Meldung einer Datenpanne in Folge des „Hafnium Hacks“

Nach ErwG 85 der DS-GVO kann eine Verletzung des Schutzes personenbezogener Daten  – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.

Deshalb soll nach dem Willen des Verordnungsgebers der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt.

Vor dem Hintergrund, dass bei einem erfolgreichen Angriff über den sog. „Hafnium Hack“ die Möglichkeit der Ausführung von Schadsoftware besteht und die Angreifer über die Sicherheitslücke Zugriff auf das Unternehmensnetzwerk erlangen können, haben sich die Datenschutzaufsichtsbehörden dahingehend geäußert, dass im Fall eines festgestellten Datenabflusses ein Data Breach bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden muss. Darüber hinaus könne in einem solchen Fall zudem eine Benachrichtigungspflicht an betroffene Personen bestehen.

Zur Beseitigung der Unsicherheiten, die sich aus den diversen Stellungnahmen der Aufsichtsbehörden zum Thema „Meldung einer Datenpanne in Folge eines Hafnium Hacks“ bei den Verantwortlichen ergeben haben, hat sich eine Unterarbeitsgruppe des AK Datenschutzes der Bitkom mit der Auslegung der Art. 33 und 34 DSGVO auseinandergesetzt, um Unternehmen bei Meldungen von Datenschutzverletzungen fachlich zu unterstützen. Insbesondere wurde die herrschende Meinung über den Begriff des »Bekanntwerdens« einer Verletzung des Schutzes personenbezogener Daten untersucht, mit dem Ziel der Harmonisierung der Auslegung durch Unternehmen und den Behörden.
Als Ergebnis dieser Bemühungen hat der BITKOM den Leitfaden „Datenschutzverletzung und Meldung im Kontext des »Hafnium Hacks«“ veröffentlicht.

Bitkom e.V.

(Foto: WhataWin – stock.adobe.com)





Letztes Update:10.04.21

  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    678.60 € Mehr erfahren
  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    2021-10-06, 08:00 | Stuttgart

    696.15 € Mehr erfahren
  • Datenschutz Aktuell

    Datenschutz Aktuell

    Seminar

    678.60 € Mehr erfahren
  • GDPR Schrems II

    Praxishinweise zum Fragenbogen der Aufsichtsbehörden

    Die GDD gibt Unternehmen Hinweise zur Beantwortung des Fragebogens der Aufsichtsbehörden zum konzerninternen Datenverkehr nach Schrems II. Anlässlich einer koordinierten Kontrolle von grenzüberschreitenden Datenübermittlungen in Drittländer seitens der deutschen Aufsichtsbehörden sollen ausgewählte Unternehmen auf Basis eines Fragenkataloges angeschrieben werden[1]. Insgesamt fünf Themenbereiche werden von unterschiedlichen Fragebögen[2] abgedeckt. Diese sind: Bewerberportale Konzerninterner Datenverkehr Mailhoster Tracking Webhoster Hintergrund

    Mehr erfahren
  • Kopie nach Art. 15 Abs. 3 DS-GVO

    Anspruch auf unentgeltliche Kopie von Examensklausuren nach Art. 15 DS-GVO

    Ein Urteil des Oberverwaltungsgerichts dürfte so manchem Examenskandidaten ein Lächeln ins Gesicht zaubern, zumindest denjenigen, die ein Interesse daran haben, Einsicht in die angefertigten Aufsichtsarbeiten und Prüfergutachten zu erhalten – am besten unentgeltlich. Das ist möglich, sagt das Oberverwaltungsgericht und stützt diesen Anspruch auf Art. 15 Abs. 3 DS-GVO. Was war passiert? Ein in Essen

    Mehr erfahren
  • Prüfung Aufsichtsbehörde

    Internationaler Datentransfer: Koordinierte Prüfung durch Aufsichtsbehörden

    In seiner Schrems-II-Entscheidung hat der EuGH festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen

    Mehr erfahren