1) Prüfung der kompromittierten Geräte/Accounts auf Veränderungen
- Unverzügliche sämtliche Geräte und Systeme physisch vom Internet und anderen Netzwerken trennen
- Geräte von Experten / ITler begutachten lassen (Forensische Untersuchung)
- Festplatte des Rechners anschließend auf jeden Fall komplett löschen (formatieren) und das System komplett neu installieren
- Prüfen und verbessern der wohl unzureichenden technischen und organisatorischen Maßnahmen nach Art. 32 DS-GVO. Falls menschliches Versagen (z.B. E-Mail-Anhang mit Malware geöffnet): Schulungen und Virenschutz verbessern
- Sämtliche Maßnahmen sind zu dokumentieren
2) Anzeige erstatten
Anzeige bei Polizei oder Staatsanwaltschaft ist möglich und sinnvoll. Hacking an sich ist nicht zwangsläufig strafbar. In dem Moment, in dem jedoch unerlaubt auf fremde Systeme zugreifen oder fremde Daten abgreifen werden, liegt eine Strafbarkeit vor. Strafbar macht sich zudem auch derjenige der die abgegriffenen Daten weiterverbreitet.
Vorsicht: Durch Maßnahmen zur Beendigung des Angriffs bzw. zur Behebung der Schäden können Spuren vernichtet werden. Kontaktieren Sie im Zweifel vorher die Polizei.
Meist ist eine Anzeige zwingende bei Bestehen von Versicherungsschutz (Cyberhaftpflicht)
3) Meldepflichten
- Meldepflicht gegenüber der Datenschutz-Aufsichtsbehörde nach Art. 33 DSGVO (unverzüglich, jedoch spätestens innerhalb von 72 Stunden): Online-Server zur Meldung einer Datenschutzverletzung: https://www.lda.bayern.de/de/datenpanne.html
- Benachrichtigungspflicht gegenüber den betroffenen Dritten nach Art. 34 DSGVO (unverzüglich bei hohem Risiko für deren persönlichen Rechte und Freiheiten)
Zu unterscheiden sind danach drei Risikostufen:
- Tritt voraussichtlich keinRisiko auf – in der Sache handelt es sich um ein vernachlässigbar geringes (datenschutzrechtlich nicht relevantes) Risiko – unterbleiben sowohl die Meldung einer Datenschutzverletzung an die Datenschutz-Aufsichtsbehörde wie auch die Benachrichtigung der betroffenen Personen.
- Entsteht voraussichtlich ein (datenschutzrechtlich relevantes) Risiko, ist nach Art. 33 Abs. 1 DSGVO zu melden, aber nicht nach Art. 34 Abs. 1 DSGVO zu benachrichtigen.
- Nur wenn die Datenschutzverletzung voraussichtlich ein hohesRisiko zur Folge hat, muss eine Meldung an die Datenschutz-Aufsichtsbehörde abgegeben werden und es müssen auch die betroffenen Personen benachrichtigt werden.
Ermittlung des Risikos
4) weitere Maßnahmen
Weitere Maßnahmen sind abhängig vom technischen Zugriffsweg, von der Art der Daten und der Schutzbedürftigkeit der Betroffenen. Beispiele:
- Sperrung von kompromittierten Kredit- u.ä. Karten (Karten-Sperr-Notruf 116116).
- Können Angriffe auf Dritte nun einfacher erfolgen? Dann Dritte und/oder Datenschutz-Aufsichtsbehörde warnen.
- Sind Daten unbefugt im Internet veröffentlicht worden? Dann den jeweiligen Anbieter und/oder Hosting-Provider benachrichtigen und um Löschung (Art. 17 DSGVO) ersuchen.
- Betreiber von Suchmaschinen können aufgefordert werden, verletzende oder ehrenrührige Treffer auszublenden (vgl. dazu die Informationen der Suchmaschinenbetreiber, zu Google etwa https://support.google.com/websearch/troubleshooter/3111061).
5) Welche juristischen Möglichkeiten haben betroffene Personen?
Als betroffene Person habe ich die Möglichkeit Strafanzeige gegen den Hacker zu stellen. Daneben habe diese noch die Möglichkeit zivilrechtliche Ansprüche gegen den Hackern durchzusetzen. In erster Linie kommen hier ein Unterlassungsanspruch und ein Anspruch auf Schadensersatz in Betracht. Als Schadensersatz können dabei tatsächliche Schäden (messbare, finanzielle Schäden) ersetzt werden. Daneben ist aber auch der Ersatz von immateriellen Schäden, also eine Art Schmerzensgeld denkbar.
Da die Hacker jedoch meist anonym und nicht zu ermitteln sind, bestehen zudem Ansprüche in Form von Auskunfts- und Schadensersatzansprüche gegenüber dem Datenverantwortlichen. In der Regel argumentieren diese, dass sie selbst Opfer einer kriminellen Handlung geworden sind und für die Folgen nicht verantwortlich gemacht werden können. Aus rechtlicher Sicht ist diese Argumentation jedoch nicht ganz zutreffend.
Zwar urteilte der EuGH (RS C-340/21), dass ein erfolgreicher Hackerangriff nicht automatisch auf mangelnden Datenschutz schließen lässt, jedoch alles Notwendige für die Sicherheit der Informationen hätte getan werden müssen, um einen solchen Hackerangriff zu verhindern. Demnach hängt das erforderliche Schutzniveau beispielsweise ab von der Art der Daten sowie von den Risiken, die mit einem Missbrauch verbunden sind. Auch bei der Frage nach der Haftung verwies der EuGH auf den Gesetzestext. Befreit ist demnach nur, wer nachweisen kann, dass die Daten gemäß den Vorgaben der DSGVO ausreichend vor Missbrauch geschützt waren. Demnach ergeben sich folgende Voraussetzungen:
- Erstens muss feststehen, dass überhaupt ein Schaden entstanden ist. Ohne einen Schaden kann es auch keinen Anspruch auf Schadensersatz geben.
- Zweitens muss ein Verstoß gegen die DSGVO vorliegen, etwa durch unzureichende Sicherheitsmaßnahmen.
- Drittens muss dieser Verstoß gegen die DSGVO die Ursache dafür gewesen sein, dass der Schaden entstanden ist (sog. Kausalzusammenhang zwischen dem Verstoß und dem Schaden).
Entscheidend für ein rechtliches Obsiegen liegt in erster Linie in der Darlegungs- und Beweislast. Für den Eintritt eines Schadens ist der Betroffene selbst beweisbelastet, während der Verantwortliche nachweisen muss, dass dieser sämtliche Sicherheitsmaßnahmen gegen einen Hackerangriff ergriffen hat.
Des Weiteren kann im Falle, dass die Daten über eine bestimmte Plattform wie bspw. Twitter oder Facebook veröffentlicht wurden, im Zweifel auch gegen die Plattform selbst vorgegangen werden. Das gilt jedenfalls, wenn die Plattform von den rechtswidrigen Inhalten Kenntnis hatte und nichts unternommen wurde. Hier muss in der Regel zunächst ein Hinweis an die Plattform ergehen. Wenn personenbezogene Daten betroffen sind, werden die Datenschutzbehörden ggf. auch von selbst tätig.
Letztendlich können die Betroffenen auch selbst, wenn durch den Hackerangriff personenbezogene Daten betroffenen sind, eine Beschwerde bei der zuständigen Datenschutzbehörde durchführen. Diese wird dann selbst Ermittlungen aufnehmen und ggf. Bußgelder verhängen.