Wenn bei einem Hackerangriff persönliche Daten betroffen sind, muss in der Regel die zuständige Datenschutz-Aufsichtsbehörde gemäß Artikel 33 DSGVO informiert werden. Der Verantwortliche ist verpflichtet, unverzüglich – normalerweise innerhalb von 72 Stunden – die Art der Datenverletzung, den Umfang der betroffenen Informationen und mögliche Folgen offenzulegen. Außerdem muss er erklären, welche Maßnahmen bereits ergriffen wurden oder geplant sind, um den Schaden zu minimieren.
Diese Transparenz schützt nicht nur die Rechte der betroffenen Personen, sondern bildet auch eine solide Basis, um zusätzliche Sicherheitsvorkehrungen schnell umzusetzen.
Nach einem Cyberangriff sollte zudem immer überlegt werden, eine Strafanzeige zu erstatten. Strafverfolgungsbehörden verfügen über die nötige Expertise, um Beweise fachgerecht zu sichern und den Ablauf des Angriffs zu analysieren. Oft können dabei auch Hinweise auf die Täter gefunden werden, die ohne eine Anzeige unentdeckt geblieben wären.
Organisationen, die betroffen sind, können außerdem von praktischen Ratschlägen erfahrener IT-Forensiker profitieren, um ihre Sicherheitsstandards langfristig zu verbessern. Eine frühzeitige Anzeige kann auch die Chancen erhöhen, gestohlene Daten zurückzubekommen oder ihre unkontrollierte Veröffentlichung zu verhindern. Insbesondere bei schwerwiegenden Straftaten oder Angriffen auf kritische Infrastrukturen kann dies sogar nahezu obligatorisch sein.
Aus datenschutzrechtlicher Sicht stellt eine Strafanzeige auch eine potenziell wirksame Maßnahme dar, die die Risiken für die Rechte und Freiheiten der Betroffenen erheblich mindern kann. Eine Strafanzeige und die Meldung an die Aufsichtsbehörde verfolgen zwar unterschiedliche, aber eng miteinander verbundene Ziele: Die Datenschutzbehörde sorgt dafür, dass persönliche Daten angemessen geschützt werden und die Vorgaben der DSGVO beachtet werden, während die Strafanzeige darauf abzielt, die Täter rechtlich zu verfolgen und zukünftige Angriffe abzuschrecken.
Insgesamt tragen beide Maßnahmen dazu bei, Cyberangriffe effektiver zu bewältigen und die Schäden für Organisationen, Mitarbeiter und betroffene Personen so gering wie möglich zu halten.
