Trotz Einhaltung der gesetzlich vorgesehenen technischen und organisatorischen Maßnahmen gibt es für Unternehmen keinen 100%igen Schutz gegen Hackerangriffe. Dies ist vor allem darauf zurückzuführen, dass bestehende Sicherheitslücken meist erst durch Hackerangriffe aufgezeigt werden. Hacker sind dem Unternehmen damit regelmäßig einen Schritt voraus. Neben diesen Risiken, die von außen kommen, sehen sich Unternehmen aber auch mit fahrlässigen Handlungen ihrer eigenen Mitarbeiter konfrontiert. So kann bereits ein fehlerhaft ausgewählter E-Mail-Verteiler oder der Verlust eines Smartphones eine Informationspflicht nach dem Bundesdatenschutzgesetz gegenüber der Aufsichtsbehörde und den Betroffenen begründen. Auf die Zahl der Personen, deren Daten Dritten unrechtmäßig zur Kenntnis gelangt sind, kommt es zudem nicht an.
Datenschutzrechtliche Standard-Situationen Schritt für Schritt meistern: Dabei unterstützen die ESCHE Datenschutz-Checklisten.
1. Welche Präventivmaßnahmen kann ich treffen?
- Prüfung sämtlicher Datenverarbeitungsprozesse auf Gesetzeskonformität
- Implementierung von datenschutzkonformen technischen und organisatorischen Maßnahmen zur Datensicherung (z.B. dem Stand der Technik entsprechende Verschlüsselungsverfahren)
- Etablierung eines internen Risikomanagements für Fälle des Datenverlustes
- vertragliche Verpflichtung der Auftragnehmer (im Rahmen des Vertrags zur Auftragsdatenverarbeitung) dem Auftraggeber Hackerangriffe oder sonstige Datenpannen unverzüglich mitzuteilen und den Auftraggeber bei dessen Benachrichtigungspflicht zu unterstützen.
- Identifikation besonders riskanter Sachverhalte (z. B. die Nutzung privater IT - „Bring your own device“; Tätigkeiten im Home Office; private Nutzung dienstlicher Telekommunikationsmittel)
- Maßnahmen zur Reduzierung der Risiken in den identifizierten Sachverhalten (z. B. betriebliche und vertragliche Regelungen und Arbeitsanweisungen)
- Versicherungsschutz („Cyberversicherung“)
- Ggf. finanzielle Rückstellung (wegen ggf. hoher Kosten für Krisenmanagement, IT-Dienstleistungen und die Erfüllung etwaiger Schadensersatzansprüche)
- Datenschutzrechtliche Schulung der mit der Datenverarbeitung beschäftigten Personen
- Verpflichtung der Mitarbeiter auf das Datengeheimnis
- Datensicherheitsaudits und
- Vorbereitung auf eine etwaige Prüfung durch die Aufsichtsbehörde
- Erstellung einer Liste mit Kontaktdaten von allen Personen, die bei einem Hackerangriff / Datenpanne informiert werden sollen (Krisenstab). Dies können z.B. sein:
- die Geschäftsführung
- die interne Rechtsabteilung oder ein spezialisierter externer Rechtsanwalt
- Leiter der IT-Abteilung
- der betriebliche Datenschutzbeauftragte
- der Betriebs- oder Personalrat
- IT-Administrator
- IT-Sachverständige
- zuständige Aufsichtsbehörde
2. Was muss ich nach Feststellung eines Hackerangriffes / einer Datenpanne beachten?
- Einrichtung eines Krisenmanagements unter Einbeziehung von IT-Sachverständigen
- Protokollierung des Datums an dem der Hackerangriff / die Datenpanne festgestellt wurde sowie sämtlicher relevanter Umstände
- Information der Kontaktpersonen aus der vorbereiteten Kontaktliste
- Analyse des Datenverlustes
- Identifizierung der Art der betroffenen Daten (z.B. Gesundheitsdaten, Bankdaten)
- Ermittlung der betroffenen Personen
- Prüfung der den betroffenen Personen drohenden Beeinträchtigungen
- Identifizierung der Sicherheitslücke (IT-forensische Untersuchung)
- Durchführung angemessener Maßnahmen zur Sicherung der Daten
- ggf. Information des Softwareherstellers über die Sicherheitslücke
- Prüfung einer Meldepflicht gegenüber der Aufsichtsbehörde und den Betroffenen gemäß § 42a BDSG
- ggf. unverzügliche Information der zuständigen Aufsichtsbehörde
- ggf. unverzügliche Information der Betroffenen
- Prüfung sonstiger gesetzlicher Meldepflichten (z.B. § 15a TMG, § 83a SGB X, § 109a TKG)
- Prüfung einer vertraglichen Benachrichtigungspflicht gegenüber den betroffenen Personen
- ggf. Prüfung eines Versicherungsfalls
- ggf. Strafanzeige gegen Täter
3. Welche sonstigen Maßnahmen können erforderlich sein?
- Prüfung und Abwehr von Schadensersatzansprüchen der Betroffenen
- Prüfung und Durchsetzung von Schadensersatzansprüchen gegen eigene Vertragspartner (z.B. Auftragnehmer) wegen Vertragsverletzung
- Prüfung und Durchsetzung von Schadensersatzansprüche gegen Täter
- Geltendmachung des Versicherungsschadens
- Öffentlichkeitsarbeit
Autoren: Dr. Frank Bongers und Dr. Karsten Krupna
Siehe auch: "ESCHE Datenschutz-Checkliste Auftragsdatenverarbeitung für Auftraggeber"; "ESCHE Datenschutz-Checkliste Auftragsdatenverarbeitung für Auftragnehmer"; "ESCHE Datenschutz-Checkliste Outsourcing"