Zahlreiche Unternehmen, insbesondere solche mit Geschäftskontakten oder Zweigniederlassungen in der Ukraine, sind in den vergangenen Wochen Opfer der Schadsoftware „Petya“ geworden, die den gesamten Datenbestand verschlüsselt und (hoffentlich) nach Zahlung eines Lösegelds wieder freigibt. Die Reaktion auf diese und ähnliche Attacken ist nicht nur – wenn auch vor allem – eine Aufgabe für IT-Spezialisten, sondern erfordert auch rechtliche Schritte zur Vermeidung einer weiteren Haftung.
Dr. Stefan Maaßen, LL.M.
Grundlagen
Aufgrund der wachsenden Zahl unberechtigter Zugriffe auf teils große Datenbestände hat der Gesetzgeber eine Regelung in das Bundesdatenschutzgesetz (BDSG) eingefügt, die Unternehmen im Falle eines Viren- oder Trojanerangriffs unter bestimmten Umständen zu einer Meldung an die Aufsichtsbehörde und an die Betroffenen verpflichtet. Gemäß § 42a BDSG ist eine solche Meldung erforderlich, wenn besonders sensible personenbezogene Daten unrechtmäßig an einen Dritten übermittelt wurden. Dies bedeutet, dass die bloße Verschlüsselung des Datenbestandes, wie sie vermutlich durch Petya erfolgt ist, noch keine Informationspflicht begründet, soweit sichergestellt ist, dass es nicht zu einem unbeabsichtigten Datenverlust (Datenübermittlung) gekommen ist. Werden jedoch im Rahmen des Angriffs Daten an einen Dritten übermittelt, kann dies die Informationspflicht auslösen.
Relevante Arten von Daten und Handlungspflicht
Auch wenn es zu einer unbeabsichtigten Übermittlung von Kundendaten kommt, erfordert nicht jede Übermittlung eine Information der Behörden und Betroffenen. Die bloße Übermittlung von Namen, Anschrift und Kommunikationsdaten der Kunden einschließlich z.B. ihrer Bestellhistorie werden nicht als besonders sensible Daten eingestuft. Demgegenüber besteht regelmäßig eine Informationspflicht, wenn Daten über Bank- oder Kreditkartenkonten übermittelt werden. Außerdem besteht eine Informationspflicht, wenn bestimmte besonders sensible Daten über die Person des Kunden übermittelt werden, wie etwa Informationen über seine rassische Herkunft, seine Religions- oder seine Gewerkschaftszugehörigkeit. Diese Voraussetzung wäre z.B. dann erfüllt, wenn ein Gewerkschaftsangehöriger gegen Vorlage seines Mitgliedsausweises bestimmte Rabatte erhält. Die Informationspflicht ist zwar an die weitere Voraussetzung geknüpft, dass eine schwerwiegende Beeinträchtigung der Interessen des Nutzers droht. Aus diesem Merkmal ergibt sich jedoch zumindest im Fall der unbeabsichtigten Übermittlung von Bankdaten keine wirkliche Begrenzung. In diesem Fall dürfte ein Kunde regelmäßig ein schutzwürdiges Interesse an der Übermittlung von Informationen über den Vorfall haben, damit er mögliche betrügerische Abbuchungen kontrollieren kann. Soweit eine Informationspflicht begründet wird, müssen jeder betroffene Kunde und die zuständigen Behörden, im Regelfall also die Landesdatenschutzbehörden, informiert werden. Dies hat unverzüglich zu erfolgen.
Fazit
Die Abwehr von Cyberangriffen ist zwar eine Aufgabe für IT-Spezialisten. Kommt es zu einer unbeabsichtigten Übermittlung sensibler Daten, sind jedoch auch rechtliche Verpflichtungen zu beachten. Das Unterlassen einer Mitteilung gemäß § 42a BDSG bildet eine Ordnungswidrigkeit, die mit einer Geldbuße bis zu 300.000 Euro geahndet werden kann. Mit Inkrafttreten der Datenschutz-Grundverordnung im Mai 2018 ergeben sich weitere, noch erheblichere Risiken.
// Dr. Stefan Maaßen
