Was tun bei einem Hackerangriff in der Arztpraxis?
Cyberkriminelle schlagen immer häufiger zu und allzu oft im ganz großen Stil. Betroffen sind nicht nur global agierende Unternehmen, sondern auch Kommunen, Kliniken oder Arztpraxen. Was aber ist zu tun, wenn es zu einem Angriff von außen kommt?
Anfang des Jahres 2019 sorgte ein Hackerangriff auf Politiker für Schlagzeilen. Die Hacker griffen auf Daten von Politikern zu und veröffentlichten diese, darunter E-Mail-Adressen, Telefonnummern und Privatadressen. Im September 2018 knackten Cyberkriminelle 50 Millionen Nutzerkonten von Facebook und hatten so Zugang zu diversen Profilinformationen. Auch der Computerhersteller Asus oder das Unternehmen Binance, eine der größten Plattformen für den Handel mit Kryptowährungen, wurden durch eine Sicherheitsverletzung erschüttert. Aber nicht nur die Global Player sind im Visier der Hacker. Viele Gemeinden, Arztpraxen oder Hotels greifen auf vernetzte Systeme zurück und verwalten so die Daten ihrer Kunden, Patienten und Mitarbeiter. Durch die Fülle an gespeicherten personenbezogenen Daten sind sie mittlerweile alle ein lohnendes Ziel für Cyberkriminelle.
Woran ist ein Angriff erkennbar?
„Sollten sich Dateien von selbst verschieben und installieren, sich ohne eigenes Zutun Fenster auf dem Desktop öffnen, der Prozessor ungewöhnlich viel arbeiten oder der Rechner unerklärlicherweise abstürzen, besteht die Gefahr, dass sich Schadprogramme im System breitgemacht haben oder gezielt von außen Zugriff auf gespeicherte Daten genommen wird“, sagt Axel Keller, Rechtsanwalt bei Ecovis in Rostock und externer Datenschutzbeauftragter.
Ein Angriff von außen auf die im System gespeicherten Daten ist aus datenschutzrechtlicher Sicht eine Datenpanne. In der Regel werden nämlich personenbezogene Daten wie Namen, Gesundheitsdaten, E-Mail-Adressen, Kontoverbindungen und Ähnliches gelöscht, offengelegt, verändert oder vernichtet. „Das stellt ein mitunter erhebliches Risiko für die betroffenen Personen dar“, sagt Keller.
Aus diesem Grund ist jeder entdeckte Hackerangriff oder auch ein Befall mit Schadsoftware grundsätzlich innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde zu melden, wenn die Panne zu „einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt“, so die Formulierung in Artikel 33 der Datenschutzgrundverordnung (DSGVO).
Meldepflicht, ja oder nein?
Die Einordnung, ob ein meldepflichtiger Verstoß vorliegt oder nicht, ist nicht immer einfach. „Für eine erste Einschätzung, ob ein hohes Risiko für die Betroffenen besteht, hilft die Überlegung, welche Schäden der Betroffene durch die Datenpanne erleiden könnte und welche Auswirkungen diese für ihn haben könnten“, erklärt Datenschutz-Experte Keller (siehe Tipp).
Zur Meldung einer Datenpanne stellen die Aufsichtsbehörden in der Regel entsprechende Formulare bereit. Inhalt einer solchen Meldung muss sein:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten (Daten wurden gestohlen oder sind verloren gegangen);
- Kategorie der Betroffenen (handelt es sich um Kunden, Patienten, Mitarbeiter?);
- ungefähre Anzahl der Betroffenen;
- Beschreibung der wahrscheinlichen Folgen der Datenpanne;
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne oder zur Abmilderung ihrer Auswirkungen;
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle.
Betroffene informieren
Daneben sind auch unverzüglich, das bedeutet so schnell wie möglich, der oder die Betroffenen von der Datenpanne in Kenntnis zu setzen. Sie sind in klarer und einfacher Sprache über den Datenschutzbeauftragten sowie über eine Beschreibung der Folgen und der getroffenen Maßnahmen zu informieren.
Sollte eine Datenpanne nicht oder verspätet gemeldet werden, droht ein Bußgeld für das Datenschutzvergehen. Aktuell wurde durch die Aufsichtsbehörde für eine verspätete Information Betroffener bei einer Datenpanne ein Bußgeld in Höhe von 20.000 Euro verhängt.
Um Datenpannen vorbeugen zu können, helfen wirksame Firewalls und Virenprogramme oder Intrusion-Detection-Systeme sowie die regelmäßige Sensibilisierung aller Mitarbeiter. „Wir empfehlen zudem, sich mit dem Prozedere im Fall einer Datenpanne zu beschäftigen, damit keine Zeit verloren geht, sollte tatsächlich ein Angriff von außen erfolgt sein“, rät Keller.
Notfallplan für Hackerangriff
Diese Schritte sind bei einer Datenpanne zu unternehmen
- Feststellen der Datenpanne
- Risikoanalyse durchführen
- Meldepflichten erfüllen
- Maßnahmen zur Behebung der Datenpanne abstimmen
- Betroffene informieren
Axel Keller, Rechtsanwalt bei Ecovis in Rostock
Fragen? Melden Sie sich bei unseren Datenschutzberatern.