Zahl der Hackerangriffe auf Höchststand - Verschlüsselung personenbezogener Daten schützt vor Meldepflicht an die Betroffenen
Das Jahr 2021 war ein Rekordjahr für Hackerangriffe. Kriminelle haben insbesondere versucht, Geld bei Unternehmen oder Behörden zu erpressen, indem sie Firmendaten verschlüsseln und diese erst nach Zahlung eines Lösegelds wieder entschlüsseln.
Bereits der fehlende Zugriff auf wichtige Firmendaten kann Unternehmen in eine äußerst schwierige Lage bringen, da ohne diese Daten der Geschäftsbetrieb schlicht nicht aufrechterhalten werden kann.
Unterschiede bei Meldepflichten gegenüber Datenschutzaufsicht und Betroffenen
Hinzu kommt: Ein Unternehmen muss einen Hackerangriff ohne Ausnahme dann an die zuständige Datenschutzaufsicht melden, wenn dabei personenbezogene Daten verloren gegangen, verändert oder unbefugt offengelegt worden sind und dies für die Betroffenen mit Risiken verbunden ist. Die Meldepflicht an die Behörde besteht schon bei einem normalen Risiko. Betroffene sind in jedem Fall dann zu benachrichtigen, wenn die Verletzung ein „gesteigertes Risiko“ für ihre Rechte und Freiheiten auslöst.
Sehr problematisch bei Hackerangriffen ist, dass in der Regel nachträglich auch mit großem Aufwand nicht mehr festgestellt werden kann, ob und in welchem Umfang Daten aus dem Unternehmen abgeflossen sind. Kann dies nicht sicher ausgeschlossen werden, so wird sich die Aufsichtsbehörde auf den Standpunkt stellen, es seien potenziell alle im Unternehmen gespeicherten Daten betroffen. Dann wären aber auch ohne Weiteres sensible Daten wie Kontoverbindungen und insbesondere Informationen über Religionszugehörigkeit, Krankheiten und Vorliegen einer Schwerbehinderung der Mitarbeiter betroffen, was eine Meldung an den entsprechenden Personenkreis unumgänglich macht. Die Situation ist insofern höchst unbefriedigend, weil die Daten möglicherweise tatsächlich gar nicht abgeflossen sind und die Meldung bei sicherer Kenntnis der Faktenlage unter Umständen nicht erforderlich gewesen wäre.
Empfehlung: Umfassende Verschlüsselung
Ob und wann eine Meldung an die Behörden erfolgen muss, ist im Einzelfall zu prüfen. Eine Meldung an die Betroffenen jedoch ist jedenfalls dann nicht erforderlich, wenn die potenziell kritischen Daten unternehmensweit verschlüsselt gespeichert sind. Selbst bei Abfluss der Daten wären diese entweder gar nicht oder nur mit sehr hohem technischem und zeitlichem Aufwand zu entschlüsseln.
Für eine entsprechende Sicherheit muss die Verschlüsselung allumfassend sein:
- Datenbanken dürfen nicht im Klartext Daten abspeichern.
- Dateilaufwerke sollten ebenfalls verschlüsselt werden, jedenfalls aber Dateien, die personenbezogene Daten beinhalten, beim Speichern mit einem Passwortschutz versehen. Dies bietet gleichzeitig auch beim Versenden einen Schutz gegen unbefugte Kenntnisnahme.
- Interne wie externe Unternehmenskommunikation ist ebenfalls zu verschlüsseln.
Unternehmensweite Verschlüsselung geht sicherlich mit einem gewissen Aufwand und auch Komfortverlust einher. Gleichzeitig besteht an der Notwendigkeit der Verschlüsselung jedoch kein Zweifel. Insbesondere bei der Neubeschaffung von IT-Hard- und Software ist dringend zu prüfen, ob diese eine Verschlüsselung ermöglichen. Viele Office-Programme bieten zudem von sich aus die Möglichkeit zum Verschlüsseln an.