DE | EN | RU

info@winheller.com+49 (0)69 76 75 77 80 Mo. - Fr. von 8 bis 20 Uhr, Sa. von 8 bis 17 Uhr
Persönliche Termine nach Vereinbarung

Müssen Unternehmen Ransomware-Angriffe melden?

Müssen Unternehmen Ransomware-Angriffe melden?

Immer häufiger werden Unternehmen Opfer sogenannter Ransomware-Attacken. Dabei schränken Angreifer den Zugang zu Unternehmensdaten mit Hilfe von Schadsoftware ein oder verhindern diesen ganz, um dann Lösegeld für die Freigabe der Daten zu erpressen.

Folgen eines Ransomware-Angriffs für Unternehmen

Sind solche Attacken erfolgreich, entstehen Betriebsbeeinträchtigungen bzw. -unterbrechungen, die zu empfindlichen wirtschaftlichen Schäden bei betroffenen Unternehmen führen. Zudem drohen Reputationsverlust sowie die Haftung gegenüber Vertragspartnern.

Betroffene Unternehmer:innen stehen dabei vor schwierigen Entscheidungen, wie sie auf eine solche Erpressung reagieren sollen. Zu all diesen Schwierigkeiten gesellen sich schließlich auch noch datenschutzrechtliche Herausforderungen. Denn unter Umständen muss der Ransomware-Angriff den Datenschutzbehörden oder sogar den betroffenen Personen gemeldet werden. Ob und wem gegenüber eine Meldung erfolgen muss, ist jedoch eine Frage des Einzelfalls und von einer individuellen Risikobewertung abhängig.

Wann bestehet eine Meldepflicht für einen Hackerangriff?

Ein erfolgreicher Hackerangriff mittels einer Ransomware muss Behörden gegenüber immer dann gemeldet werden, wenn personenbezogene Daten dadurch unbeabsichtigt oder unrechtmäßig

  • vernichtet,
  • verloren,
  • verändert oder
  • unbefugt offengelegt

werden und dies zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt.

Besteht voraussichtlich ein besonders hohes Risiko, müssen auch die betroffenen Personen selbst informiert werden. Daher kommt es zunächst darauf an, ob der Ransomware-Angriff auch personenbezogene Daten erfasst hat, also Daten, die eine natürliche Person identifizieren oder identifizierbar machen. Diese gelten schon dann als verloren, wenn das Unternehmen nur vorübergehend keinen Zugriff auf die Daten hat. Daher liegt ein Datenverlust auch dann vor, wenn diese später wiederhergestellt oder freigekauft werden. Die Meldung an die Aufsichtsbehörde muss dann schnellstmöglich innerhalb der nächsten 72 Stunden nach dem Angriff erfolgen.

Risikobewertung ist einzelfallabhängig

Die besondere Herausforderung bei der Meldung einer Datenschutzverletzung liegt in der richtigen Beurteilung des Risikos für die Rechte und Freiheiten natürlicher Personen. Denn diese ist immer vom Einzelfall abhängig und muss von den betroffenen Unternehmen selbstständig vorgenommen werden.

Ist dieses Risiko jedoch als nicht hoch genug bewertet, besteht keine Meldepflicht gegenüber den Betroffenen. Die Pflicht entfällt sogar vollständig, wenn überhaupt kein Risiko besteht. In beiden Fällen können betroffene Unternehmen somit zumindest den Reputationsschaden minimieren. Dabei müssen Faktoren wie

  • die Dauer des Datenentzugs,
  • die Sensibilität der Daten sowie
  • die Anzahl der betroffenen Personen

berücksichtigt werden. Ein relevantes Risiko kann beispielsweise oft ausgeschlossen werden, wenn es sich bei den erbeuteten Daten um eine von mehreren Sicherheitskopien handelt, die ausreichend verschlüsselt waren. In diesem Fall liegt weder ein unwiederbringlicher Verlust vor noch sind die Daten unbefugt zugänglich gemacht. Bestand die Beute jedoch aus sensiblen Daten in unverschlüsselter Form, z.B. Gesundheitsdaten, so wird in den meisten Fällen eine Meldepflicht zu bejahen sein.

WINHELLER hilft Unternehmen auf Ransomware-Attacken richtig zu reagieren

Schon die Risikobewertung zeigt, wie komplex der datenschutzrechtlich angemessene Umgang mit Ransomware-Angriffen ist. Um gegenüber den Aufsichtsbehörden und betroffenen Dritten auch in einer solchen Ausnahmesituation richtig zu reagieren, bedarf es einer geschulten und effizienten Risikobewertung. Dabei stehen wir Ihnen gerne kompetent zur Seite.

Weiterlesen:
Datenschutz-Compliance in drei Schritten
Binding Corporate Rules – ein unternehmenseigener Privacy Shield

Olga Stepanova

Rechtsanwältin Olga Stepanova ist für WINHELLER in den Bereichen IT-Recht und Datenschutz tätig. Unsere gewerblichen Mandanten berät Sie zudem im Marken-, Urheber- und Wettbewerbsrecht.

>> Zum Profil

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

WINHELLER-Blog via Newsletter

Abonnieren Sie unsere kostenlosen Newsletter und erhalten Sie regelmäßig die wichtigsten Beiträge aus dem Wirtschafts- und/oder Gemeinnützigkeitsrecht bequem per E-Mail. Wählen Sie einfach Ihren Wunschnewsletter aus. (Pflichtfelder sind mit * markiert).

German Business Law News (4x jährlich)
Nonprofitrecht aktuell (1x im Monat)
Ich möchte den oder die ausgewählten Newsletter abonnieren und erteile zu diesem Zwecke meine Einwilligung in die Verarbeitung meiner oben angegebenen Daten durch WINHELLER. Die „Hinweise zur Datenverarbeitung im Rahmen des Newsletter-Abonnements“ habe ich gelesen.
Mir ist bekannt, dass ich meine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft durch Betätigung des Abmeldebuttons innerhalb des Newsletters widerrufen kann. *