Hackerangriffe: Müssen Kunden informiert werden?

Wie bereits in den Medien bekannt gegeben wurde, wurde der Elektronik-Händler Conrad Opfer eines Hackerangriffs. Dieser war auf eine IT-Sicherheitslücke in den firmeneigenen IT-Systemen zurückzuführen. Somit konnten Unbekannte über mehrere Monate hinweg auf eine Datenbank mit fast 14 Millionen Kundendatensätzen zugreifen. Unter den Kundendatensätzen befanden sich Postadressen, E-Mailadresse, Faxnummern sowie IBAN-Nummern der Kunden. Zu diesem Fall wurde auch das Bayerische Landesamt für Datenschutzaufsicht eingeschaltet.

Aus Sicht der Behörden war bei diesen Datenschutzvorfall keine Benachrichtigung der Betroffenen erforderlich. Dennoch hat sich der Elektronik-Händler dafür entschieden, die Kunden über diesen Datenschutzvorfall auf seiner Webseite darüber zu informieren.

Müssen betroffene Personen über einen Hackerangriff informiert werden?

Nach Art. 34 Abs. 1 DSGVO müssen betroffene Personen über einen Datenschutzvorfall informiert werden, wenn dieser ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat. Es bedarf demnach einer Prognoseentscheidung, ob ein hohes Risiko für die Betroffenen besteht. Allerdings ist eine Bewertung schwierig, da die DSGVO nicht konkret differenziert, nach welchen Kriterien sich die Einordnung unter „kein Risiko“, „einem durchschnittlichen Risiko“ und „einem hohen Risiko“ bemisst.

Zu beachten ist, dass bereits bei Bestehen eines normalen Risikos, der Datenschutzvorfall an die Aufsichtsbehörde gemeldet werden muss. Die betroffene Person ist allerdings erst darüber zu informieren, wenn dieser Vorfall ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person mit sich trägt. Erforderlich ist in solchen Fällen eine Abwägung zwischen einen Reputationsverlust des Unternehmens und den Betroffenen an einer transparenten Information.

Allerdings kann die Entscheidung der Aufsichtsbehörde nicht ganz nachvollzogen werden, weshalb in diesem Fall die betroffenen Personen nicht informiert werden mussten. Denn immerhin sind Zahlungsinformationen der betroffenen gegenüber Dritter offengelegt worden. Sowie E-Mailadressen mit denen die Hacker Malware oder Phishing-Mails verschicken können. Aus unserer Sicht handelt es sich hierbei um einen Datenschutzvorfall, der eine Meldepflicht  sowohl bei der Aufsichtsbehörde als auch bei den betroffenen Personen auslöst.

Dieser Vorfall zeigt auch, wie wichtig die IT-Sicherheit im Unternehmen ist, denn Mängel in der IT-Sicherheit können zur Offenlegung von Millionen Datensätzen führen.