Wird ein Dienstleister Opfer einer Cyberattacke, kann dies auch ernsthafte Auswirkungen auf seine Auftraggeber haben. Unternehmen, deren Dienstleister von einem solchen Vorfall betroffen sind, müssen schnell und effektiv reagieren, um die Auswirkungen der Attacke zu minimieren und ihre eigenen Systeme und Daten zu schützen. Oftmals ist jedoch die Rechtslage unklar und die Unternehmen wissen in ihrer Rolle als Auftraggeber nicht, welche Maßnahmen sie ergreifen sollten, wenn ihnen ein solcher IT-Sicherheitsvorfall bei einem ihrer Dienstleister bekannt wird.
Im Anschluss an Teil 1 unter dem Titel „Hilfe, Cyberangriff – was ist jetzt zu tun?“ erläutert Josefine Spengler, Rechtsanwältin und Fachanwältin für IT-Recht bei Annerton, die Schritte, die Unternehmen ergreifen sollten, wenn ihr Dienstleister Opfer einer Cyberattacke geworden ist:
Fast jeder ist von Cyberattacken betroffen
Nahezu kein Unternehmen kommt heute mehr ohne den Einsatz von externen Dritten aus, die sie mit bestimmten Diensten beauftragen. Insbesondere werden IT-Dienstleister eingesetzt, die z.B. das Hosting von Webseiten und Speicherkapazitäten, das Management der IT-Infrastruktur oder die Software-Entwicklung übernehmen. Aber auch klassische Themen wie Buchhaltung, Personalwesen, Inkasso, Rechts- und Steuerberatung oder Marketing werden gern und vielfach an Dritte ausgelagert. Die Wahrscheinlichkeit, dass einen solchen Dienstleister eine Cyberattacke trifft, kann selbst bei besten IT-Sicherheitsvorkehrungen nicht bei null liegen und ist angesichts der Vielzahl von Meldungen aus dem täglichen Nachrichtenbild sogar eher hoch.
Unternehmen, deren Dienstleister eine IT-Attacke erlitten hat, müssen ebenfalls genau prüfen, ob sie von der Attacke betroffen sind und welche Maßnahmen sie einleiten sollten. In einem Notfallszenario sin folgende Schritte zu berücksichtigen:
1. Sofortige Kontaktaufnahme zum Dienstleister
Wenn ein Dienstleister eines Unternehmens Opfer einer Cyberattacke wird, sollte das betroffene Unternehmen sofort den Dienstleister kontaktieren und weitere Informationen über die Art und den Umfang des Vorfalls erhalten. Es ist wichtig, so schnell wie möglich zu handeln, um den Schaden zu begrenzen und weitere Angriffe zu verhindern.
- Prüfung der eigenen Systeme
Erhalten Unternehmen Kenntnis von einer Cyberattacke auf ihren Dienstleister, sollten sie ihre eigenen Systeme und Netzwerke umgehend prüfen, um sicherzustellen, dass keine unautorisierten Zugriffe stattgefunden haben und dass ihre eigenen Daten und Systeme nicht auch von dem Vorfall betroffen sind. Eine Überprüfung der eigenen Sicherheitsmaßnahmen ist ebenfalls empfehlenswert.
- Schadensbegrenzung
Unternehmen sollten Schritte unternehmen, um den Schaden zu begrenzen, der durch den Vorfall verursacht wurde. Dies kann die Wiederherstellung von Daten, die Neuinstallation von Software und Systemen sowie die Überwachung von Systemen und Netzwerken umfassen. Natürlich sollte auch jede vom betroffenen Dienstleister selbst empfohlene Maßnahme (z.B. das umgehende Ändern von Passwörtern) im Unternehmen umgesetzt werden.
- Dokumentation des Vorfalls
Oft unterschätzt wird die immense Bedeutung der genauen und fortwährenden Dokumentation des Vorfalls. Unternehmen sollten alle relevanten Informationen zu dem Vorfall bei ihrem Dienstleister, einschließlich der Art des Angriffs, des Umfangs des Schadens, der betroffenen Systeme oder Daten sowie der Maßnahmen, die ergriffen wurden, um den Vorfall zu bewältigen, sammeln und fortlaufend aktualisieren. Eine gute Dokumentation hilft bei der Zusammenarbeit mit den einzuschaltenden Behörden und bei der Einleitung von rechtlichen Schritten. Hinzu kommt, dass anhand der Dokumentation Verbesserungen für die Zukunft abgeleitet werden können.
- Vertragsprüfung
Unternehmen sollten ihre Verträge mit dem betroffenen Dienstleister überprüfen, um sicherzustellen, dass der Dienstleister seine Verpflichtungen im Hinblick auf die Datensicherheit und den Schutz von vertraulichen Informationen erfüllt hat. Es gibt verschiedene Aspekte, die in einem Vertrag mit einem Dienstleister nach einer Cyberattacke berücksichtigt werden sollten:
- Haftung: Eine klare Haftungsregelung für den Fall von IT-Sicherheitsvorfällen ist das „A und O“. Der Dienstleister sollte mindestens für den Schaden verantwortlich sein, der durch seine fehlenden Sicherheitsvorkehrungen entstanden ist.
- Schadenersatz: Im Vertrag sollte klar definiert, wie der Dienstleister den entstandenen Schaden begleichen wird. Der Vertrag sollte eine angemessene Schadenersatzregelung enthalten.
- Datenschutz: Der Vertrag sollte Bestimmungen dazu enthalten, wie der Dienstleister die Datenschutzbestimmungen einhält und ob er ein angemessenes Datenschutz- und Sicherheitsniveau gewährleisten kann. Die technisch-organisatorischen Maßnahmen des Dienstleisters müssen genannt sein und jederzeit überprüft werden können.
- Informationspflichten: Der Dienstleister sollte durch den Vertrag verpflichtet sein, das Unternehmen unverzüglich über eine Cyberattacke und deren Auswirkungen zu informieren. Hilfreich ist auch eine klare Regelung dazu, wer welche Endkundenkommunikation übernimmt.
2. Meldung an Datenschutzbehörden
Nach Art. 33 Datenschutzgrundverordnung (DSGVO) besteht im Falle von Datenschutzverletzungen durch Cyberattacken eine Meldepflicht. Dies gilt auch für den Fall, dass die Datenschutzverletzung beim Dienstleister geschehen ist.
Wenn personenbezogene Daten von einem Cyberangriff betroffen sind oder sein können, muss dies innerhalb von 72 Stunden nach Entdeckung des Vorfalls an die zuständige Datenschutzbehörde gemeldet werden. Bereits die Nichtmeldung oder die schuldhaft verzögerte Meldung führt zu einer Ordnungswidrigkeit und kann ein entsprechendes Bußgeld nach sich ziehen.
Eine Meldepflicht besteht allerdings nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht bzw. nur zu einem geringen Risiko für die Rechte und Freiheiten natürlicher Personen führt. An diesem Punkt herrscht oft große Verunsicherung im Hinblick auf die Notwendigkeit und den Umfang der Meldepflicht.
Aufgrund der zeitlichen Dringlichkeit, des hohen Fehlerpotentials und des immensen Bußgeldrisikos sollte ein fachlich spezialisierter Berater hinzugezogen werden.
Bei sofortiger Detailprüfung folgende Aspekte berücksichtigen:
a) Wer ist meldepflichtig?
Gemäß Art. 33 DSGVO ist die verantwortliche Stelle zur Meldung der Datenpanne verpflichtet. Der Verantwortliche muss nicht nur eigene, sondern auch Verletzungen des Auftragsverarbeiters oder Dritter melden. Den Auftragsverarbeiter trifft in diesem Zusammenhang „nur“ eine Unterstützungspflicht (vgl. Art. 33 Abs. 2 DSGVO). Verantwortliche Stelle im Sinne der DSGVO ist nach Art. 4 Nr. 7 DSVGO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Es kommt also entscheidend darauf an, welche Rollen Dienstleister und Unternehmen bei der Datenverarbeitung einnehmen.
b) Liegt eine Verletzung des Schutzes personenbezogener Daten vor?
Weitere Voraussetzung für die Meldepflicht nach Art. 33 DSGVO ist eine „eingetretene und als solche erkannte Verletzung“ des Schutzes personenbezogener Daten. Eine „Verletzung des Schutzes personenbezogener Daten“ liegt vor, wenn „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ (Art. 4 Nr.12 DSGVO). Eine Verletzung des Schutzes personenbezogener Daten setzt also kumulativ die Verletzung der Sicherheit und die adäquat kausale Verletzung eines Schutzziels voraus. Als Schutzziele kommen Verfügbarkeit, Integrität und Vertraulichkeit personenbezogener Daten in Betracht.
c) Welche Risikoprognose gibt es?
Unmittelbar nach dem Bekanntwerden der Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche eine Risikoprognose (Wahrscheinlichkeitsprognose) durchführen. Ist das Ergebnis dieser Risikoprognose, dass infolge der Verletzung des Schutzes personenbezogener Daten ein Risiko für die Rechte und Freiheiten der Betroffenen entstanden ist und fortbesteht (positive Risikoprognose), muss der Verantwortliche nach Art. 33 Abs. 1 S. 1 DSGVO melden. Ist das Ergebnis der Risikoprognose dagegen, dass ein solches Risiko nicht entstanden ist, oder aber zwar entstanden ist, jedoch nicht fortbesteht oder gering ist, entfällt dagegen die Meldepflicht des Verantwortlichen. Grundlage für die Risikoprognose ist eine genaue Beschreibung des zugrundeliegenden Sachverhalts und eine Abwägung der Schadensschwere und Schadenseintrittswahrscheinlichkeit. Es empfiehlt sich eine Orientierung an dem Kurzpapier Nr. 18 der Datenschutzkonferenz zum Risikobegriff.
Die Meldung selbst muss dann mindestens die inhaltlichen Angaben nach Art. 33 Abs. 3 DSGVO bzw. § 65 Abs. 2 BDSG enthalten und ist an die zuständige Landesdatenschutzbehörde zu richten. Die Landesdatenschutzbehörden halten auf ihren Webpräsenzen entsprechende Meldeformulare für die Meldung einer Datenpanne vor. Die Nutzung dieser Formulare ist zwar keine Pflicht, hilft Unternehmen aber dabei, keine wichtigen Angaben zu vergessen und die Meldung an die zuständigen Ansprechpartner zu adressieren.
- Kunden/Öffentlichkeit informieren
Im Rahmen der Untersuchung des Cyberangriffs auf seinen Dienstleister muss das Unternehmen auch prüfen, ob durch den Angriff ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen (z.B. Kunden, Endkunden, Mitarbeiter etc.) entstanden ist. Ist dies der Fall, besteht nach Art. 34 DSGVO die rechtliche Pflicht, neben der Datenschutzaufsichtsbehörde auch die betroffenen Personen unverzüglich informieren. Hier hat das Unternehmen keinen Entscheidungsspielraum im Hinblick auf die Information der Öffentlichkeit.
Ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen liegt vor, wenn die Cyberattacke auf den Dienstleister zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang von personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet werden. Die von dem Datenzugriff/Datenverlust durch die Cyberattacke betroffenen Personen sind in einem solchen Fall persönlich zu informieren. Ist der Aufwand für die persönliche Information der Personen unverhältnismäßig groß, ist alternativ eine öffentliche Bekanntmachung der Datenschutzverletzung unter Angabe des betroffenen Personenkreises (z.B. durch eine Pressemitteilung oder eine Veröffentlichung auf der Unternehmenswebseite) ausreichend.
Fazit
Insgesamt ist es entscheidend, dass Unternehmen, die von einem Cyberangriff auf ihren Dienstleister erfahren, schnell und effektiv handlungsfähig sind. Durch die Zusammenarbeit mit dem betroffenen Dienstleister und Rechts- und IT-Experten können Unternehmen die Risiken minimieren und besser auf Cyberangriffe auf ihre Dienstleister reagieren.
Hier noch einmal zum Nachlesen Teil 1 der Mini-Serie: Hilfe, Cyberattacke, was jetzt zu tun ist.
Über die Autorin:
Als Fachanwältin für IT-Recht ist Josefine Spengler Spezialistin für alle aufsichtsrechtlichen Fragestellungen und Anforderungen an IT-Systeme im Zahlungsverkehr und für passgenaue Datenschutz-Management-Konzepte im Unternehmen.