Tag: 17. Mai 2024

Für einen Cloudanbieter aus Dänemark sind die schlimmsten Folgen eingetreten, die für ein Unternehmen mit einem Hackerangriff einhergehen können.

Im August des vergangenen Jahres wurde das betroffene Unternehmen Opfer eines großen Hackerangriffs, wie er jederzeit die verschiedensten Unternehmen aus diversen Branchen treffen kann. Die Angreifer haben es geschafft, in die Verwaltungssysteme des Unternehmens einzudringen. Durch diesen Zugriff gelang es Ihnen, zum einen die Unternehmensdaten und zum anderen auch die Daten der Kunden zu verschlüsseln. Mit dieser Verschlüsselung wurde das Unternehmen komplett handlungsunfähig, die Daten sind unwiederbringlich verloren gegangen.

Der Zugriff war den kriminellen aufgrund eines Serverumzugs in ein anderes Rechenzentrum möglich. Durch diesen Umzug waren die Verwaltungs- und Backupsysteme des Unternehmens vorübergehend mit Servern, die bereits vor dem Umzug kompromittiert wurden, in einem Netzwerk verbunden.

Nach dem erfolgreichen Angriff stellten die Hacker an das Unternehmen eine Lösegeldforderung in Höhe von sechs Bitcoins, was ca. 150.000€ entspricht. Diese konnte der Cloudanbieter jedoch nicht zahlen. Der damalige CEO erklärte bereits kurz nach dem Vorfall, dass sich das Unternehmen von dem Vorfall wohl nicht erholen wird.

Dieser massive Verlust traf auch zwei weitere Firmen, die mit dem Cloudanbieter zusammen gehörten. Eines davon ist bereits ebenfalls insolvent, das andere folgt aktuell.

Es wird also deutlich, dass Hackerangriffe oder Angriffe von Cyberkriminellen für Unternehmen massive Auswirkungen haben können. Auch wenn die Angriffe nicht immer so weitreichend sind wie für das dänische Unternehmen, ist die Gefahr jedoch bei jedem einzelnen Vorfall vorhanden.

Deshalb sollten Sie unbedingt dafür sorgen, dass Ihre Systeme immer aktuell sind und auch ausreichend abgesichert werden. Dies können Sie durch regelmäßige Scans und Tests stetig überprüfen. Bei diesen Sicherheitsvorkehrungen können wir Ihnen auch gerne behilflich sein.

In jedem Fall aber sollten Sie Sorge dafür tragen, dass Sie gegen derartige Gefahren ausreichend gesichert sind.

Denn leider haben die Angriffe der Cyberkriminellen in der jüngsten Vergangenheit an Häufigkeit und Intensität massiv zugenommen.

Mit dem Urteil vom 26.10.2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass die Verfolgung von Zielen, die nicht explizit dem Datenschutz dienen, den Auskunftsanspruch des Betroffenen nicht grundsätzlich ausschließt. Dies wird damit begründet, dass der Auskunftsanspruch nach Art. 15 DSGVO generell keiner Begründung bedarf.

Diese Entscheidung kann auf den ersten Blick dazu führen, dass der Auskunftsanspruch übermäßig weit erscheint. Deshalb versucht dieser Beitrag eine kurze Übersicht über die Möglichkeiten zu gewähren, die Verantwortlichen bei unbegründeten oder exzessiven Auskunftsersuchen zur Verfügung stehen.

1. Aufforderung zur Konkretisierung des Auskunftsanspruchs
   Obwohl dies keinen direkten Grund für eine Einschränkung oder eine Ablehnung darstellt, bietet es den Verantwortlichen eine wertvolle Option, um evtl. unnötigen Aufwand zu vermeiden. Diese Möglichkeit basiert auf den Erwägungsgrund 63 Satz 7 der DSGVO, der betont, dass ein Verantwortlicher, der „eine große Menge von Informationen über eine Person“ verarbeitet, vom Betroffenen verlangen kann, sein Auskunftsersuchen auf bestimmte Informationen oder Verarbeitungsvorgänge zu spezifizieren. Dies begrenzt den Aufwand für den Verantwortlichen auf ein realistisches Maß. Sollte der Betroffene eine solche Präzisierung jedoch ausdrücklich ablehnen oder nicht auf die Aufforderung eingehen, ergibt sich daraus allein kein Recht zur Verweigerung der Auskunft.

2. Einwand des Rechtsmissbrauchs gemäß Art. 12 Abs. 5 DSGVO
   Laut Art. 12 Abs. 5 Satz 2 der DSGVO kann der Verantwortliche die Erteilung von Auskünften verweigern, wenn die Geltendmachung des Auskunftsanspruchs offenkundig unbegründet oder exzessiv ist. Obwohl eine datenschutzfremde Motivation des Betroffenen einem Auskunftsanspruch, wie gesagt, nicht entgegensteht, muss trotzdem ein „legitimes Interesse“ vorliegen. Es bleibt daher möglich, zusätzlich zu den exzessiven Anfragen weitere Fälle zu erfassen, in denen der Betroffene keine legitimen Interessen verfolgt, etwa wenn ein Angebot gemacht wird, gegen eine Zahlung auf eine weitere Verfolgung des Anspruchs zu verzichten.

3. Schutz der Rechte und Freiheiten anderer Personen nach Art. 15 Abs. 4 DSGVO
   Art. 15 Abs. 4 DSGVO stellt klar, dass das Recht auf eine Kopie der eigenen personenbezogenen Daten die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Dies umfasst sowohl die wirtschaftlichen Freiheiten des Unternehmens gemäß Art. 16 der EU-Grundrechtecharta als auch das Geheimhaltungsinteresse des Verantwortlichen an schutzwürdigen Informationen. Die Anwendung dieser Gruppen muss allerdings von Fall zu Fall bestimmt und mit nationalem Recht geprüft werden.