Immer öfter werden Finanzdienstleister Opfer von Hackerattacken – die Haftpflichtkasse Darmstadt kann ein Lied davon singen. Auch gewerbliche Finanz- und Versicherungsvermittler sind potenziell betroffen. Jeder erfolgreiche Hackerangriff ist dabei ein großes Problem für sie: Die Cyberkriminellen können die Internetseiten lahmlegen, sodass Vermittler nicht erreichbar sind. Problematischer wird es, wenn die Hacker sensible Kundendaten abgreifen und Lösegeld verlangen, damit sie jene nicht im Internet veröffentlichen, oder die Daten verkaufen. In diesen Fällen können Vermittler mit dem Datenschutzrecht und der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) in Konflikt geraten. Daher müssen die Vermittler in solchen Fällen ein paar Punkte beachten.

Was auch immer genau passiert ist: Nachdem ein Vermittler die Attacke bemerkt hat, muss er prüfen, ob personenbezogene Daten abgeflossen sind. Dafür hat er gemäß Artikel 33 DSGVO maximal 72 Stunden Zeit, falls die Datenschutzverletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten der von der Datenpanne betroffenen Personen führt. Spätestens dann müssen sowohl die zuständige Datenschutzbehörde und gemäß Artikel 34 DSGVO auch die betroffenen Kunden informiert werden, wenn das Risiko für deren persönlichen Rechte und Freiheiten sehr hoch sein sollte.

Empfindliche Geldbußen drohen
Zudem ist die Datenschutzverletzung zu dokumentieren. "Das kann durchaus ein Problem sein, da Hacker gern am Freitagnachmittag zuschlagen, wenn viele IT-Experten schon im Wochenende sind. Zudem kann es passieren, dass man Datenschutzbehörden in mehreren Bundesländern oder sogar im EU-Ausland Meldung erstatten muss, wenn das Unternehmen Dependancen hat", sagt Lutz Martin Keppeler, Fachanwalt für Informationstechnologierecht bei der Kanzlei Heuking Kühn Lüer Wojtek in Köln. "Wenn die Meldung nicht oder nicht rechtzeitig erfolgt, droht laut Artikel 83 DSGVO eine empfindliche Geldbuße", ergänzt Guido Babinsky, Geschäftsführer des auf Datenschutz spezialisierten Unternehmens Basucon. Im Extremfall seien bis zu zehn Millionen Euro fällig.

Damit ist der Fall aber nicht erledigt – und das gilt nicht nur mit Blick auf andere wichtige Schritte wie etwa die Wiederherstellung der IT, sondern auch in datenrechtlicher Sicht. "Die Datenschutzbehörde wird überprüfen, ob der Vermittler die nach Artikel 32 der DSGVO vorgeschriebenen 'geeigneten technischen und organisatorischen Maßnahmen' getroffen hatte, die ein 'angemessenes Schutzniveau' für die sensiblen Kundendaten gewährleisten", erklärt Keppeler. Hat ein Vermittler das versäumt, drohen gemäß Artikel 83 DSGVO ebenfalls Geldbußen. Der Jurist merkt aber an, dass die Auslegung des Begriffs "angemessenes Schutzniveau" in der Praxis schwierig sei. "Es gibt kaum Gerichtsurteile oder Auslegungen vonseiten der Datenschutzbehörde. Das hängt auch damit zusammen, dass das IT-Sicherheitsrecht in den Kinderschuhen steckt."

Mögliche Schutzmaßnahmen im Vorfeld
In der Praxis ist daher ein Mehr an Schutzmaßnahmen ratsam. "Vermittler sollten also wenigstens die von vielen gern benutzten Cloud Services wie Google Workspace oder Microsoft Office 365 entsprechend konfigurieren. Ferner sollten sie für den Fall, dass sie sensible Daten im Sinne des Artikel 9 DSGVO per E-Mail versenden, neben der meist standardmäßigen Transportverschlüsselung unbedingt auch für eine Inhaltsverschlüsselung, etwa mittels PGP- oder S/Mime-Technik, sorgen", zählt Experte Babinsky nur einige Sicherheitsmaßnahmen auf. Wenn Berater mit einer Cloud arbeiten, ist zudem die Datensicherung bei einem anderen Anbieter oder auf einem eigenen lokalen Server ein Muss – neben einer Kopie des Katalogs, in dem alle angewendeten Sicherheitsmaßnahmen aufgeführt sind. (jb)

Einen ausführlichen Artikel darüber, was Berater über Cyberangriffe wissen müssen, finden Sie in Ausgabe 4/2022 von FONDS professionell. Angemeldete Nutzer können den Beitrag auch hier im E-Magazin lesen.