Strafanzeige als technisch-organisatorische Maßnahme nach Hackerangriff: Empfehlungen des Bayerischen Landesbeauftragten für den Datenschutz

Gemäß Art. 33 DSGVO müssen öffentliche Stellen Datensicherheitsverletzungen, die ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutz-Aufsichtsbehörde melden. Diese Meldung soll Transparenz schaffen und sicherstellen, dass geeignete Maßnahmen ergriffen werden, um betroffene Personen zu schützen und Schäden zu begrenzen. Dabei sind Details wie die Art des Angriffs, der Umfang der betroffenen Daten und mögliche Folgen anzugeben.

Neben der DSGVO können weitere gesetzliche Mitteilungspflichten relevant sein:

• Sozialleistungsträger müssen nach § 83a Zehntes Buch Sozialgesetzbuch (SGB X) Verletzungen des Schutzes von Sozialdaten der zuständigen Rechts- oder Fachaufsichtsbehörde melden.
• Betreiber kritischer Infrastrukturen sind verpflichtet, bestimmte Störungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemäß § 8b Abs. 4 BSI-Gesetz (BSIG) zu melden.
• Staatliche Stellen in Bayern, die an das Behördennetz angeschlossen sind, müssen gemäß Art. 43 Abs. 3 Satz 1 Bayerisches Digitalgesetz (BayDiG) das Landesamt für Sicherheit in der Informationstechnik und ihre jeweilige oberste Dienstbehörde informieren, wenn relevante Informationen zur Abwehr von IT-Sicherheitsgefahren bekannt werden.

Obwohl keine allgemeine gesetzliche Verpflichtung besteht, Datenschutzverletzungen den Strafverfolgungsbehörden anzuzeigen, empfiehlt der BayLfD, bei Hackerangriffen eine Strafanzeige in Erwägung zu ziehen. Eine solche Anzeige kann als technisch-organisatorische Maßnahme gemäß Art. 32 Abs. 1 DSGVO betrachtet werden, da sie zur Aufklärung des Vorfalls beiträgt und hilft, weitere Schäden zu verhindern.

Durch die Zusammenarbeit mit Strafverfolgungsbehörden können wichtige Informationen über die Angreifer und deren Methoden gewonnen werden. Zudem verfügen diese Behörden über spezielle Werkzeuge und Kompetenzen zur Sicherung von Beweismaterial, was für die Analyse und Behebung des Angriffs entscheidend sein kann. Eine rechtzeitige Strafanzeige kann zudem dazu führen, dass entwendete Daten sichergestellt oder deren weitere Verbreitung verhindert wird.

1. Prüfung der Meldepflichten: Stellen Sie sicher, dass alle relevanten Meldepflichten, sowohl nach der DSGVO als auch nach anderen gesetzlichen Vorgaben, erfüllt werden.
2. Erwägung einer Strafanzeige: Bewerten Sie, ob eine Strafanzeige als Maßnahme zur Schadensbegrenzung und Aufklärung des Vorfalls sinnvoll ist. Dokumentieren Sie die Gründe für oder gegen eine Anzeige sorgfältig.
3. Zusammenarbeit mit Behörden: Arbeiten Sie eng mit Datenschutz-Aufsichtsbehörden und Strafverfolgungsbehörden zusammen, um den Vorfall umfassend zu analysieren und zukünftige Angriffe zu verhindern.
4. Implementierung von Sicherheitsmaßnahmen: Überprüfen und verbessern Sie kontinuierlich Ihre technisch-organisatorischen Maßnahmen, um die IT-Sicherheit zu gewährleisten und Risiken zu minimieren.

Durch proaktives Handeln und die Berücksichtigung dieser Empfehlungen können öffentliche Stellen nicht nur gesetzliche Anforderungen erfüllen, sondern auch aktiv zur Bekämpfung von Cyberkriminalität beitragen und das Vertrauen der Bürger in die Sicherheit ihrer Daten stärken.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz

Quelle: Baylda