Meldepflichten im Datenschutz bei einer Ransomware Attacke

Was muss bei einer Ransomware Attacke gemeldet werden?

Wissen Sie was genau der Aufsichtsbehörde gemeldet werden muss?

Bei einer Ransomware Attacke werden Unternehmensdaten verschlüsselt. Gibt es kein Backup, sind die Daten nicht mehr verfügbar. Zudem verkaufen die Angreifer immer öfter die erbeuteten Daten. Damit ist die Vertraulichkeit der Daten nicht mehr gewährleistet.

Grundsätzlich empfehlen die Aufsichtsbehörden eher zu viel zu melden als zu wenig. Wird beispielsweise eine Ransomware Attacke nicht gemeldet, ist dies ein Verstoß gegen die DS-GVO und kann Sanktionen durch die Aufsichtsbehörde nach sich ziehen.

Birgt eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen (...) ist eine Meldung verpflichtend.

In den Leitlinien der EDSA finden sich insgesamt vier Ausprägungen von Ransomware-Attacken:

Beispiel 1: Eine Ransomware-Attacke, die auf geschützte Backups trifft und bei der keine Daten entwendet wurden.

Beispiel 2: Ein Unternehmen wird Opfer einer Ransomware Attacke und hat kein Backup.

Beispiel 3: Ein Krankenhaus wird Opfer einer Ransomware Attacke. Es gibt ein Backup und es wurden keine Daten entwendet.

Beispiel 4: Das Unternehmen hat bei einer Ransomware Attacke Daten an Dritte verloren und es hat kein Backup.

Hier wird schon deutlich, dass eine Datensicherung (Verfügbarkeit) eine wesentliche Rolle spielt. Auch der Verlust der Vertraulichkeit und die Art der Daten (Krankenhaus) ist von Bedeutung.

Es müssen vier Punkte geklärt werden:

1. Die Verantwortlichen des betroffenen Unternehmens müssen sicher sein, dass es ein funktionstüchtiges Backup gibt.

2. Es muss geklärt sein, ob Daten abgeflossen sind.

3. Wie wurden die Daten geschützt (Verschlüsselung)?

4. Welche Datenkategorien sind genau betroffen?


Verschlüsselung

Werden personenbezogene Daten grundsätzlich verschlüsselt abgelegt, sind sie dadurch besonders geschützt und somit dem Zugriff potenzieller Angreifer entzogen? Grundsätzlich stellt sich bei einem Angriff auf die Unternehmensdaten immer die Frage, wie lange und mit welchen Konsequenzen waren die Daten betroffen? Sind alle Daten betroffen oder nur bestimmte Datenkategorien? Auf jeden Fall sollte bei einer Ransomware Attacke umgehend der Datenschutzbeauftragte informiert und der Rat von Sicherheitsexperten eingeholt werden.

Es bleiben 72 Stunden, um zu entscheiden, ob eine Meldung an die Datenschutzbehörde erfolgen muss. Hält man diese Frist nicht ein, liegt bereits ein Verstoß vor.

Der gesamte Vorgang sollte durch den Datenschutzbeauftragten dokumentiert werden. Kommt der Verantwortliche in seiner Risikobetrachtung zum Schluss, dass kein hohes Risiko für die Betroffenen vorliegt, muss keine Meldung an die Betroffenen erfolgen (Artikel 34 DSGVO). Wenn überhaupt kein Risiko für Betroffene besteht, muss auch keine Meldung an die Aufsichtsbehörde erfolgen.

Bei Fragen zu diesem Thema steht Ihnen unser Datenschutzteam gerne zur Verfügung.

Hier erfahren Sie mehr.

Ich berate Sie gerne und freue mich auf Ihre Fragen.

Head of Privacy & IT-Security

Markus Vatter