Cyberangriffe und Datenschutzverletzungen gehören inzwischen zum Alltag vieler Unternehmen, Behörden und Dienstleister. Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) weist auf eine zunehmende Zahl gemeldeter Vorfälle hin und fordert Verantwortliche sowie IT-Dienstleister zu wirksamen Schutzmaßnahmen auf. Sobald personenbezogene Daten bei einem Cyberangriff betroffen sind, stellen sich unmittelbar datenschutzrechtliche Fragen. Im Mittelpunkt stehen insbesondere die Pflichten nach Art. 33 und Art. 34 DSGVO. Verantwortliche müssen kurzfristig prüfen, ob eine Meldung an die Aufsichtsbehörde erforderlich ist und ob betroffene Personen zu benachrichtigen sind.
Wann liegt eine Datenschutzverletzung vor?
Die DSGVO spricht von einer „Verletzung des Schutzes personenbezogener Daten“. Erfasst sind Fälle, in denen personenbezogene Daten vernichtet werden, verloren gehen, verändert, unbefugt offengelegt oder zugänglich gemacht werden. Eine solche Verletzung kann durch einen Cyberangriff, aber auch durch technisches Versagen oder menschliches Versehen verursacht werden.
Bei Cyberangriffen besteht regelmäßig das Risiko, dass Angreifer personenbezogene Daten kopieren, löschen oder verschlüsseln. Häufig wird zudem mit einer Veröffentlichung der Daten gedroht. Für betroffene Personen können daraus erhebliche Nachteile entstehen, etwa finanzielle Schäden, Identitätsdiebstahl oder sonstige wirtschaftliche und gesellschaftliche Schäden.
Risikobewertung als erster Schritt
Nach Bekanntwerden eines Vorfalls muss der Verantwortliche den Sachverhalt zügig aufklären und rechtlich bewerten. Maßgeblich ist, ob die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Diese Einschätzung entscheidet darüber, ob eine Meldung an die zuständige Aufsichtsbehörde erforderlich ist.
Bei der Bewertung sind insbesondere Art und Umfang der vom Cyberangriff betroffenen Daten, die möglichen Folgen für die Betroffenen und die Wahrscheinlichkeit eines Schadenseintritts zu berücksichtigen. Die Entscheidung sollte nachvollziehbar dokumentiert werden. Denn auch wenn im Einzelfall keine Meldung erforderlich ist, bleibt die Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO bestehen.
Meldung an die Aufsichtsbehörde und Benachrichtigung Betroffener
Liegt ein meldepflichtiger Vorfall vor, muss der Verantwortliche die Datenschutzverletzung unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden. Kann diese Frist nicht eingehalten werden, ist die Verzögerung zu begründen. Stehen noch nicht alle Informationen fest, kann zunächst eine vorläufige Meldung erfolgen, die später ergänzt wird.
Besteht voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen, ist zusätzlich eine unverzügliche Benachrichtigung nach Art. 34 DSGVO erforderlich. Diese Information soll Betroffene in die Lage versetzen, eigene Schutzmaßnahmen zu ergreifen.
Verantwortung bei Einsatz von IT-Dienstleistern
Besondere Aufmerksamkeit ist geboten, wenn IT-Dienstleister oder sonstige Auftragsverarbeiter eingebunden sind. Wird einem Auftragsverarbeiter eine Datenschutzverletzung wie ein Cyberangriff bekannt, muss er den Verantwortlichen unverzüglich informieren. Die datenschutzrechtliche Gesamtverantwortung verbleibt jedoch beim Verantwortlichen. Er muss den Dienstleister sorgfältig auswählen, die Verarbeitung vertraglich absichern und erforderlichenfalls die Meldung gegenüber der Aufsichtsbehörde vornehmen.
Der LfD Niedersachsen betont zudem die Bedeutung angemessener technischer und organisatorischer Maßnahmen. Dazu zählen insbesondere abgesicherte Schnittstellen, tragfähige Zugriffs- und Berechtigungskonzepte, Mehr-Faktor-Authentifizierung, Verschlüsselung gespeicherter Daten, Datensparsamkeit und regelmäßige Datensicherungen.
Fazit
Cyberangriffe sind datenschutzrechtlich höchstrelevant. Verantwortliche müssen den Sachverhalt schnell erfassen, Risiken sorgfältig bewerten, Entscheidungen dokumentieren und erforderliche Meldungen fristgerecht abgeben. Bei hohem Risiko sind außerdem die betroffenen Personen zu informieren.
Eine Meldung an die Aufsichtsbehörde ist Bestandteil einer ordnungsgemäßen Reaktion auf eine Datenschutzverletzung. Wer seine internen Abläufe vorbereitet, Dienstleister klar einbindet und technische Schutzmaßnahmen regelmäßig überprüft, kann im Ernstfall schneller und rechtssicherer handeln.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
