Immer häufiger werden Unternehmen Opfer sogenannter Ransomware-Attacken. Dabei schränken Angreifer den Zugang zu Unternehmensdaten mit Hilfe von Schadsoftware ein oder verhindern diesen ganz, um dann Lösegeld für die Freigabe der Daten zu erpressen.
Folgen eines Ransomware-Angriffs für Unternehmen
Sind solche Attacken erfolgreich, entstehen Betriebsbeeinträchtigungen bzw. -unterbrechungen, die zu empfindlichen wirtschaftlichen Schäden bei betroffenen Unternehmen führen. Zudem drohen Reputationsverlust sowie die Haftung gegenüber Vertragspartnern.
Betroffene Unternehmer:innen stehen dabei vor schwierigen Entscheidungen, wie sie auf eine solche Erpressung reagieren sollen. Zu all diesen Schwierigkeiten gesellen sich schließlich auch noch datenschutzrechtliche Herausforderungen. Denn unter Umständen muss der Ransomware-Angriff den Datenschutzbehörden oder sogar den betroffenen Personen gemeldet werden. Ob und wem gegenüber eine Meldung erfolgen muss, ist jedoch eine Frage des Einzelfalls und von einer individuellen Risikobewertung abhängig.
Wann bestehet eine Meldepflicht für einen Hackerangriff?
Ein erfolgreicher Hackerangriff mittels einer Ransomware muss Behörden gegenüber immer dann gemeldet werden, wenn personenbezogene Daten dadurch unbeabsichtigt oder unrechtmäßig
- vernichtet,
- verloren,
- verändert oder
- unbefugt offengelegt
werden und dies zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt.
Besteht voraussichtlich ein besonders hohes Risiko, müssen auch die betroffenen Personen selbst informiert werden. Daher kommt es zunächst darauf an, ob der Ransomware-Angriff auch personenbezogene Daten erfasst hat, also Daten, die eine natürliche Person identifizieren oder identifizierbar machen. Diese gelten schon dann als verloren, wenn das Unternehmen nur vorübergehend keinen Zugriff auf die Daten hat. Daher liegt ein Datenverlust auch dann vor, wenn diese später wiederhergestellt oder freigekauft werden. Die Meldung an die Aufsichtsbehörde muss dann schnellstmöglich innerhalb der nächsten 72 Stunden nach dem Angriff erfolgen.
Risikobewertung ist einzelfallabhängig
Die besondere Herausforderung bei der Meldung einer Datenschutzverletzung liegt in der richtigen Beurteilung des Risikos für die Rechte und Freiheiten natürlicher Personen. Denn diese ist immer vom Einzelfall abhängig und muss von den betroffenen Unternehmen selbstständig vorgenommen werden.
Ist dieses Risiko jedoch als nicht hoch genug bewertet, besteht keine Meldepflicht gegenüber den Betroffenen. Die Pflicht entfällt sogar vollständig, wenn überhaupt kein Risiko besteht. In beiden Fällen können betroffene Unternehmen somit zumindest den Reputationsschaden minimieren. Dabei müssen Faktoren wie
- die Dauer des Datenentzugs,
- die Sensibilität der Daten sowie
- die Anzahl der betroffenen Personen
berücksichtigt werden. Ein relevantes Risiko kann beispielsweise oft ausgeschlossen werden, wenn es sich bei den erbeuteten Daten um eine von mehreren Sicherheitskopien handelt, die ausreichend verschlüsselt waren. In diesem Fall liegt weder ein unwiederbringlicher Verlust vor noch sind die Daten unbefugt zugänglich gemacht. Bestand die Beute jedoch aus sensiblen Daten in unverschlüsselter Form, z.B. Gesundheitsdaten, so wird in den meisten Fällen eine Meldepflicht zu bejahen sein.
WINHELLER hilft Unternehmen auf Ransomware-Attacken richtig zu reagieren
Schon die Risikobewertung zeigt, wie komplex der datenschutzrechtlich angemessene Umgang mit Ransomware-Angriffen ist. Um gegenüber den Aufsichtsbehörden und betroffenen Dritten auch in einer solchen Ausnahmesituation richtig zu reagieren, bedarf es einer geschulten und effizienten Risikobewertung. Dabei stehen wir Ihnen gerne kompetent zur Seite.
Weiterlesen:
Datenschutz-Compliance in drei Schritten
Binding Corporate Rules – ein unternehmenseigener Privacy Shield