16
Sep
2020

Ransomware: Meldepflichten für betroffene Unternehmen nach der DSGVO

Laut Bundesamt für Sicherheit und Informationstechnik und Verbraucherzentralen kommt es in der aktuell anhaltenden COVID-19-Pandemie verstärkt zu Cyberangriffen.[1] Die Angreifer versuchen, sich das gesteigerte Interesse in der Bevölkerung an der gegenwärtigen Pandemie und die mit ihr verbundene Unsicherheit zunutze zu machen. Unter Vortäuschung von Informationen zum Thema Corona in der Betreffzeile sollen potentielle Opfer dazu gebracht werden, E-Mails ohne die angebrachte Vorsicht zu öffnen bzw. auf Links zu klicken. Dadurch können Viren, Trojaner und andere Malware in Computersysteme geschleust werden. Zudem hat sich durch die Arbeit im Home Office allgemein die Angriffsfläche für Cyberattacken vergrößert, da Kommunikation nun vorwiegend internetbasiert stattfindet (z.B. Videokonferenzen) und mit dem Home-Office (noch) oft eine geschwächte IT-Sicherheit einhergeht.

Ransomware-Angriffe häufige Schadensursache

Eine häufige Schadensursache bei Cyberangriffen ist der Befall mit einer Ransomware. Durch diese werden Daten auf dem angegriffenen Computer verschlüsselt. Die Freigabe der Daten erfolgt nur, wenn ein Lösegeld an die Cyber-Kriminellen gezahlt wird. Die Drucksituation, auf die die Erpresser setzen, ist oft immens, denn die durch die Verschlüsselung erzeugte Nichtverfügbarkeit der Daten kann große finanzielle sowie reputative Schäden haben, die bis zur Einstellung des Geschäftsbetriebs reichen können. Aus Sicht des Datenschutzrechts stellt sich bei Ransomware-Angriffen insbesondere die Frage, ob eine Verletzung des Schutzes personenbezogener Daten im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) eingetreten ist und für das angegriffene Unternehmen gesetzliche Meldepflichten bestehen.

Verletzung des Schutzes personenbezogener Daten

Unter der DSGVO ist der Verantwortliche dazu verpflichtet, eine Verletzung des Schutzes personenbezogener Daten (personal data breach) innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls bei der zuständigen Datenschutzbehörde zu melden (Art. 33 DSGVO). Das gilt nur dann nicht, wenn die Schutzverletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Ist hingegen mit einem hohen Risiko zu rechnen, muss der Vorfall nicht nur der Behörde, sondern auch den betroffenen Personen unverzüglich bekannt gegeben werden (Art. 34 DSGVO). Verstöße gegen die Meldepflichten können mit empfindlichen Bußgeldern geahndet werden.

Auch Angriffe durch Ransomware können meldepflichtige Verletzungen des Schutzes personenbezogener Daten hervorrufen. Die Meldepflicht wird grundsätzlich durch jede Schutzverletzung ausgelöst, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Im Zusammenhang mit Ransomware-Angriffen ist der Begriff des „Verlustes“ von Daten relevant. Ein Verlust von personenbezogenen Daten liegt schon dann vor, wenn die Daten zwar noch vorhanden sind, der Verantwortliche aber die Kontrolle über oder den Zugang zu den Daten verloren hat. Dabei ist unerheblich, ob die Verfügbarkeit dauerhaft oder nur vorübergehend, etwa bis zur Wiederfreigabe durch die Angreifer oder – bei Vorhandensein einer Sicherungskopie – bis zur Wiederherstellung aufgehoben ist. Die Verschlüsselung von Daten durch Ransomware ist damit immer eine grundsätzlich meldepflichtige Verletzung des Schutzes personenbezogener Daten. Die Meldepflicht gegenüber der Behörde und ggf. gegenüber den betroffenen Personen entfällt aber, wenn die Verschlüsselung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.

Risikobewertung

Entscheidend ist damit eine Risikobewertung. Bei dieser müssen die konkreten Umstände des Einzelfalls beachtet werden, insbesondere die Dauer der Datenschutzverletzung, die Sensibilität und der Umfang der beeinträchtigten Daten sowie die Anzahl der betroffenen Personen. Die Risikobewertung obliegt dabei dem Unternehmen selbst. Das heißt, jedes Unternehmen muss in der Lage sein, das Risiko innerhalb der Meldefrist sachgerecht einzuschätzen. Liegt die Schutzverletzung in der Verschlüsselung der Daten durch Ransomware, kommt es entscheidend auf Folgen der Nichtverfügbarkeit der Daten für die Rechte und Freiheiten der betroffenen Personen an.

Ein relevantes Risiko für die Rechte und Freiheiten der betroffenen Personen kann in der Regel ausgeschlossen werden, wenn von den verschlüsselten Daten Sicherheitskopien existieren und sich die Daten unmittelbar wieder herstellen lassen. Gleiches gilt, wenn der Verarbeitungszweck in erster Linie dem Unternehmen selbst dient und die betroffenen Personen typischerweise kein eigenes Interesse an der Verfügbarkeit der Daten haben. Das ist z.B. der Fall, wenn die Kontaktdaten (E-Mail-Adressen) in einer Marketing-Datenbank verschlüsselt werden, so dass keine E-Mail-Newsletter mehr versendet werden können. Anders ist es, wenn die Verfügbarkeit der Daten auch im Interesse der betroffenen Personen liegt. Deutliches Bespiel hierfür sind Gesundheitsdaten, die für die medizinische Behandlung der betroffenen Person relevant sind. Kritisch sind zudem Daten, die in einem persönlichen Kunden-Account gespeichert werden (Online-Banking, Social Media, Online-Shops, etc.). Auch hier ist grundsätzlich davon auszugehen, dass die betroffenen Personen ein Interesse an der durchgängigen Verfügbarkeit ihrer Daten haben, wobei sich mit Blick auf die Art des Services und die Häufigkeit der regelmäßigen Nutzung auch Ausnahmen ergeben können.

Vertraulichkeitsverletzung

Häufig übersehen wird, dass mit Ransomware-Angriffen nicht nur der temporäre Verlust von Daten, sondern auch – abhängig vom Einzelfall – eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten einhergehen kann (Vertraulichkeitsverletzung). Eine grundsätzlich meldepflichtige Vertraulichkeitsverletzung besteht nicht nur im Fall des Abzugs von personenbezogenen Daten in die Sphäre des Angreifers, sondern bereits bei der bloßen Einsichtnahme der Daten im Rahmen des Angriffes. Geht mit dem Ransomware-Angriff auch eine Vertraulichkeitsverletzung einher, weil die Angreifer sich für die Platzierung der Malware etwa in den Systemen des angegriffenen Unternehmens bewegt haben, ist der Aspekt der Vertraulichkeitsverletzung im Rahmen der Risikobewertung gesondert zu beachten. Dies kann dazu führen, dass wegen der Verletzung der Vertraulichkeit ein Risiko für die Rechte und Freiheiten der betroffenen Personen gegeben ist und deshalb der Vorfall bei der Behörde und ggf. auch bei den betroffenen Personen gemeldet werden muss, obwohl die temporäre Verfügbarkeit der Daten durch die Verschlüsselung an sich kein Risiko darstellt. Vor diesem Hintergrund ist es für die richtige Entscheidung über die Meldepflicht bei Ransomware-Angriffen wichtig, dass IT-forensisch sauber ermittelt und aufgeklärt wird, ob neben der Verfügbarkeitsverletzung auch eine Vertraulichkeitsverletzung stattgefunden hat.

Personal Data Breach Policy

Angesichts der gesteigerten Cyber-Security-Risiken und der kurzen Meldepflichten, sollten Unternehmen auf Cyber-Angriffe gut vorbereitet sein. Dazu zählt als organisatorische Sicherheitsmaßnahme die Implementierung einer Personal Data Breach Policy (als Teil eines umfassenden Incident Response Plan). In dieser werden unternehmensintern die geltenden Prüfungsmaßstäbe und die erforderlichen Prozessschritte festgelegt, insbesondere, welche Arten von Schutzverletzungen Meldepflichten gemäß der DSGVO auslösen, welche Aspekte bei der Bewertung des Risikos für die Rechte und Freiheiten der betroffenen Personen zu beachten sind, wer im Unternehmen zuständig und zu informieren ist, wie der Vorfall intern zu dokumentieren ist, und wie ggf. die Meldung an die zuständige Datenschutzbehörde und ggf. die betroffenen Personen zu erfolgen hat.

Hogan Lovells – Cyber Breach App

Klicken Sie hier oder auf das Bild, um es zu vergrößern.

Laden Sie hier unsere Cyber Breach App herunter.

 

[1]              https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/corona-falschmeldungen.html