Hackerangriffe stellen für öffentliche Stellen eine erhebliche Bedrohung dar, insbesondere wenn personenbezogene Daten betroffen sind. In solchen Fällen sind Verantwortliche nicht nur verpflichtet, Datenschutzverletzungen gemäß Art. 33 der Datenschutz-Grundverordnung (DSGVO) zu melden, sondern sollten auch weitere Mitteilungspflichten und Maßnahmen in Betracht ziehen. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat hierzu in seiner Aktuellen Kurz-Information 57 vom 1. März 2025 wichtige Hinweise veröffentlicht.
Meldepflichten bei DatenschutzverletzungenGemäß Art. 33 DSGVO müssen öffentliche Stellen Datensicherheitsverletzungen, die ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutz-Aufsichtsbehörde melden. Diese Meldung soll Transparenz schaffen und sicherstellen, dass geeignete Maßnahmen ergriffen werden, um betroffene Personen zu schützen und Schäden zu begrenzen. Dabei sind Details wie die Art des Angriffs, der Umfang der betroffenen Daten und mögliche Folgen anzugeben.
Zusätzliche MitteilungspflichtenNeben der DSGVO können weitere gesetzliche Mitteilungspflichten relevant sein:
- Sozialleistungsträger müssen nach § 83a Zehntes Buch Sozialgesetzbuch (SGB X) Verletzungen des Schutzes von Sozialdaten der zuständigen Rechts- oder Fachaufsichtsbehörde melden.
- Betreiber kritischer Infrastrukturen sind verpflichtet, bestimmte Störungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemäß § 8b Abs. 4 BSI-Gesetz (BSIG) zu melden.
- Staatliche Stellen in Bayern, die an das Behördennetz angeschlossen sind, müssen gemäß Art. 43 Abs. 3 Satz 1 Bayerisches Digitalgesetz (BayDiG) das Landesamt für Sicherheit in der Informationstechnik und ihre jeweilige oberste Dienstbehörde informieren, wenn relevante Informationen zur Abwehr von IT-Sicherheitsgefahren bekannt werden.
Obwohl keine allgemeine gesetzliche Verpflichtung besteht, Datenschutzverletzungen den Strafverfolgungsbehörden anzuzeigen, empfiehlt der BayLfD, bei Hackerangriffen eine Strafanzeige in Erwägung zu ziehen. Eine solche Anzeige kann als technisch-organisatorische Maßnahme gemäß Art. 32 Abs. 1 DSGVO betrachtet werden, da sie zur Aufklärung des Vorfalls beiträgt und hilft, weitere Schäden zu verhindern.
Durch die Zusammenarbeit mit Strafverfolgungsbehörden können wichtige Informationen über die Angreifer und deren Methoden gewonnen werden. Zudem verfügen diese Behörden über spezielle Werkzeuge und Kompetenzen zur Sicherung von Beweismaterial, was für die Analyse und Behebung des Angriffs entscheidend sein kann. Eine rechtzeitige Strafanzeige kann zudem dazu führen, dass entwendete Daten sichergestellt oder deren weitere Verbreitung verhindert wird.
Handlungsempfehlungen für Verantwortliche- Prüfung der Meldepflichten: Stellen Sie sicher, dass alle relevanten Meldepflichten, sowohl nach der DSGVO als auch nach anderen gesetzlichen Vorgaben, erfüllt werden.
- Erwägung einer Strafanzeige: Bewerten Sie, ob eine Strafanzeige als Maßnahme zur Schadensbegrenzung und Aufklärung des Vorfalls sinnvoll ist. Dokumentieren Sie die Gründe für oder gegen eine Anzeige sorgfältig.
- Zusammenarbeit mit Behörden: Arbeiten Sie eng mit Datenschutz-Aufsichtsbehörden und Strafverfolgungsbehörden zusammen, um den Vorfall umfassend zu analysieren und zukünftige Angriffe zu verhindern.
- Implementierung von Sicherheitsmaßnahmen: Überprüfen und verbessern Sie kontinuierlich Ihre technisch-organisatorischen Maßnahmen, um die IT-Sicherheit zu gewährleisten und Risiken zu minimieren.
Durch proaktives Handeln und die Berücksichtigung dieser Empfehlungen können öffentliche Stellen nicht nur gesetzliche Anforderungen erfüllen, sondern auch aktiv zur Bekämpfung von Cyberkriminalität beitragen und das Vertrauen der Bürger in die Sicherheit ihrer Daten stärken.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz