Wann muss ich einen Cyberangriff gemäß DSGVO melden und wann nicht? 18 Beispiele!

Teil der 2018 eingeführten Datenschutz-Grundverordnung ist die Pflicht, Datensicherheitsverletzungen der zuständigen Behörde zu melden. Bei vielen Unternehmen herrscht bis heute Unklarheit darüber, welche Cyberangriffe und Vorfälle in der IT Security tatsächlich meldepflichtig sind. Dieser Artikel gibt 18 Beispiele zu Datensicherheitsverletzungen, die in der Praxis vorkommen und meldepflichtig sind.

Die EU-Datenschutzgrundverordnung und die Meldepflicht

Der relevante Part in Bezug auf die Meldepflicht ist der Artikel 33 der DSGVO. Dieser Artikel, der die Bezeichnung „Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde“ trägt, regelt die Meldepflicht von Unternehmen. So besagt die Datenschutzgrundverordnung, dass Unternehmen bei einer Verletzung des Datenschutzes von personenbezogenen Daten die zuständigen Behörden über diesen Vorfall informieren müssen. Teil der Meldung ist eine möglichst präzise Beschreibung, welche Art von Cyberangriff beziehungsweise Datenschutzverletzung vorliegt und wie viele Datensätze betroffen sind. Zudem muss das Unternehmen eine Abschätzung abgeben, welche Folgen durch diese Datenschutzverletzung eintreten. Außerdem legt der Artikel einen Zeitrahmen für die Meldung fest. Diese muss innerhalb von 72 Stunden nach Bekanntwerden der Sicherheitsverletzung erfolgen. Weiterhin muss das Unternehmen eine verantwortliche Person aus der IT Security für den Vorgang inklusive Kontaktdaten benennen. Artikel 33 schreibt weiterhin vor, die Behörden über die eingeleiteten Gegenmaßnahmen zu informieren und dass der Verantwortliche die Zusammenhänge der Datenschutzverletzung dokumentiert. Die zuständige Behörde kann zudem Einsicht in diese Dokumentation verlangen.

Drüber hinaus gibt es noch den Artikel 34 der DSGVO, der ebenfalls Pflichten für die Benachrichtigung im Falle einer Datenschutzverletzung festlegt. Dieser Artikel regelt die Informationspflicht gegenüber natürlichen Personen. Dies sind also die Kunden des Unternehmens oder anderweitige Personen, deren Daten eine Organisation verarbeitet. Entsteht durch die Datenschutzverletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten dieser Personen, dann ist das Unternehmen in der Pflicht, diese unverzüglich darüber zu informieren. Auch hier muss das Unternehmen die Personen über den Umfang des Vorfalls informieren. Ist der Aufwand für die persönliche Information der Personen zu groß, dann ist alternativ eine öffentliche Bekanntmachung der Datenschutzverletzung unter Angabe des betroffenen Personenkreises ausreichend.

Darum ist die Umsetzung der DSGVO für viele Unternehmen eine Herausforderung

Die DSGVO hat bei vielen Unternehmen für Nervosität gesorgt. Vor allem die hohen Bußgelder, die bei Verstößen möglich sind, sind besorgniserregend. Besonders betroffen sind kleine und mittlere Unternehmen. Diese besitzen nicht selten weniger professionelle IT-Abteilungen. Die Praxis zeigt, dass gerade die Gruppe der KMU mit der Umsetzung der DSGVO überfordert ist. Gleichzeitig ist diese Gruppe von Unternehmen immer häufiger von Cyberangriffen betroffen. Die Umsetzung der Datenschutz-Grundverordnung ist somit umso aktueller für kleine und mittlere Unternehmen.

Verunsicherung herrscht bei vielen Unternehmen auch, welche Arten von Cyberangriffen und Datenschutzverletzungen sie nun der zuständigen Behörde melden müssen. Die Verordnung selbst ist in diesem Punkt nicht konkret und spricht ausschließlich von Datenschutzverletzungen personenbezogener Daten. Die Definition von Risiken für die persönlichen Rechte und Freiheiten der betroffenen Personen lässt ebenfalls Spielraum für Interpretationen. Teilweise sind sich Unternehmen auch nicht sicher, wann sie die betroffenen Personen zu informieren haben. In Verbindung mit dem engen Zeitrahmen von 72 Stunden, den die Verordnung festlegt, sind Organisationen bei konkreten Cyberangriffen oder Attacken mit Ransomware schnell überfordert.

Ransomware – der häufigste Auslöser für meldepflichtige Datenschutzverletzungen

Cyberangriffe mit Ransomware gehören inzwischen zu den häufigsten Formen von Datenschutzverletzungen, die Unternehmen und andere Organisationen erleiden. Eine Attacke mit Ransomware verläuft nicht immer nach dem gleichen Muster. Zwar sorgt die Ransomware dafür, dass der Zugriff auf die Daten durch eine Verschlüsselung blockiert ist, jedoch ist daraus noch nicht zwangsläufig eine meldepflichtige Datenschutzverletzung entstanden.

Deshalb ist es bei Cyberangriffen mit Ransomware immer wichtig, die genauen Umstände zu analysieren. Vor allem geht es darum, zu identifizieren, ob und in welchem Umfang die Angreifer persönliche Informationen entwendet haben. Diese Aufgabe liegt im Kompetenzbereich der IT Security einer Organisation. Aufgrund der komplexen Lage rund um das Thema Ransomware hat die Europäische Union einen Ausschuss ins Leben gerufen, der Richtlinien zu Cyberangriffen dieser Art verfasst und den Organisationen und Unternehmen so konkrete Hilfestellung liefert.

Beispiele zur Meldepflicht im Rahmen der Verordnung der DSGVO

Aufgrund der Unklarheiten, welche konkreten Situationen die Meldepflicht von Organisationen auslöst, veröffentlichte der Europäische Datenschutzausschuss zu Beginn des Jahres 2021 erweiterte Leitlinien. Diese beinhalten 18 konkrete Anwendungsbeispiele, die durch Cyberangriffe und ähnliche Vorfälle so in der Praxis auftreten. Anhand dieser Beispiele haben Unternehmen Anhaltspunkte, wann sie eine Meldung abgeben müssen.

Beispiel 1: Ransomware-Attacke, Daten-Backup vorhanden, keine Extraktion von Daten
Eine Ransomware-Attacke hat alle Daten eines Unternehmens verschlüsselt. Das Unternehmen setzte jedoch selbst eine Verschlüsselung ein. Der Schlüssel wurde während der Attacke nicht kompromittiert, sodass ein Zugriff auf die persönlichen Daten ausgeschlossen ist. Über ein Backup stellte das Unternehmen alle Daten wieder her.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Nein
Informationspflicht gegenüber betroffenen Personen: Nein

Beispiel 2: Ransomware-Attacke ohne ordentliches Backup
In einem landwirtschaftlichen Betrieb wurden die Daten durch eine Ransomware-Attacke verschlüsselt. Ein externer IT Security Dienstleister analysiert den Angriff und stellt fest, dass die Hacker die Daten verschlüsselten, aber nicht kopiert haben. Personenbezogene Daten betreffen einige Kunden sowie Angestellte des Unternehmens, insgesamt etwa ein Dutzend Datensätze. Da kein elektronisches Backup vorhanden ist, erfolgte die Wiederherstellung der Informationen von Informationen in Papierform.

Da das Ausmaß dieser und vergleichbarer Cyberangriffe vergleichsweise klein ist und keine Daten mit hohem Risiko betroffen sind, muss das Unternehmen die betroffenen Personen nicht informieren. Das Unternehmen muss die eingeleiteten Maßnahmen jedoch dokumentieren und ebenfalls die zuständige Behörde informieren.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Ja
Informationspflicht gegenüber betroffenen Personen: Nein

Beispiel 3: Angriff mit Ransomware auf ein Krankenhaus, keine Datenextraktion, Backup vorhanden
Ein Krankenhaus war Ziel einer Cyberattacke und Ransomware verschlüsselte einen Großteil der Daten. Betroffen sind personenbezogene Daten von Angestellten und Patienten in der Größenordnung von einigen Tausend Datensätzen.

Die IT Security stellt mithilfe der Analyse eines externen Spezialisten fest, dass die Angreifer die Daten nicht extrahiert, sondern nur verschlüsselt haben. Dennoch handelt es sich um eine Datenschutzverletzung mit hohem Risiko für die persönlichen Rechte und Freiheiten, da Krankendaten betroffen sind und die Anzahl der Datensätze sehr hoch ist.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Ja
Informationspflicht gegenüber betroffenen Personen: Ja

Beispiel 4: Ransomware-Attacke mit Datenextraktion, kein Backup vorhanden
Hacker haben die Server eines öffentlichen Nahverkehrsunternehmens mit Ransomware verschlüsselt. Eine interne Prüfung der IT Security ergab, dass die Angreifer die Datenbanken kopiert haben. Es geht um mehrere tausend Datensätze und betroffen sind sowohl Angestellte als auch Nutzer des Nahverkehrsservices. Dabei entwendeten die Angreifer auch Kreditkartendaten und Personalausweisinformationen. Ein vorhandenes Backup wurde durch den Angriff ebenfalls kompromittiert und verschlüsselt.

Der Angriff stellt eine Datenschutzverletzung mit hohem Risiko für die persönlichen Rechte und Freiheiten der Betroffenen dar. Dementsprechend greifen alle Meldepflichten der DSGVO und das Unternehmen muss die eingeleiteten Maßnahmen dokumentieren.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Ja
Informationspflicht gegenüber betroffenen Personen: Ja

Beispiel 5: Angreifer extrahieren Bewerberinformationen von einer Webseite
Ein Arbeitsvermittler war Opfer einer Cyberattacke, wobei persönliche Informationen von Arbeitnehmer entwendet wurden. Eine Auswertung ergibt, dass bis zu 213 Personen betroffen sind. Die Datenschutzverletzung wurde von der IT Security erst einen Monat nach dem eigentlichen Angriff bemerkt.

Da bei diesem Angriff weitreichende persönliche Daten betroffen sind, besteht ein hohes Risiko für die Rechte und Freiheiten der Betroffenen. Aus diesem Grund ist das Unternehmen verpflichtet, sowohl die zuständige Behörde als auch alle betroffenen Arbeitnehmer über die Datenschutzverletzung zu informieren.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Ja
Informationspflicht gegenüber betroffenen Personen: Ja

Beispiel 6: Extraktion von gehashten Passwörtern von einer Webseite
Durch eine SQL-Schwachstelle haben Hacker Zugriff zu einer Datenbank erhalten, in der Passwörter und weiter Nutzerinformationen verschlüsselt gespeichert sind. Der Salt für die Entschlüsselung wurde nicht kompromittiert. Betroffen sind Datensätze von 1.200 Nutzern. Zur Sicherheit hat der Betreiber der Webseite die Nutzer via Mail informiert und dazu geraten, das Passwort zu ändern. Eine Meldepflicht nach Absatz 33 oder 34 DSGVO besteht hingegen nicht, da keinerlei unverschlüsselte oder personenbezogene Daten entwendet wurden.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Nein
Informationspflicht gegenüber betroffenen Personen: Nein

Beispiel 7: Cyberangriff auf eine Onlinebank
Bei dem Angriff auf eine Onlinebanking-Webseite haben Angreifer versucht, alle vorhandenen Login-IDs abzugreifen, indem wahllos Anmeldeinformationen getestet wurden. Durch eine Schwachstelle in der Webseite gelangten in einigen Fällen persönliche Daten der Bankkunden in den Besitz der Angreifer. Dazu zählen Namen, Adressdaten, Geburtsinformationen und Steuernummern. Eine Analyse des Angriffs ergab, dass die Hacker versuchten, Zugang zu etwa 100.000 Konten zu erhalten und bei 2.000 Datensätzen erfolgreich waren.

Aufgrund der Natur der Daten, die entwendet wurden, ist ein hohes Risiko für die Rechte und Freiheiten der Betroffenen gegeben. Die Bank muss deshalb unverzüglich die zuständige Behörde sowie auch die betroffenen Kunden informieren. Dies betrifft sowohl die 2.000 Konten, zu denen die Hacker direkten Zugang hatten, als auch alle anderen Kunden, bei denen ein Zugriffsversuch stattfand.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Ja
Informationspflicht gegenüber betroffenen Personen: Ja

Beispiel 8: Ein früherer Mitarbeiter entwendet Unternehmensdaten
Nachdem die Kündigung ausgesprochen wurde, missbraucht ein Mitarbeiter seinen Zugang zu internen Datenbanken der Firma und entwendet Daten von Kunden des Unternehmens. Einige Monate später nutzt der ehemalige Mitarbeiter diese Kontaktdaten für die Kundenakquise.

Da es sich um allgemeine Kontaktdaten handelt, die wahrscheinlich öffentlich zugänglich sind, ist ein hohes Risiko bei dieser Datenschutzverletzung auszuschließen. Dennoch ist eine Meldung an die Behörde notwendig, da eine Verletzung des Schutzes personenbezogener Daten vorliegt.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Ja
Informationspflicht gegenüber betroffenen Personen: Nein

Beispiel 9: Versehentliche Übermittlung von Daten an einen vertrauenswürdigen Drittanbieter
Ein Versicherungsunternehmen bemerkte, dass es über eine Excel-Datei Zugang zu etwa zwei Dutzend externen Kundensätzen hat. Die Daten gehören zu einem Partnerunternehmen und eine fehlerhafte Konfiguration ermöglichte den Zugriff. Keine anderen Parteien hatten Zugang zu den Datensätzen und das Versicherungsunternehmen informierte den Partner unverzüglich über die Datenpanne. Es erfolgte eine schriftliche Versicherung, dass die Daten gelöscht wurden.

Die Datensätze enthielten keinerlei persönliche Informationen, lediglich öffentliche Kontaktdaten und Informationen über die Versicherung. Außerdem war der Zugriff auf eine vertrauensvolle Partei beschränkt, sodass keine hohe Gefahr von dieser Datenschutzverletzung ausgeht. Da eine Fehlkonfiguration im Arbeitsablauf vorlag, ist jedoch eine Dokumentation des Vorfalls sinnvoll.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Nein
Informationspflicht gegenüber betroffenen Personen: Nein

Beispiel 10: Diebstahl eines Datenträgers mit verschlüsselten Inhalten
Bei einem Einbruch in einen Kindergarten entwenden Diebe zwei Tablets. Auf diesen ist eine App installiert, in der persönliche Informationen über die Kinder gespeichert sind. Dazu gehören die Namen, Geburtsdaten und Informationen über die Ausbildung. Da die Daten jedoch verschlüsselt gespeichert sind und die Betreiber des Kindergartens unverzüglich nach der Entdeckung des Diebstahls die Daten auf den Tablets über eine Fernverbindung gelöscht haben, geht von der Datenschutzverletzung keine hohe Gefahr für die Persönlichkeitsrechte aus.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Nein
Informationspflicht gegenüber betroffenen Personen: Nein

Beispiel 11: Diebstahl von unverschlüsselten digitalen Informationen
Einem Angestellten eines Dienstleisters wird das Notebook entwendet. Auf dem Gerät befanden sich 100.000 Datensätze von Kunden. Diese enthielten Namen, Adressen und Geburtsdaten. Die Festplatte mit den Daten war weder verschlüsselt noch durch ein Password geschützt. Aufgrund der Natur der Daten sowie dem Umfang der Datenschutzverletzung sind sowohl die Behörde als auch die betroffenen Kunden zu informieren.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Ja
Informationspflicht gegenüber betroffenen Personen: Ja

Beispiel 12: Notizbuch mit sensiblen Informationen wird entwendet
In einer Rehabilitationseinrichtung wird ein Notizbuch gestohlen, in dem Daten über Patienten handschriftlich festgehalten sind. Zu diesen Informationen gehören die Namen sowie die Gesundheitsinformationen. Es gibt keinerlei digitale Kopie dieser Informationen. Der Diebstahl dieser Informationen stellt ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen dar. Obwohl es sich nicht um digital gespeicherte Informationen handelt, fällt der Vorfall dennoch in den Geltungsbereich der DSGVO.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Ja
Informationspflicht gegenüber betroffenen Personen: Ja

Beispiel 13: Sendungen und Rechnungen vertauscht
Ein Versandhausunternehmen verwechselt während dem Versand den Inhalt von zwei Paketen. So erhalten jeweils zwei Kunden die Bestellungen des jeweils anderen. Auch Rechnungen in Papierform, auf denen persönliche Informationen sichtbar sind, befinden sich in den Paketen. Das Unternehmen bemerkt den Fehler, organisiert den Rücktransport und korrigiert die Panne. Da keinerlei negative Auswirkungen für die beiden Parteien entstehen, tritt keine Meldepflicht nach der DSGVO ein. Für die Behebung der Fehllieferung ist aber dennoch eine Kontaktaufnahme mit den betroffenen Kunden notwendig.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Nein
Informationspflicht gegenüber betroffenen Personen: Nein

Beispiel 14: Versehentlicher Versand von sensiblen Daten per E-Mail
Die Personalverwaltung einer öffentlichen Verwaltungseinrichtung verschickt als Anhang einer Mail über eine kommende Fortbildung aus Versehen eine Datei, die persönliche Informationen über die Teilnehmer enthält. Die Datensätze umfassen Namen, Adressen, Sozialversicherungsnummern sowie E-Mail-Adressen. Betroffen sind etwa 60.000 Personen. Diese weitreichende Datenschutzverletzung stellt eine hohe Gefahr dar, sodass eine Meldung an die Behörden sowie die Betroffenen unumgänglich ist.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Ja
Informationspflicht gegenüber betroffenen Personen: Ja

Beispiel 15: Versehentlicher Versand von persönlichen Informationen via E-Mail
Der Veranstalter eines Kurses für Wirtschaftsenglisch verschickt eine Liste mit den Teilnehmern versehentlich an die vorherige Gruppe anstatt an das Hotel, wo der Kurs stattfindet. Die Datensätze beinhalten die Namen, E-Mail-Adressen und Besonderheiten über die Vorlieben bei der Verpflegung, wobei nur zwei Personen diese ausgefüllt haben, die angaben, eine Laktoseintoleranz zu besitzen. Von dieser Datenschutzverletzung geht nur ein sehr geringes Risiko für die Betroffenen aus. Aus diesem Grund muss der Veranstalter den Vorfall lediglich dokumentieren.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Nein
Informationspflicht gegenüber betroffenen Personen: Nein

Beispiel 16: Fehlgeleiteter Brief mit persönlichen Informationen
Ein Versicherungsunternehmen informiert seine Versicherten regelmäßig über die nächste Autoversicherungsphase. Dies findet mit Serienbriefen statt, die ein automatisches System verschickt. Dieser Brief enthält persönliche Daten über den Versicherungsnehmer, wie den Namen, das Alter, das Autokennzeichen, den Gesundheitsstatus sowie die Höhe des Versicherungsbeitrags.

Durch einen mechanischen Fehler gelangen zwei Briefe in einen Umschlag. Somit erhielt ein Versicherungsnehmer neben seinen eigenen Informationen auch die Versicherungsdaten einer anderen Person. Die DSGVO erfordert, dass die zuständige Behörde informiert und der Vorgang dokumentiert wird.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Ja
Informationspflicht gegenüber betroffenen Personen: Nein

Beispiel 17: Diebstahl einer Identität
Bei einem Telekommunikationsanbieter meldet sich ein vermeintlicher Kunde per Telefon. Diese Person gibt sich als ein Kunde des Unternehmens aus und möchte die E-Mail-Adresse, an die der Telekommunikationsanbieter die Rechnungsdaten verschickt, ändern. Der Mitarbeiter am Telefon kontrolliert die Identität, indem er einige persönliche Informationen abfragt. Der Betrüger beantwortet diese korrekt, sodass der Wechsel der Mail-Adresse akzeptiert wird. Erst nach einigen Monaten meldet sich der tatsächliche Kunde und beschwert sich, warum er keine Rechnungen via E-Mail mehr erhält. Kritisch ist in diesem Fall vor allem das Verhalten des Unternehmens, weshalb ein hohes Risiko für den Betroffenen sowie potenziell für andere Kunden vorhanden ist. Aus diesem Grund greift die Meldepflicht und das Unternehmen muss den Vorfall dokumentieren.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Ja
Informationspflicht gegenüber betroffenen Personen: Ja

Beispiel 18: Datenextraktion über das E-Mail-System
Drei Monate nach der Einrichtung eines E-Mail-Systems entdeckt ein Unternehmen, dass einige Konten verändert sowie spezielle Regeln eingesetzt wurden. So hat ein Unbekannter das System manipuliert und Informationen zu Kreditkartendaten, Bankinformationen, Rechnungen, Zahlungen und Überweisungen in einen ungenutzten Ordner verschoben. Von dort erfolgte die Weiterleitung an eine externe E-Mail-Adresse. Gleichzeitig fand eine Social Engineering Attacke statt und der Angreifer gab sich als Zulieferer aus. Die Bankverbindung des originalen Zulieferers wurde verändert und der Angreifer schleuste gefälschte Rechnungen in das System ein. Nach der Entdeckung ergab eine Auswertung durch die IT Security, dass der Angreifer insgesamt die Namen und Einkommensdaten von 99 Angestellten erbeutete. Bei zehn der Personen erhielt der Angreifer zusätzlich die Anzahl der Kinder, den Familienstand sowie Details über die Arbeitszeiten.

Dieser Cyberangriff, der lange Zeit unentdeckt blieb, deckt eine Vielzahl von Sicherheitslücken in der IT Security auf. Aus diesem Grund sind eine ausführliche Dokumentation sowie eine unverzügliche Information der Behörden sowie aller betroffener Personen erforderlich.

Dokumentation nach Artikel 33 erforderlich: Ja
Meldepflicht an die zuständige Datenschutzbehörde: Ja
Informationspflicht gegenüber betroffenen Personen: Ja