Lesezeit: 3 Min
Welche Vorgaben macht der Datenschutz
Hackerangriffe gehören leider mittlerweile zu unserer Arbeitswelt. Nicht jeder Angriff ist erfolgreich und doch gehen meist wertvolle Daten verloren. Auch wenn natürlich Firmeninterner für jedes Unternehmen ein schmerzlicher und teurer Verlust sein können – nicht selten sind auch personenbezogene Daten von den Angriffen betroffen.
Damit ein erfolgreicher Hackerangriff nicht auch im Bereich Datenschutz empfindliche Strafen mit sich bringt, gilt es die Vorgaben der DS-GVO (Datenschutzgrundverordnung) zu prüfen und umzusetzen. In unserem aktuellen Datenschutz-Blog geben wir Ihnen erste Tipps zur Umsetzung.
Welche Daten sind verloren gegangen?
Stellt man fest, dass durch einen Hackerangriff Daten verloren gegangen sind, gilt es eine Bestandsaufnahme des Schadens zu machen. Welche Daten sind verloren gegangen? Sind personenbezogene Daten dem Hacker zum Opfer gefallen, handelt es sich um eine Datenpanne nach DS-GVO?
Besonders kritisch wird es, wenn personenbezogene Daten der besonderen Kategorie (z.B. Gesundheitsdaten, Informationen zu Religion usw.) vom Hackerangriff betroffen sind. Dabei besteht ein besonders hohes Risiko, dass für den Betroffenen ein Schaden entstehen kann.
Was genau personenbezogene Daten nach DS-GVO sind, haben wir Ihnen hier zusammengefasst.
Risiko für Betroffenen
Wird eine Datenpanne z.B. durch einen Hackerangriff entdeckt, hat der Verantwortliche einer Organisation 72 Stunden Zeit um diese bei der zuständigen Aufsichtsbehörde zu melden. Diese Frist gilt auch an Wochenenden und Feiertagen. Es gilt also sofort zu handeln.
Dabei ist elementar, herauszufinden, welches Risiko von der Datenpanne ausgeht. Bei einem normalen Risiko für den Betroffenen, wird mindestens die zuständige Aufsichtsbehörde schriftlich informiert. Für alle, die in NRW personenbezogene Daten verarbeiten (Unternehmen, Schulen, Vereine, Vermieter, Kanzleien, Selbstständige, Praxen, Handwerker usw.) ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) zuständig.
Wenn das Risiko für den Betroffenen hoch ist, muss ebenfalls der Betroffene über den Vorfall unverzüglich und auf angemessenem Weg informiert werden. Eine Bewertung, was gemeldet werden muss oder wer informiert werden muss, sollte stets durch einen Fachmann geklärt werden. Ziehen Sie also immer einen Datenschutzbeauftragten hinzu.
Eine Zusammenarbeit mit der Aufsichtsbehörde ist in jedem Fall geboten.
Datenverlusten vorbeugen
Um Hackerangriffen oder anderen Datenschutzvorfällen vorzubeugen, sollen nach den Vorgaben der DS-GVO unter anderem sogenannte technische und organisatorische Maßnahmen (TOM) getroffen werden.
Diese sollen einen Zugriff auf die Daten durch unbefugte Dritte verhindern. Dazu gehören beispielsweise eine Firewall oder andere Instrumente der IT-Sicherheit. Eine Dokumentation der TOM ist wie bei allen Vorgaben der DS-GVO notwendig, kann bei notwendigen Nachweisen aber auch hilfreich sein.
Nach dem Hackerangriff
Wurden alle Datenvorfälle nach einem Hackerangriff dem Datenschutz entsprechend bearbeitet und gemeldet, gilt es mögliche Fehler der Vergangenheit nicht noch einmal zu machen. Dabei sollte herausgefunden werden, ob und wenn ja, welche Verbesserungen in der IT vorgenommen werden müssen. Ziel sollte es dabei immer sein, die personenbezogenen Daten der Betroffenen noch besser zu schützen.
Die Vorgehensweise muss dann auf die mögliche Schwachstelle hin sorgfältig geprüft werden, diese ausgemerzt und die IT besser aufgestellt sein für einen möglichen nächsten Angriff. Stellen Sie sicher, dass ein solcher Datenverlust nicht noch einmal durchführbar ist. Dafür sollte der Stand in Datenschutz und IT-Sicherheit auch regelmäßig aktualisiert und geprüft werden.
Was bedeutet ein Hackerangriff im Datenschutz
Ein Hackerangriff, bei dem personenbezogene Daten verloren gehen und schadhaft genutzt werden können, zeigt deutlich: IT-Sicherheit und Datenschutz gehören zusammen. Stellen Sie daher sicher, dass Sie einen Fachmann für den Datenschutz an der Hand haben, der sich in beiden Bereichen gut auskennt, um Sie ggf. auf mögliche Schwachstellen hinweisen zu können.
Datenschutzberater.NRW stellt einen externen Datenschutzbeauftragten aus einem Team, welches Fachleute sowohl in Datenschutz, IT-Sicherheit und Steuerrecht beschäftigt. Daher finden Sie bei uns unterschiedlichste Angebote zum Thema Datenschutz:
- Datenschutz-Erstberatung
- Datenschutz-Audit
- IT-Audit
- GoBD-Beratung
- Website-Scan zur DS-GVO-konformen Homepage
Wir betreuen Mandanten aus verschiedenen Bereichen im Großraum Köln, Bonn, Siegen, Düsseldorf, Gummersbach, Siegburg und ganz NRW.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.