Nachdem im ersten Teil dieser Beitragsreihe die Meldung der Hackerangriffe als Datenschutzverletzung behandelt wurde, betrachten wir heute die nach einem Hackerangriff zu ergreifenden technisch-organisatorischen Maßnahmen (TOMs) sowie weitere gesetzliche Mitteilungspflichten, die etwaig zu beachten sind und die der BayLfD in seinen Kurz-Mitteilungen 57 „Strafanzeige als technisch-organisatorische Maßnahme nach Hackerangriff?“ und 58 „Meldung nach Art. 33 Datenschutzgrundverordnung bei Hackerangriff“ zusammenfasst.
Gesetzliche Mitteilungspflichten außerhalb des Datenschutzrechts
Neben der datenschutzrechtlichen Meldung von Verletzungen des Schutzes personenbezogener Daten ist zu berücksichtigen, dass auch weitere gesetzliche Mitteilungspflichten, die sich aus dem Sozialrecht, dem Energiewirtschafts- oder Strafgesetz ergeben können, bestehen können. So müssen beispielsweise Sozialleistungsträger bei einer Verletzung des Schutzes von Sozialdaten zusätzlich eine Meldung nach § 83a SGB X an die zuständige Rechts- oder Fachaufsichtsbehörde vornehmen. Im Falle bestimmter Störungen müssen nach § 11 Abs. 1c EnWG und § 8b Abs. 4 BSIG Betreiber von Energieversorgungsnetzen und von bestimmten Energieanlagen sowie Betreiber kritischer Infrastrukturen den Vorfall auch an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Zu einer Strafanzeige sind beispielsweise Amtsträger wie Polizeibeamte oder Staatsanwälte verpflichtet, wenn ihnen der Anfangsverdacht einer Straftat in dienstlicher Eigenschaft bekannt wird. Ferner stellt § 138 Abs. 1 StGB die Nichtanzeige von bestimmten Straftaten unter Strafdrohung und begründet somit indirekt eine Pflicht zur Strafanzeige für jedermann und somit auch für Beschäftigte öffentlicher Stellen, die von einer Tat gegen ihren Dienstherrn oder Arbeitgeber erfahren. Letztendlich unterscheiden sich die hier dargestellten Mitteilungspflichten zwar hinsichtlich der zuständlichen Stellen, Zielsetzungen und Anforderungen, dienen jedoch allesamt zum Schutz der entsprechenden Rechtsgüter und stellen eine geeignete Gegenmaßnahme dar.
Strafanzeige als wirksame technisch-organisatorische Maßnahme im Datenschutzrecht
Verantwortliche sind gemäß Art. 33 Abs. 3 lit. d DSGVO dazu verpflichtet, der Aufsichtsbehörde die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung sowie die Maßnahmen zur Abmilderung der möglichen nachteiligen Auswirkungen zu beschreiben. Eine Strafanzeige kann in diesem Sinne eine wirksame technisch-organisatorische Maßnahme darstellen, da diese zur Aufklärung und Verhinderung weiterer Schäden beitragen und gleichzeitig das strafrechtliche Ausmaß des Vorfalls beleuchten kann. Insbesondere bei erfolgreichen Hackerangriffen, die weitreichende Schäden und Konsequenzen nach sich ziehen können, kann die Strafanzeige Ermittlungen initiieren, die eine umfassende Analyse des Vorfalls beinhaltet. Aufgrund der besonderen Spezialisierung der Ermittlungsbehörden kann sodann Beweismaterial gesichert werden, welcher für die Analyse und Behebung des Angriffs sowie Wiederherstellung der Kontrolle über die angegriffenen Systeme oder Sicherstellung der entwendeten personenbezogenen Daten ausschlaggebend sein kann. Infolge der durch die Strafanzeige angestoßene Analyse können sodann wertvolle Informationen generiert und gewinnbringend zum Schutz der eigenen IT-Systeme eingesetzt werden. Ebenso führt eine Strafanzeige zwangsläufig dazu, sich mit den Sicherheitsprozessen ausführlich auseinanderzusetzen und kann dazu beitragen, das Bewusstsein der Mitarbeitenden hinsichtlich Cyber- und Hackerangriffen zu schärfen.
Fazit
Im Wesentlichen stellt die Kurz-Information 58 des bayerischen Landesbeauftragten für Datenschutz weitere gesetzliche Mitteilungspflichten außerhalb des Datenschutzrecht vor, die für öffentliche Stellen etwaig zu beachten sind. Insbesondere § 138 StGB hält dabei ebenso eine datenschutzrechtliche Relevanz inne, da die Anzeige eines Hackerangriffs bei den entsprechenden Ermittlungsbehörden als sinnvolle technisch-organisatorische Maßnahme gesehen wird, die sowohl öffentlichen Stellen hinsichtlich der Aufklärung des Vorfalls förderlich sein kann.