Hackerangriff: Müssen Kunden informiert werden?

von Ramona Höfler

Wie bereits in den Medien bekannt gegeben wurde, fiel der Elektronik-Händler Conrad einem Hackerangriff zum Opfer. Dieser war auf eine IT-Sicherheitslücke in den firmeneigenen IT-Systemen zurückzuführen. Somit konnten Unbekannte über mehrere Monate hinweg auf eine Datenbank mit fast 14 Millionen Kundendatensätzen zugreifen. Unter den Kundendatensätzen befanden sich Postadressen, E-Mailadresse, Faxnummern sowie IBAN-Nummern der Kunden. Zu diesem Fall wurde auch das Bayerische Landesamt für Datenschutzaufsicht eingeschaltet.

Aus Sicht der Behörden war bei diesem Datenschutzvorfall keine Benachrichtigung der Betroffenen erforderlich. Dennoch hat sich der Elektronik-Händler dafür entschieden, die Kunden über diesen Datenschutzvorfall auf seiner Webseite darüber zu informieren.

Muss man betroffene Personen über einen Hackerangriff informieren?

Nach Art. 34 Abs. 1 DSGVO muss man betroffene Personen nur über einen Datenschutzvorfall informieren, wenn dieser ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat. Es bedarf demnach einer Prognoseentscheidung, ob ein hohes Risiko für die Betroffenen besteht. Allerdings ist eine Bewertung schwierig, da die DSGVO nicht konkret differenziert, nach welchen Kriterien sich die Einordnung unter „kein Risiko“, „einem durchschnittlichen Risiko“ und „einem hohen Risiko“ bemisst.

Beachten Sie, dass Sie den Datenschutzvorfall bereits bei Bestehen eines normalen Risikos an die Aufsichtsbehörde melden müssen! Die betroffene Person ist allerdings erst darüber zu informieren, wenn dieser Vorfall ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person mit sich trägt. Erforderlich ist in solchen Fällen eine Abwägung zwischen einen Reputationsverlust des Unternehmens und den Betroffenen an einer transparenten Information.

Allerdings kann die Entscheidung der Aufsichtsbehörde nicht ganz nachvollzogen werden, weshalb in diesem Fall die betroffenen Personen nicht informiert werden mussten. Denn immerhin sind Zahlungsinformationen der betroffenen gegenüber Dritter offengelegt worden. Sowie E-Mailadressen mit denen die Hacker Malware oder Phishing-Mails verschicken können. Aus unserer Sicht handelt es sich hierbei um einen Datenschutzvorfall, der eine Meldepflicht  sowohl bei der Aufsichtsbehörde als auch bei den betroffenen Personen auslöst.

Dieser Vorfall zeigt auch, wie wichtig die IT-Sicherheit im Unternehmen ist. Mängel in der IT-Sicherheit können zur Offenlegung von Millionen Datensätzen führen.
Unser IT-Security-Team hilft Ihnen, Risiken zu erkennen und abzuwähren – beispielsweise durch den Aufbau eines ISMS. Kontaktieren Sie uns!

assets/images/e/Ramona-Hoefler-3-d9278a5d.jpg
Ramona Höfler

Ramona Höfler ist seit ihrer Ausbildung zur Kauffrau für Büromanagement bei uns tätig. Sie kennt deshalb unser Dienstleistungs-Portfolio sehr genau. Mittlerweile unterstützt sie unser Team nicht nur im Backoffice sondern steht unseren Kunden auch als zertifizierte Datenschutzbeauftragte mit Rat und Tat zur Seite. Service- und Lösungsorientierung, Flexibilität und Kompetenz stehen für sie an erster Stelle.