitarbeiter?);
- ungefähre Anzahl der Betroffenen;
- Beschreibung der wahrscheinlichen Folgen der Datenpanne;
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne oder zur Abmilderung ihrer Auswirkungen;
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle.
Betroffene informieren
Daneben sind auch unverzüglich, das bedeutet so schnell wie möglich, der oder die Betroffenen von der Datenpanne in Kenntnis zu setzen. Sie sind in klarer und einfacher Sprache über den Datenschutzbeauftragten sowie über eine Beschreibung der Folgen und der getroffenen Maßnahmen zu informieren.
Sollte eine Datenpanne nicht oder verspätet gemeldet werden, droht ein Bußgeld für das Datenschutzvergehen. Aktuell wurde durch die Aufsichtsbehörde für eine verspätete Information Betroffener bei einer Datenpanne ein Bußgeld in Höhe von 20.000 Euro verhängt.
Um Datenpannen vorbeugen zu können, helfen wirksame Firewalls und Virenprogramme oder Intrusion-Detection-Systeme sowie die regelmäßige Sensibilisierung aller Mitarbeiter. „Wir empfehlen zudem, sich mit dem Prozedere im Fall einer Datenpanne zu beschäftigen, damit keine Zeit verloren geht, sollte tatsächlich ein Angriff von außen erfolgt sein“, rät Keller.
Notfallplan für Hackerangriff
Diese Schritte sind bei einer Datenpanne zu unternehmen
- Feststellen der Datenpanne
- Risikoanalyse durchführen
- Meldepflichten erfüllen
- Maßnahmen zur Behebung der Datenpanne abstimmen
- Betroffene informieren
Axel Keller, Rechtsanwalt bei Ecovis in Rostock
Das Beratungsunternehmen Ecovis unterstützt mittelständische Unternehmen. In Deutschland zählt es zu den Top 10 der Branche. Etwa 7.500 Mitarbeiterinnen und Mitarbeiter arbeiten in den mehr als 100 deutschen Büros sowie weltweit in Partnerkanzleien in über 75 Ländern. Ecovis betreut und berät Familienunternehmen, inhabergeführte Betriebe sowie Freiberufler und Privatpersonen. Um das wirtschaftliche Handeln seiner Mandanten nachhaltig zu sichern und zu fördern, bündelt Ecovis die nationale und internationale Fach- und Branchenexpertise aller Steuerberater, Wirtschaftsprüfer, Rechtsanwälte und Unternehmensberater. Jede Ecovis-Kanzlei kann auf diesen Wissenspool zurückgreifen.
Darüber hinaus steht die Ecovis Akademie für fundierte Ausbildung sowie für kontinuierliche und aktuelle Weiterbildung. All dies gewährleistet, dass die Beraterinnen und Berater ihre Mandanten vor Ort persönlich gut beraten.
www.ecovis.com
ECOVIS AG Steuerberatungsgesellschaft
Ernst-Reuter-Platz 10
10587 Berlin
Telefon: +49 89 5898-266
Telefax: +49 (30) 310008556
http://www.ecovis.com
ECOVIS AG Steuerberatungsgesellschaft*
Telefon: +49 (89) 5898-266
E-Mail: gudrun.bergdolt@ecovis.com