Mehr Infos

 

 

 
 
 

 

 

 

Mit dem Wachstum der Abhängigkeit von digitalen Daten steigt zunehmend das Risiko von Cyberangriffen, die für Unternehmen ein Existenzrisiko darstellen. Laut einer Studie des Digitalverbandes Bitkom aus dem vergangenen Jahr entstehen der deutschen Wirtschaft jährlich über 220 Milliarden Euro Schaden durch Datendiebstahl, Spionage oder Sabotage. Dabei trifft es nicht nur die großen und bekannten Unternehmen. Denn auch unabhängig von der Größe verfügt jedes Unternehmen und jede Organisation über Daten, sodass grundsätzlich jedes Unternehmen ein potenzielles Ziel für Cyberkriminelle darstellt. Erst vergangene Woche ist bekanntgeworden, dass der IT-Dienstleister Adesso, zu dessen Kundschaft namenhafte Unternehmen und Bundesbehörden zählen, einen Hackerangriff erlitten, über den der Dienstleister weder die zuständige Behörde noch die Betroffenen informiert haben soll. Welche Folgen dies haben kann, lesen Sie im nachfolgenden Beitrag.

 

Das Wichtigste in Kürze

  • Cyberangriffe erfolgen häufig mittels Schadsoftware, Ransomware sowie Spam- und Pishing-Mails
  • Sie können im Ernstfall zu hohen Risiken für die betroffenen Personen führen
  • Unternehmen können hohe Bußgelder, Aufsichtsmaßnahmen, Umsatzeinbuße und Reputationsschäden drohen.
  • Aus diesem Grund ist es notwendig, präventiv tätig zu werden, um die erforderliche IT-Sicherheit und Datenschutzkonformität herzustellen.

 

Beeinträchtigung von IT-Systemen

Bei einem Cyberangriff handelt es sich um einen ziel- und zweckgerichteten Versuch, die IT-Systeme eines Unternehmens oder einer Organisation zu beeinträchtigen, um sich dadurch einen Vorteil – oftmals finanzieller Art – zu verschaffen. Dies erfolgt in der Regel durch Diebstahl vertraulicher Daten, Störungen von Geschäftsprozessen oder auch die Drohung mit einer nachhaltigen Schädigung der Reputation des betroffenen Unternehmens. Ist es den Kriminellen gelungen, in Ihre IT-Systeme einzudringen, können sie Betriebsstörungen verursachen, die zu empfindlichen Umsatzeinbußen, hohen Kosten für die Schadensbeseitigung sowie den Aufbau einer neuen IT-Infrastruktur und eines Datenschutzmanagements führen.

 

Weiterentwicklung von Cyberangriffsmethoden

In den vergangenen Jahren haben Cyberkriminelle immer mehr neue Angriffsmöglichkeiten entwickelt und ihre Angriffstaktiken zunehmend fortlaufend verfeinert. Zu den häufigsten Angriffsarten zählen Angriffe mittels Schadsoftware, Ransomware-Angriffe sowie Spam- und Pishing-Mails.

 

Schnelle Reaktion erforderlich

Haben sich unbefugte Dritte Zugang zu personenbezogenen Daten verschafft, sind Sie als Verantwortlicher in den allermeisten Fällen verpflichtet, eine solche Datenpanne der zuständigen Datenschutzbehörde zu melden. Denn Cyberangriffe führen in der Regel zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum Zugang zu personenbezogenen Daten durch unbefugte Dritte, sodass eine Verletzung des Schutzes personenbezogener Daten im Sinne der DSGVO vorliegt.

Ist anzunehmen, dass diese Verletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, ist das verantwortliche Unternehmen grundsätzlich dazu verpflichtet, den Verstoß unverzüglich, möglichst innerhalb von 72 h, an die zuständige Aufsichtsbehörde zu melden.

Dies ist beispielsweise der Fall, wenn Daten entwendet, woanders im Internet veröffentlicht oder unbefugten Dritten zugänglich gemacht werden. In einem solchen Fall bleibt Ihnen keine andere Wahl, als den zuständigen Landesdatenschutzbeauftragten zu verständigen.

Sobald der Landesdatenschutzbeauftragte von dem Vorfall erfährt, werden Sie unmittelbar aufgefordert, alle relevanten Datenschutzunterlagen vorzulegen und Auskunft über Ihr Datenschutzmanagement zu geben.

Stellt der Datenschutzbeauftragte einen Datenschutzverstoß fest, da Sie Ihren Pflichten aus der DSGVO nicht ordnungsgemäß nachgekommen sind, können je nach Größe Ihres Unternehmens Bußgelder in Millionenhöhe drohen. Aber auch Schadenersatzansprüche betroffener Kunden, Geschäftspartner oder Arbeitnehmer oder gar eine Strafbarkeit wegen der Verletzung von Strafvorschriften sind nicht ausgeschlossen.

Ein solcher bußgeldbewehrter Datenschutzverstoß liegt beispielsweise vor, wenn die Behörde im Laufe der Prüfung feststellt, dass unter anderem Daten, die aus Gründen des Datenschutzes schon längst hätten gelöscht sein müssen, gestohlen werden konnten, weil kein oder nur ein mangelhaftes Löschkonzept vorlag bzw. dies nicht ordnungsgemäß umgesetzt wurde.

 

 

Präventive Maßnahmen und richtige Begegnung im Angriffsfall

Abgesehen davon, dass Cyberangriffe im Ernstfall zu hohen Risiken für die betroffenen Personen führen können, können Unternehmen hohe Bußgelder, Aufsichtsmaßnahmen, Umsatzeinbußen und Reputationsschäden drohen. Aus diesem Grund ist es nicht nur empfehlenswert, sondern vielmehr notwendig präventiv tätig zu werden, um die erforderliche IT-Sicherheit und Datenschutzkonformität herzustellen.

In der Vergangenheit verhängte die Berliner Datenschutzbehörde gegen die Wohnungsgesellschaft Deutsche Wohnen ein Bußgeld in Höhe von 14,5 Millionen Euro. Die Behörde hat im Rahmen der Untersuchung des Unternehmens im Anschluss an einen Hackerangriff festgestellt, dass das Unternehmen personenbezogene Daten seiner Mieter unzureichend geschützt hatte, sodass es einem Hacker möglich war, auf eine ungesicherte Datenbank zuzugreifen und Millionen von Datensätzen zu stehlen.

Auch der Landesdatenschutzbeauftragte Baden-Württemberg hat bereits ein Bußgeld in Höhe von 20.000 Euro gegen eine Social-Media-Plattform verhängt, nachdem Hacker Passwörter und E-Mail-Adressen von über 300.000 Euro Plattformnutzern im Internet veröffentlicht haben. Wie sich herausgestellt hat, wurden die Passwörter unverschlüsselt gespeichert. Da das Unternehmen sich besonders kooperativ gezeigt hat und seinen Melde- und Informationspflichten ordnungsgemäß nachgekommen ist, hat die Behörde das Bußgeld im Verhältnis zu den Verstößen eher niedrig bemessen.

Kommt es hingegen zu einer Datenschutzpanne und stellt die Behörde im Rahmen einer Untersuchung fest, dass Sie als Verantwortlicher sämtlichen Pflichten, die Ihnen durch die DSGVO auferlegt wurden, nachgekommen sind (wie z. B. der Implementierung geeigneter TOM, der Führung eines Verarbeitungsverzeichnisses und eines effektiven Löschkonzepts), kann sich dies positiv auf ein Bußgeld auswirken. Im besten Fall kann dieses gänzlich abgewendet werden.

Da die konkrete Ausgestaltung von Maßnahmen der Prävention im Wesentlichen von den Einzelumständen eines jeden Unternehmens abhängt, empfiehlt es sich stets, Experten zurate zu ziehen, die eine auf Ihr Unternehmen zugeschnittene Lösung erarbeiten.

Auch die Bewältigung von Datenschutzvorfällen infolge von Cyberangriffen ist stets von den konkreten Umständen des Einzelfalls abhängig. Insbesondere der IT-Infrastruktur Ihres Unternehmens, der IT-Sicherheitsstruktur, des internen Datenschutzmanagements sowie der Art des Angriffs und der Zielsetzung. Die Aufarbeitung dieser Bereiche im Anschluss an einen Cyberangriff ist für Ihr Unternehmen von existenzieller Bedeutung (Mehr dazu erfahren Sie hier.)

Als ein Team aus Datenschutz-Anwälten sowie IT- und Cyber Security-Spezialisten stehen wir Ihnen gern zur Seite, um Datenschutzvorfälle von vornherein zu verhindern und unterstützen Sie auch im Ernstfall mit unserer Expertise.

 

„>

Kontakt aufnehmen