Anfang des Jahres 2019 sorgte ein Hackerangriff auf Politiker für Schlagzeilen. Die Hacker griffen auf Daten von Politikern zu und veröffentlichten diese, darunter E-Mail-Adressen, Telefonnummern und Privatadressen. Im September 2018 knackten Cyberkriminelle 50 Millionen Nutzerkonten von Facebook und hatten so Zugang zu diversen Profilinformationen. Auch der Computerhersteller Asus oder das Unternehmen Binance, eine der größten Plattformen für den Handel mit Kryptowährungen, wurden durch eine Sicherheitsverletzung erschüttert. Aber nicht nur die Global Player sind im Visier der Hacker. Viele Gemeinden, Arztpraxen oder Hotels greifen auf vernetzte Systeme zurück und verwalten so die Daten ihrer Kunden, Patienten und Mitarbeiter. Durch die Fülle an gespeicherten personenbezogenen Daten sind sie mittlerweile alle ein lohnendes Ziel für Cyberkriminelle.

Woran ist ein Angriff erkennbar?

„Sollten sich Dateien von selbst verschieben und installieren, sich ohne eigenes Zutun Fenster auf dem Desktop öffnen, der Prozessor ungewöhnlich viel arbeiten oder der Rechner unerklärlicherweise abstürzen, besteht die Gefahr, dass sich Schadprogramme im System breitgemacht haben oder gezielt von außen Zugriff auf gespeicherte Daten genommen wird“, sagt Axel Keller, Rechtsanwalt bei Ecovis in Rostock und externer Datenschutzbeauftragter.

Ein Angriff von außen auf die im System gespeicherten Daten ist aus datenschutzrechtlicher Sicht eine Datenpanne. In der Regel werden nämlich personenbezogene Daten wie Namen, Gesundheitsdaten, E-Mail-Adressen, Kontoverbindungen und Ähnliches gelöscht, offengelegt, verändert oder vernichtet. „Das stellt ein mitunter erhebliches Risiko für die betroffenen Personen dar“, sagt Keller.

Aus diesem Grund ist jeder entdeckte Hackerangriff oder auch ein Befall mit Schadsoftware grundsätzlich innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde zu melden, wenn die Panne zu „einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt“, so die Formulierung in Artikel 33 der Datenschutzgrundverordnung (DSGVO).

Meldepflicht, ja oder nein?

Die Einordnung, ob ein meldepflichtiger Verstoß vorliegt oder nicht, ist nicht immer einfach. „Für eine erste Einschätzung, ob ein hohes Risiko für die Betroffenen besteht, hilft die Überlegung, welche Schäden der Betroffene durch die Datenpanne erleiden könnte und welche Auswirkungen diese für ihn haben könnten“, erklärt Datenschutz-Experte Keller (siehe Tipp).

Zur Meldung einer Datenpanne stellen die Aufsichtsbehörden in der Regel entsprechende Formulare bereit. Inhalt einer solchen Meldung muss sein:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten (Daten wurden gestohlen oder sind verloren gegangen);
  • Kategorie der Betroffenen (handelt es sich um Kunden, Patienten, Mitarbeiter?);
  • ungefähre Anzahl der Betroffenen;
  • Beschreibung der wahrscheinlichen Folgen der Datenpanne;
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne oder zur Abmilderung ihrer Auswirkungen;
  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle.

Betroffene informieren

Daneben sind auch unverzüglich, das bedeutet so schnell wie möglich, der oder die Betroffenen von der Datenpanne in Kenntnis zu setzen. Sie sind in klarer und einfacher Sprache über den Datenschutzbeauftragten sowie über eine Beschreibung der Folgen und der getroffenen Maßnahmen zu informieren.

Sollte eine Datenpanne nicht oder verspätet gemeldet werden, droht ein Bußgeld für das Datenschutzvergehen. Aktuell wurde durch die Aufsichtsbehörde für eine verspätete Information Betroffener bei einer Datenpanne ein Bußgeld in Höhe von 20.000 Euro verhängt.

Um Datenpannen vorbeugen zu können, helfen wirksame Firewalls und Virenprogramme oder Intrusion-Detection-Systeme sowie die regelmäßige Sensibilisierung aller Mitarbeiter. „Wir empfehlen zudem, sich mit dem Prozedere im Fall einer Datenpanne zu beschäftigen, damit keine Zeit verloren geht, sollte tatsächlich ein Angriff von außen erfolgt sein“, rät Keller.

Notfallplan für Hackerangriff

Diese Schritte sind bei einer Datenpanne zu unternehmen

  • Feststellen der Datenpanne
  • Risikoanalyse durchführen
  • Meldepflichten erfüllen
  • Maßnahmen zur Behebung der Datenpanne abstimmen
  • Betroffene informieren

Axel Keller, Rechtsanwalt bei Ecovis in Rostock

Über ECOVIS AG Steuerberatungsgesellschaft

Das Beratungsunternehmen Ecovis unterstützt mittelständische Unternehmen. In Deutschland zählt es zu den Top 10 der Branche. Etwa 7.500 Mitarbeiterinnen und Mitarbeiter arbeiten in den mehr als 100 deutschen Büros sowie weltweit in Partnerkanzleien in über 75 Ländern. Ecovis betreut und berät Familienunternehmen, inhabergeführte Betriebe sowie Freiberufler und Privatpersonen. Um das wirtschaftliche Handeln seiner Mandanten nachhaltig zu sichern und zu fördern, bündelt Ecovis die nationale und internationale Fach- und Branchenexpertise aller Steuerberater, Wirtschaftsprüfer, Rechtsanwälte und Unternehmensberater. Jede Ecovis-Kanzlei kann auf diesen Wissenspool zurückgreifen.
Darüber hinaus steht die Ecovis Akademie für fundierte Ausbildung sowie für kontinuierliche und aktuelle Weiterbildung. All dies gewährleistet, dass die Beraterinnen und Berater ihre Mandanten vor Ort persönlich gut beraten.

www.ecovis.com

Firmenkontakt und Herausgeber der Meldung:

ECOVIS AG Steuerberatungsgesellschaft
Ernst-Reuter-Platz 10
10587 Berlin
Telefon: +49 89 5898-266
Telefax: +49 (30) 310008556
http://www.ecovis.com

Ansprechpartner:
Gudrun Bergdolt
ECOVIS AG Steuerberatungsgesellschaft*
Telefon: +49 (89) 5898-266
E-Mail: gudrun.bergdolt@ecovis.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel