Nicht erst seit der weltweiten Cyberattacke „WannaCrypt“ (in den Medien auch bekannt als „WannaCry“), bei der im Mai 2017 mehr als 200.000 Computersysteme angegriffen wurden, steht fest: Schwachstellen von Hard- und Software werden immer wieder gezielt für kriminelle Zwecke genutzt. Unternehmen sollten daher gewappnet sein.

Angesichts der zunehmenden Bedeutung von Kundendaten als wichtigem Erfolgsfaktor für viele Unternehmen werden solche Daten auch für Kriminelle interessant.

Im Ernstfall bestehen umfassende Melde- und Informationspflichten. Ab dem 25. Mai 2018 werden die Bußgelder durch DSGVO drastisch erhöht (bis zu 4 Prozent des weltweiten Konzernumsatzes). Die proaktive Erstellung einer Reaktionsstrategie ist für den Ernstfall also unerlässlich.

Krisenteam statt Einzelkämpfer!

Ein optimaler Umgang mit Cyberattacken gelingt nur durch eine enge Zusammenarbeit verschiedener (interner und/oder externer) Stellen. Es empfiehlt sich, für den Krisenfall ein Team aus den Bereichen IT/Technik, Recht und PR/Marketing zusammenzustellen. Entscheidend ist dabei die enge Abstimmung zwischen den Teammitgliedern, um hier eine einheitliche Handlungs- und Kommunikationsstrategie zu erreichen.

Melde- und Informationspflichten

Derzeit müssen bei Vorfällen, bei denen vom Gesetzgeber als besonders sensibel eingestufte Daten in falsche Hände gelangt sein könnten, sowohl die hiervon betroffenen Personen als auch die zuständige Datenschutzbehörde informiert werden (vgl. § 42a BDSG). Dies ist insbesondere immer dann der Fall, wenn sog. besondere Arten personenbezogener Daten i.S.v. § 3 Abs. 9 BDSG (z.B. Angaben über die ethnische Herkunft, Religion, Gesundheit oder Sexualleben) oder Bank- bzw. Kreditkartendaten betroffen sind und hierdurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen.

Nach der neuen DSGVO – also ab dem 25. Mai 2018 – gilt die Meldepflicht sogar bei jedem Vorfall, der „zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt“. Eine Ausnahme besteht nur dann, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33, 34 DSGVO).

Sechs Schritte aus der Krise

Sobald im Unternehmen ein Vorfall bekannt wird, bei dem auch personenbezogene Daten betroffen sein können, hat sich in der Praxis folgendes Vorgehen bewährt:

Dabei hat die Praxis gezeigt: Im Krisenfall ist die Datenschutzbehörde oft als Verbündeter des betroffenen Unternehmens anzusehen. Eine Benachrichtigung sollte somit schnell, vollständig und transparent erfolgen.

Es ist daher zweckmäßig, für den Krisenfall unternehmensinterne Verantwortlichkeiten und Prozesse im Vorfeld zu definieren, um so die Folgen einer Cyberattacke für das Unternehmen und die Betroffenen so gering wie möglich zu halten.