Kein Unternehmen wünscht sich einen Hackerangriff oder möchte Opfer von Datenschutzverletzungen werden. Doch in letzter Zeit nehmen Angriffe auf die IT-Infrastruktur von Unternehmen, Behörden und IT-Dienstleistern immer weiter zu. Besonders betroffen sind Krankenhäuser, Gemeinden, Fertigungsunternehmen, Maschinenbauer, Immobilienunternehmen, Agenturen und E-Commerce-Unternehmen. Die Folgen solcher Angriffe sind vielfältig und reichen von Datenabfluss und Datenverschlüsselung über Verfügbarkeitsstörungen, finanzielle Verluste bis hin zu mehrwöchigen Systemausfällen.
Der folgende Artikel befasst sich mit der Meldepflicht für Datenschutzverletzungen nach Art. 33 der Datenschutz-Grundverordnung (DSGVO) und der Frage: Wann und wie müssen Cyberangriffe gemäß DSGVO an die Aufsichtsbehörde gemeldet werden?
Inhaltsverzeichnis
- Hackerangriff und Datenschutzverletzung nach DSGVO: Wie hängt das zusammen?
- Hackerangriff bei IT-Dienstleistern
- Vorgehensweise zur Erfüllung der DSGVO-Meldepflicht bei einer Datenschutzverletzung infolge eines Hackerangriffs
- Folgen von Defiziten bei der Erfüllung der Meldepflicht bei Cyberangriffen
- Fazit
- FAQ – Hackerangriff und Datenschutzverletzung
Hackerangriff und Datenschutzverletzung nach DSGVO: Wie hängt das zusammen?
Hackerangriffe und Datenschutzverletzungen verursachen nicht nur finanzielle und operative Probleme, sondern können auch das Vertrauen von Kunden und Geschäftspartnern erheblich beeinträchtigen, insbesondere wenn personenbezogene Daten betroffen sind. Eine gute Prävention und Absicherung der IT-Systeme ist daher essentiell, um auch den immateriellen Schaden einzudämmen. Dennoch lassen sich Cyberrisiken nie vollständig ausschließen, sondern lediglich minimieren. Unternehmen sind daher gut beraten, sich auf den Ernstfall eines Hackerangriffs vorzubereiten und so das hohe Risiko einzudämmen.
Viele Unternehmen gehen irrtümlicherweise davon aus, sie seien zu klein, haben deshalb ein geringes Risiko oder sind für Hacker uninteressant. Doch umfassende Angriffe auf bekannte Sicherheitslücken in betroffenen Systemen zeigen, dass diese Annahme trügerisch ist. Obwohl die meisten Angriffsversuche durch Sicherheitsmaßnahmen wie Firewalls oder Angriffserkennungssysteme abgewehrt werden, gibt es immer wieder erfolgreiche Hackerangriffe, die Angreifern Zugang zu IT-Komponenten und schlimmstenfalls zu personenbezogenen Daten verschaffen.
Im Falle eines Hackerangriffs liegt eine Datenschutzverletzung insbesondere vor, wenn:
- Unbefugte Offenlegung von personenbezogenen Daten erfolgt,
- personenbezogene Daten oder die betroffenen Datensätze durch den Angreifer verschlüsselt, verändert oder gelöscht wurden,
- ein Angreifer Zugriff auf eine Administrator-Kennung oder interne IT-Komponenten (z. B. Storage-Systeme, Backup-Systeme, virtuelle Server/Hypervisor) erlangt und nicht ausgeschlossen werden kann, dass personenbezogene Daten betroffen sind,
- der Verantwortliche selbst nicht mehr auf seine eigenen Daten zugreifen kann (Verfügbarkeitsverstoß).
Der Datenschutzbeauftragte muss in jedem Fall prüfen, ob aufgrund eines Hackerangriffs eine Datenschutzverletzung oder ein Verlust von Daten vorliegt. Sofern ein Verstoß gegen Datenschutzgrundsätze vorliegt, wird eine Meldung an die zuständige Aufsichtsbehörde nach Art. 33 DSGVO innerhalb von 72 Stunden erforderlich.
Hackerangriff bei IT-Dienstleistern
Viele Unternehmen lagern ihren IT-Betrieb teilweise oder vollständig an externe IT-Dienstleister aus. Doch auch IT-Dienstleister sind nicht vor Hackerangriffen gefeit. Oft herrscht der Irrglaube, dass die Bearbeitung solcher Sicherheitsvorfälle und die Erfüllung der Meldepflicht allein in der Verantwortung des IT-Dienstleisters liegen. Dies trifft jedoch nur auf dessen eigene Daten zu, nicht aber auf die Daten, die er für den Auftraggeber verarbeitet.
Das bedeutet, dass das datenschutzrechtlich verantwortliche Unternehmen als Auftraggeber weiterhin in der Verantwortung bleibt, selbst wenn der Angriff beim IT-Dienstleister stattgefunden hat. Dies gilt selbst dann, wenn der Dienstleister durch versäumte Sicherheitsupdates oder andere Versäumnisse den Angriff begünstigt hat.
Der IT-Dienstleister ist verpflichtet, seinen Auftraggeber über einen Datenschutzvorfall zu informieren. Der Auftraggeber wiederum muss die Meldepflicht nach Art. 33 DSGVO erfüllen. Dabei reicht es nicht aus, allgemeine Informationsschreiben des IT-Dienstleisters an die Aufsichtsbehörde weiterzuleiten. Vielmehr muss der Auftraggeber eigenständig eine Risikoanalyse der DSGVO-Verletzung durchführen und die Datenpanne bewerten.
Vorgehensweise zur Erfüllung der DSGVO-Meldepflicht bei einer Datenschutzverletzung infolge eines Hackerangriffs
Ein Hackerangriff löst meist eine umfassende Sachverhaltsermittlung aus, die eine sofortige Reaktion, forensische Analysen und gegebenenfalls polizeiliche Ermittlungen umfasst. Auch das Wiederherstellen der IT-Systeme sowie die Implementierung geeigneter Maßnahmen nehmen Zeit in Anspruch und es muss mit finanziellen Verlusten gerechnet werden.
Vor diesem Hintergrund empfehlen die Aufsichtsbehörden (z. B. das BayLDA) ein gestaffeltes Vorgehen. Auch der Europäische Datenschutzausschuss (EDSA) hat aktualisierte Leitlinien zur Meldung von Datenschutzverletzungen veröffentlicht, welche als Hilfestellung herangezogen werden können.
1. Schnelle Reaktion und innerhalb von 72 Stunden
Sobald nicht zweifelsfrei ausgeschlossen werden kann, dass infolge des Hackerangriffs Risiken für die Rechte und Freiheiten betroffener Personen bestehen, muss eine Meldung der Datenschutzverletzung im Sinne von Art. 33 DSGVO erfolgen. Diese sollte folgende Punkte enthalten:
- Alle bisher bekannten Fakten zum Angriff,
- eine erste Einschätzung zur Sensibilität der betroffenen Daten,
- eine grobe Angabe zur Anzahl der betroffenen Personen,
- Informationen darüber, ob eine Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO erforderlich ist.
2. Zwischenberichte alle zwei Wochen
Die Meldepflicht ist erst dann vollständig erfüllt, wenn alle gesetzlich geforderten Informationen über die Datenpanne an die Aufsichtsbehörde übermittelt wurden. Bei komplexeren Datenschutzvorfällen oder besonders sensiblen personenbezogenen Daten (z. B. Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO) empfiehlt es sich, alle zwei Wochen einen Zwischenbericht mit den wichtigsten Erkenntnissen und Fortschritten einzureichen. Dies betrifft insbesondere Krankenhäuser und andere medizinische Einrichtungen.
3. Abschlussbericht nach Aufklärung des Vorfalls
Nach vollständiger Aufklärung des Hackerangriffs ist einer der wichtigsten Schritte ein Abschlussbericht über die Datenschutzverletzung. Dieser sollte folgende Informationen enthalten:
- Endgültige Anzahl der betroffenen Personen und betroffenen Datenkategorien,
- detaillierte Risikoanalyse,
- forensischer Bericht zur Ursache und zu möglichen Datenabflüssen,
- ggf. polizeiliche Ermittlungsergebnisse,
- Ergebnisse einer Darknet-Recherche (falls Daten abgeflossen sind),
- ergriffene und geplante Maßnahmen,
- Nachweis der Erfüllung einer etwaigen Benachrichtigungspflicht gemäß Art. 34 DSGVO.
Folgen von Defiziten bei der Erfüllung der Meldepflicht bei Cyberangriffen
Defizite bei der Erfüllung der Meldepflicht nach Art. 33 DSGVO können Anlass für weitergehende behördliche Prüfungshandlungen sein. Im Einzelfall kann auch die Anordnung eines Verwarnungsgeldes oder Bußgeldes in Betracht kommen, insbesondere wenn wiederholte Datenschutzverletzungen darauf hinweisen, dass keine angemessenen Sicherheitsvorkehrungen getroffen wurden.
Fazit
Unternehmen sollten sich nicht nur auf die Abwehr von Cyberangriffen konzentrieren, sondern auch klare Prozesse für den Ernstfall etablieren. Eine entscheidende Rolle spielt dabei eine schnelle und strukturierte Reaktion auf künftige Angriffe, sowie eine gesetzeskonforme Meldung von Datenschutzverletzungen. Diese Datenschutz-Aspekte müssen bereits bei der Beschaffung einer IT-Dienstleistung berücksichtigt werden. Nur so lassen sich regulatorische Konsequenzen vermeiden und das Vertrauen von Kunden und Partnern bewahren.
FAQ – Hackerangriff und Datenschutzverletzung
Eine Datenschutzverletzung liegt vor, wenn personenbezogene Daten unbeabsichtigt oder unrechtmäßig verloren gehen, verändert, gelöscht oder unbefugten Dritten zugänglich gemacht werden. Eine Datenschutzverletzung nach DSGVO kann durch Hackerangriffe, technische Fehler oder menschliches Versagen verursacht werden.
Nicht jeder Hackerangriff führt automatisch zu einer Meldepflicht. Eine Meldung nach Art. 33 DSGVO ist erforderlich, wenn der Angriff eine Datenschutzverletzung verursacht hat und ein Risiko für die Rechte und Freiheiten betroffener Personen besteht. Dies nur dann der Fall, wenn personenbezogene Daten betroffen sind.
Die Meldung muss innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls bei der zuständigen Datenschutz-Aufsichtsbehörde erfolgen. Falls nicht alle Informationen sofort vorliegen, kann die Meldung schrittweise erfolgen.
Der Verantwortliche im Sinne der DSGVO – also das Unternehmen, das über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet – ist zur Meldung verpflichtet. Falls ein IT-Dienstleister betroffen ist, muss dieser das auftraggebende Unternehmen informieren, aber die Meldepflicht bleibt beim Auftraggeber.
Eine Meldung sollte folgende Informationen umfassen: Beschreibung der Art der Datenschutzverletzung, Anzahl und Kategorien der betroffenen Personen und Daten, Mögliche Folgen der Verletzung, Maßnahmen zur Behebung des Vorfalls. Ob betroffene Personen informiert wurden und ob eine solche Information geplant ist.
Gemäß Art. 34 DSGVO müssen betroffene Personen unverzüglich informiert werden, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht. Dies gilt insbesondere, wenn sensible Daten (z. B. Gesundheitsdaten) betroffen sind oder Identitätsdiebstahl droht.
Unternehmen, die ihre Meldepflicht nicht erfüllen, riskieren Geldbußen gemäß Art. 83 DSGVO. Die Strafen können bis zu 10 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen. Zudem kann die Aufsichtsbehörde weitere Maßnahmen anordnen.
Nein, viele Datenschutzaufsichtsbehörden bieten Online-Meldeformulare für Datenschutzverletzungen an. Unternehmen sollten sich mit den zuständigen Behörden und deren Anforderungen vertraut machen, um im Ernstfall schnell handeln zu können.
Die NIS-2-Richtlinie verpflichtet betroffene Unternehmen und Organisationen (z. B. kritische Infrastrukturen) zu verstärkten IT-Sicherheitsmaßnahmen. Bei erheblichen Cyberangriffen besteht eine zusätzliche Meldepflicht an die zuständige Cybersicherheitsbehörde.
Ein Sicherheitsvorfall muss gemeldet werden, wenn er erhebliche Auswirkungen auf die Erbringung von Diensten oder die Informationssicherheit hat. Die Meldepflicht besteht, wenn:
– ein Systemausfall kritische Dienste beeinträchtigt,
– ein Cyberangriff sensible Daten oder Betriebsprozesse gefährdet,
– ein Vorfall weitreichende Störungen für Kunden oder Lieferketten verursacht
Die NIS-2-Richtlinie sieht eine gestaffelte Meldepflicht vor:
1. Erstmeldung innerhalb von 24 Stunden nach Feststellung des Vorfalls
2. Detaillierte Zwischenmeldung innerhalb von 72 Stunden mit ersten Erkenntnissen
3. Abschlussbericht innerhalb eines Monats, inklusive forensischer Analyse und ergriffener Maßnahmen
Unternehmen, die die Meldepflicht nicht einhalten, müssen mit hohen Geldbußen rechnen. Diese können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen. Zudem können Behörden weitere Auflagen oder sogar Betriebsuntersagungen verhängen
Unternehmen sollten ein Incident-Response-Management implementieren, regelmäßige Sicherheitsaudits durchführen, Backups erstellen und ihre Mitarbeiter für IT-Sicherheitsrisiken sensibilisieren. Eine Notfallstrategie zur schnellen Reaktion auf Datenschutzverletzungen ist ebenfalls essenziell.
