LDI NRW gibt Notfallplan heraus
Wenn Cyberangriffe ganze Unternehmen, Branchen oder Mandanten lahmlegen, dann ist das nicht nur ein Sicherheitsrisiko, sondern auch ein Datenschutzvorfall, der unter Umständen meldepflichtig ist. Vor allem dann, wenn personenbezogene Daten betroffen sind, muss der Verantwortliche reagieren.
Der jüngste Fall eines Cyberangriffes auf einen Dienstleister für Steuerberater, der jetzt in den Medien bekannt wurde, zeigt, welche Gefahr für den Datenschutz durch diese Form der Angriffe entstehen kann und wie nah diese bereits in den unterschiedlichen Branchen angekommen ist.
Cyberangriff auf Dienstleister für Steuerberater
Laut Medienberichten hat es am 21. November 2023 einen Cybervorfall bei einem Dienstleister für Steuerberater gegeben. Diesen Berichten zu Folge, konnten seit diesem Vorfall die betroffenen Kanzleien zeitweise nicht mehr oder nur eingeschränkt auf die Daten zurückgreifen bzw. arbeiten.
Es ist noch nicht bekannt, ob und welche Daten der Mandanten eventuell betroffen oder verloren gegangen sind. Der Vorfall wurde vom Dienstleister bisher noch nicht offiziell bestätigt, bisher wird hier nur eine Störung bestätigt. Es ist noch nicht bekannt, ob Kundendaten betroffen sind. Laut LDI NRW wurde diese bereits informiert.
BLOG-TIPP: AWARENESS: MITARBEITER ALS TEIL FÜR DEN DATENSCHUTZ
Cyberangriffe als Gefahr für den Datenschutz
Egal, was genau gerade das Problem hervorruft, es zeigt, dass die Gefahr für Angriffe auf die Daten unterschiedlichster Branchen wächst. Betroffen sind nicht mehr nur Großkonzerne und die Daten, die in Drittländern oder bei unsicheren Anbietern verarbeitet werden. Die Gefahr ist mittlerweile längst überall angekommen.
Wenn personenbezogene Daten betroffen sind, ist auch der Datenschutz betroffen. Gehen Daten verloren, weil man nicht mehr darauf zurückgreifen kann, werden gelöscht, verändert oder gar veröffentlicht, handelt es sich um einen meldepflichtigen Datenschutzvorfall.
BLOG-TIPP: MOBILE ENDGERÄTE UND DER DATENSCHUTZ IN ZEITEN ERHÖHTER CYBERANGRIFFE
Aufsichtsbehörde informieren – Meldefristen beachten
Wenn eine sogenannte Datenpanne vorliegt, muss in jedem Fall die entsprechende Aufsichtsbehörde informiert werden. Dafür hat der Verantwortliche 72Stunden Zeit. Diese Frist gilt ab Bekanntwerden des Vorfalls und unabhängig, ob es ein Wochenende oder ein Feiertag ist.
Darüber hinaus müssen je nach Risiko auch die Betroffenen über diesen Vorfall informiert werden. Dies muss nach den Vorgaben des Datenschutzes unverzüglich erfolgen. Es sollte in jedem Fall der Datenschutzbeauftragte hinzugezogen werden.
Wenn die Verletzung des Schutzes der personenbezogenen Daten bei einen Auftragsverarbeiter erfolgt, dann muss dieser den Verantwortlichen informieren und das unverzüglich. Daraufhin muss dann vom Verantwortlichen bewertet werden, welche Maßnahmen ergriffen werden müssen.
BLOG-TIPP: PRAXISTIPP: MELDEPFLICHTEN BEI DATENPANNEN
Notfallplan LDI NRW
Bezüglich Datenschutzvorfällen hat die Landesbeauftragte für Datenschutz und Informationssicherheit (LDI NRW) bereits im September einen Notfallplan erstellt, wenn es um einen Cyberangriff geht.
In der Veröffentlichung wird auch noch einmal deutlich gemacht, wie sehr die Gefahr von Cyberangriffen in allen Bereichen wächst. Darüber hinaus finden sich dort u.a. folgende Tipps:
- Cyberangriff stoppen oder zumindest eigrenzen
- Untersuchung des Vorfalls (Was ist passiert? Welche (personenbezogenen) Daten sind betroffen? Wer ist betroffen?)
- Auswirkungen auf die betroffene Person bestimmen
- Nachteile für die betroffene Personen abmildern (dazu gehört auch den Betroffenen zu informieren)
- Schutzniveau der Systeme der Gefahr anpassen
- Abschließend: Dokumentation des Vorfalls
BLOG-TIPP: MELDEPFLICHTIGE DATENPANNEN – SCHADENSERSATZANSPRÜCHE
Meldeformular für Datenpannen
Auf der Homepage der LDI NRW finden Sie auch ein Web-Formular zur Meldung von Datenpannen. Gerade wenn ein Cyberangriff Systeme und Datenzugriffe auf personenbezogene Daten verhindert, verändert oder löscht, sollte man aber immer auch überlegen einen Fachmann hinzuzuziehen. (Externer) Datenschutzbeauftragter und IT-Fachmann sind dabei die wichtigsten Ansprechpartner.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.