Ein aktueller Fall aus Irland zeigt, dass ein Ransomware-Angriff für Unternehmen weitreichende datenschutzrechtliche Folgen haben kann. Die irische Data Protection Commission verhängte gegen die staatliche Gesundheitsverwaltung Health Service Executive (HSE) ein Bußgeld von 300.000 Euro. Von dem Angriff auf das Informationssystem eines Krankenhauses waren potenziell die personenbezogenen Daten von rund 84.000 Personen betroffen. Die Behörde spricht von „sensitive nature of the personal data“, vermutlich also Art. 9 Daten.
Die Behörde beanstandete nicht nur unzureichende technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Sie stellte außerdem Mängel bei den Verträgen mit Auftragsverarbeitern gemäß Art. 28 DSGVO, beim Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO sowie bei der Information der betroffenen Personen nach Art. 34 DSGVO fest.
Der Fall verdeutlicht: Ein Cyberangriff ist niemals ausschließlich ein technisches Problem. Nach einem Vorfall prüfen Datenschutzbehörden die gesamte Compliance-Struktur eines Unternehmens. Dazu gehören Sicherheitskonzepte, Zuständigkeiten, Verträge mit externen Dienstleistern, Dokumentationspflichten und Prozesse zur Kommunikation mit Behörden und Betroffenen.
Quellen: