Wien – Die weltweite Cyberattacke vor kurzem zeigte einmal mehr, wie hart Angriffe à la Wannacry Unternehmen treffen können: Ein Reputationsverlust ist unvermeidlich, daneben drohen Schadenersatzansprüche der Kunden. Ab 25. Mai 2018 verschärft auch noch die EU-weit geltende Datenschutz-Grundverordnung (DSGVO) die Meldepflichten bei Hackerangriffen und Datenpannen erheblich.

Bereits nach aktueller österreichischer Rechtslage sind Unternehmer und Private grundsätzlich verpflichtet, Betroffene von Datenpannen zu informieren (§ 24 Abs 2a DSG 2000). Die Datenschutzbehörde muss nicht eingebunden werden. Ebenso wenig bestehen besondere Dokumentationspflichten.

Für die Verletzung der Informationspflicht droht eine Verwaltungsstrafe von "nur" 10.000 Euro (zum Vergleich: Wer online nicht über seine Cookie-Setzung informiert, riskiert das knapp Vierfache). Ersatzansprüche bestehen in der Regel nur für materielle (Vermögens-)Schäden.

"Alltagsrisiko Hackerangriff"

Diese "Idylle" verändern die EU-weit geltende Datenschutz-Grundverordnung und das begleitende, kürzlich als Entwurf veröffentlichte österreichische Datenschutz-Anpassungsgesetz 2018 (siehe Kartellrecht wird zum Vorbild für den Datenschutz) tiefgreifend. Gerade Unternehmer werden gezwungen sein, sich dem "Alltagsrisiko Hackerangriff" zu stellen.

Sobald ein Unternehmer oder Privater von der Verletzung des Schutzes der von ihm verarbeiteten (Kunden-)Daten erfährt, muss er zukünftig unverzüglich handeln (Artikel 33, 34 DSGVO). Umfasst ist jede Datenpanne (Vernichtung, Verlust, Offenlegung, Zugriff oder auch – wie bei Wannacry – Veränderung von Daten), und zwar unabhängig von deren Verursachung etwa durch strafbare Hackerangriffe oder bloß durch ein technisches Gebrechen.

Binnen 72 Stunden

Erheblich verschärft werden sowohl Inhalt und Fristen der Meldepflichten als auch Sanktionen bei deren Verletzung: Details und Auswirkungen der Datenpanne müssen an die Datenschutzbehörde (binnen 72 Stunden) und daneben oftmals auch an Betroffene (unverzüglich!) mitgeteilt werden.

Es gilt vorbereitet zu sein: Im Rahmen der DSGVO drohen bei unzureichender Informationserteilung ebenso wie bei mangelnder Datensicherheit – Wannacry betraf primär veraltete Windows-XP-Rechner – Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des Konzernjahresumsatzes. Daneben wird zusätzlich für materielle (z. B. Vermögensverluste) und immaterielle Schäden gehaftet (Rufschädigung, Diskriminierung).

Je detaillierter IT-Sicherheitsmaßnahmen dokumentiert sind, desto leichter lassen sich Sanktionen und Haftungsfälle vermeiden. Diese – in der Beratungspraxis alltägliche – Empfehlung ist hier Pflicht: Der Verantwortliche muss die Datenpannen selbst sowie alle damit zusammenhängenden Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen dokumentieren. Unternehmen wird daher dringend empfohlen, Notfallpläne und Richtlinien zu erstellen, die Details und Zuständigkeiten für zumindest folgende Abläufe umfassen:

• Evaluierung des Datenabflusses: Art der Datenpanne, Art / ungefähre Anzahl der betroffenen Daten und Personen.
• Abhilfemaßnahmen treffen (samt Dokumentation!).
• Evaluierung des Risikos für die Betroffenen: Entscheidend sind Eintrittswahrscheinlichkeit und Schwere der Schäden (Erwägungsgrund 75 DSGVO) – kurzum, wie "heikel" die gehackten Daten sind.
• Ergebnis "hohes Risiko" – Sofortinformation an Betroffene; Ergebnis "gewöhnliches Risiko" – Information an Datenschutzbehörde binnen 72 Stunden, jeweils basierend auf vorab ausgearbeiteter Musterbenachrichtigung.
• Schadensminimierung und Datensicherheitsanalyse.

Ziel ist es, eine unverzügliche Meldung aller Datenpannen inklusive möglicher Verdachtsfälle bei der Unternehmensleitung und/oder dem Datenschutzbeauftragten sicherzustellen.

Wie so viele der DSGVO-Compliance-Anforderungen kann man die neuen Meldepflichten als Chance sehen, um Datenanwendungen und -sicherheit auf Vordermann zu bringen. Exakt ein Jahr bleibt dafür noch Zeit. (Stephan Winklbauer, Jakob Geyer, 22.5.2017)