Werden personenbezogene Daten verletzt, müssen die Pannen gemeldet und die Betroffenen häufig informiert werden. Manchmal weigern sich Firmen, zu handeln, wie ein Fall aus Sachsen-Anhalt zeigt.
In Sachsen-Anhalt ist die Zahl der gemeldeten Datenpannen gestiegen. Während es im Jahr 2019 noch 186 waren, wurden es in den vergangenen Jahren kontinuierlich mehr. 2023 gab es 300 Datenpannenmeldungen, wie die Landesbeauftragte für den Datenschutz, Maria Christina Rost, auf Anfrage mitteilte.
Im Falle einer Verletzung des Schutzes personenbezogener Daten muss nach der Datenschutzgrundverordnung möglichst binnen 72 Stunden eine Meldung bei der Behörde erfolgen. Wer die Frist nicht einhält, kann ein Bußgeld auferlegt bekommen.
In diesem Jahr, wo bis September 161 Vorfälle gemeldet wurden, speicherten professionell organisierte Angreifer bei einer Cyberattacke Daten von etwa 18.000 Kunden. Diese seien verschlüsselt worden, das Unternehmen habe nicht mehr darauf zugreifen können, sagte Rost. Unter den Daten befanden sich Namen, Adressen, Aufnahmen von Grundstücken, Bankverbindungsdaten und Kommunikationsabläufe.
Daten im Darknet veröffentlicht
Das Unternehmen hat letztlich eine Securityfirma eingeschaltet. „Es war jedoch nicht möglich, die Daten zu entschlüsseln“, so Rost. Die Angreifer forderten für die Bereitstellung des circa 50-stelligen Schlüssels ein Lösegeld in Höhe von 30 Millionen Euro. Das Unternehmen zahlte nicht, nach Ablauf der gesetzten Frist wurden die Daten durch die Angreifer im Darknet veröffentlicht.“Die Auswirkungen dieses Cyberangriffs waren für das Unternehmen erheblich“, sagte Rost. Die Landesbeauftragte sah ein hohes Risiko für die Kundinnen und Kunden. Diese Einschätzung hat zur Folge, dass das Unternehmen die Betroffenen über den Angriff benachrichtigen muss, damit diese Maßnahmen zu ihrem Schutz treffen können. „Das Unternehmen weigerte sich aber zunächst, diese Benachrichtigung durchzuführen.“
Datenträger in Büroraum vergessen
Die Benachrichtigung erfolgte erst, als die Landesbeauftragte dem Unternehmen gegenüber erklärte, bei Nichtbenachrichtigung zum Schutz der Kunden im Rahmen einer öffentlichen Stellungnahme auf die Veröffentlichung im Darknet hinzuweisen. „Ein Abschlussbericht des Unternehmens steht noch aus. Gegebenenfalls werden Sanktionen wegen der späten Benachrichtigung geprüft“, sagte Rost.
In einem anderen Fall wandte sich die Datenschutzbeauftragte an Stadtwerke einer großen Stadt. Diese hatten einen Büroraum durch ein Umzugsunternehmen entrümpeln lassen und darin alte, noch auslesbare Datenträger mit gespeicherten personenbezogenen Daten zurückgelassen. Der Vorfall wurde der Behörde gemeldet. „Hier hätte das Unternehmen vor der Entrümpelung prüfen müssen, ob sich in dem Büroraum noch Datenträger mit gespeicherten personenbezogenen Daten befinden“, sagte Rost. Gegebenenfalls hätte es für eine datenschutzgerechte Vernichtung der Datenträger sorgen müssen.