Cyberattacken und die EU-DSGVO

Die IT-Sicherheit innerhalb eines Unternehmens spielt eine bedeutende Rolle, sei es in Bezug auf datenschutzrechtliche Aspekte beim Umgang mit Mitarbeiterdaten oder auch auf das Abwehren von äußeren Bedrohungen durch Cyberattacken und Hackerangriffe. Oft werden mithilfe von Schadsoftware oder durch Manipulationen von Computersystemen sensible personenbezogene oder unternehmensinterne Daten gestohlen oder ganze EDV-Systeme lahmgelegt.

In der Vergangenheit wurden einige Fälle bekannt, in denen solche Unternehmen Opfer von Hackerangriffen wurden, ohne, dass dies vorerst der Öffentlichkeit bekannt gegeben wurde. Kunden dieser Telekommunikationsanbieter erfuhren erst spät, dass auch ihre personenbezogenen Daten von diesen Eingriffen betroffen waren.

Dem gegenüber hat die EU mit der DSGVO und der Festlegung in Artikel 33 und 34 einen Riegel vorgeschoben. Jetzt ist eine explizite Meldepflicht bei Datenschutzverstößen eingeführt. Es drohen bei Missachtung dieser Meldepflicht weitreichende Konsequenzen und hohe Strafen.

Was ist jedoch zu tun, wenn im Unternehmen der Versuch oder die Durchführung eines Hackerangriffes festgestellt worden ist? Gerade kleine und mittlere Unternehmen haben hier Schwierigkeiten bei der Umsetzung des Gesetzestextes.

Cyberattacken und Hackerangriffe gehören mittlerweile zum Alltag

Zunächst trifft solch ein Vergehen meist die Einsatzbereitschaft der eingesetzten IT. Server, Rechner und andere Anwendungsgeräte müssen geprüft und von den Schädlingen befreit werden. Eventuell müssen Daten wiederhergestellt werden, und so weiter… Die meisten kleineren Unternehmen sind nicht oder nur schlecht darauf vorbereitet. Mit der Auflage hier im Schadensfall auch noch eine Bedrohungs– oder Gefährdungsanalyse zu erstellen und eine datenschutzkonforme Auswertung durchzuführen, in wie weit und in welchem Maße personenbezogene Daten betroffen sind, sind die meisten Unternehmer dann überfordert.

Mit der Einbeziehung und Einbindung eines qualifizierten Datenschutzbeauftragten, bereits vor einem Problem wie einer Cyberattacke oder eines Hackerangriffes, können Sie und Ihre IT Verantwortlichen im Vorfeld Vorgehensweisen festlegen wie mit derartigen Vorfällen umgegangen wird. Im Bedarfsfall ist der Datenschutzbeauftragte dann zeitnah in der Lage eine Datenschutz-Folgenabschätzung zu erstellen und zu Prüfen ob eine Meldung an die Aufsichts-Behörde erfolgen muss und unterstützt die Verantwortliche Stelle in diesem Fall im Kontakt und der Lösungsfindung mit der Behörde.

Nach wie vor scheuen sich viele Betriebsleiter hier den Datenschutzbeauftragten einzubinden. Doch nach der Einführung der Datenschutzgrundverordnung wird sich das ändern müssen. Zu hoch sind die Sanktion- und Haftungsrisiken bei Nichtbeachtung.

Also, sprechen Sie am besten mit dem Datenschutzbeauftragten ihres Vertrauens.