Es kam zu einem Ransomware-Angriff, als dessen Folge die gesamte IT-Infrastruktur verschlüsselt wurde. Offenbar war unklar, ob personenbezogene Daten von den unbekannten Angreifern zusätzlich abgegriffen wurde.

Die Verantwortliche meldete die Sicherheitsverletzung, jedoch erst ein Monat nach dem Vorfall und – so die eigene Angabe – alleine, um die Bedingungen der bestehende Cyberversicherung zu erfüllen. Auf Nachfragen der Aufsichtsbehörde reagierte die Verantwortliche verspätet oder pauschal, sodass laut Aufsichtsbehörde eine Einschätzung nach Art 33, 34 EU-DSGVO nicht möglich war.

Dieses Verhalten wurde nun sanktioniert: 💶 EUR 5.900 (0,03 % des möglichen Strafrahmens)

Dies aufgrund folgender Erwägungen der Aufsichtsbehörde:

⚙ Ein Ransomware-Angriff und die in Folge erfolgte Verschlüsselung der eigenen IT-Infrastruktur ist ein Data Breach.
⚙ Die Verschlüsselungssoftware im Zuge eines Ransomware-Angriffs führt zum Verlust der Verfügbarkeit von personenbezogenen Daten.
⚙ Die Verantwortliche unterliegt nach einem Data Breach der Notifikationspflicht an die Aufsichtsbehörde und in der Folge der Pflicht zur Zusammenarbeit.