Menu
menu
    Kategorien
    clear
    Schriftzug zur Kampagne des Landes Sachsen-Anhalt – #moderndenken
    Datenschutz in Sachsen-Anhalt

    Cyberangriff auf Dienstleister für Fotografen und Fotostudios - Das müssen die Beteiligten jetzt wissen

    Bei einem großen Dienstleister für Fotografen und Fotostudios ist es zu einem Cyberangriff gekommen, der bundesweit eine Vielzahl von Fotografen und Fotostudios betrifft. Zwar ist der Vorfall bei dem Dienstleister eingetreten. Fotografen und Fotostudios sind aber datenschutzrechtlich verantwortlich, sofern sie diesen Dienstleister nutzen. Das heißt, dass sie den Vorfall an die zuständige Aufsichtsbehörde melden müssen. Wegen der Sensibilität der betroffenen Daten sollten aber auch betroffene Kunden benachrichtigt werden. 

    Welcher Aufsichtsbehörde muss der Vorfall gemeldet werden?

    Fotografen und Fotostudios mit Sitz in Sachsen-Anhalt müssen den Vorfall bei der Landesbeauftragten für den Datenschutz Sachsen-Anhalt melden. Hierfür verwenden Sie bitte folgendes Webformular.

    Weitergehende Informationen rund um Datenpannen und Handlungsempfehlungen für Verantwortliche finden Sie im Infopaket Datenpannen.

    Wer muss benachrichtigt werden?

    Fotografen und Fotostudios sollten in jedem Fall die Personen über den Vorfall benachrichtigen, von denen zum Zeitpunkt des Vorfalls personenbezogene Daten auf der Plattform des Dienstleisters verarbeitet wurden. Inwieweit auch Personen betroffen seien können, deren Daten bereits über die Oberfläche der Plattform gelöscht wurden, ist derzeit noch unbekannt. 

    Sofern Fotografen oder Fotostudios die Plattform vollständig zur Verwaltung ihrer Kunden verwendet haben und sie deshalb keine Kontaktdaten für eine individuelle Benachrichtigung besitzen, sollten sie alternative Wege nutzen. So können sie zum Beispiel an betroffene Personen auch über Einrichtungen wie Schulen oder Kitas herantreten, in denen sie fotografisch tätig waren. Grundsätzlich ist außerdem eine öffentliche Bekanntmachung (z. B. durch Aushänge in den betroffenen Kitas oder Schulen) denkbar, sofern eine individuelle Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre und die alternative Benachrichtigungsform die betroffenen Personen vergleichbar wirksam informiert.

    Wie muss die Benachrichtigung der betroffenen Kunden aussehen?

    Die Benachrichtigung sollte gemäß Art. 34 Abs. 2 Datenschutz-Grundverordnung die folgenden Informationen enthalten:

    • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle des Verantwortlichen für weitere Informationen,
    • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten,
    • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

    Damit Betroffene die wahrscheinlichen Folgen selbst bewerten können, sollten ihnen die betroffenen Kategorien personenbezogener Daten genannt werden. Weiterhin sollte die Benachrichtigung Empfehlungen für Schutzmaßnahmen enthalten, die Betroffene in ihrer eigenen Sphäre treffen können, um die möglichen Folgen der Datenschutzverletzung abzumildern. Hierzu zählen beispielsweise:

    • Bei Betroffenheit von E-Mail-Adresse oder anderen Kontaktdaten:
      • Wachsamkeit hinsichtlich etwaiger Schadmails (SPAM, Phishing, etc.),
      • Wachsamkeit hinsichtlich vermeintlicher Kontaktaufnahmen durch den Verantwortlichen (Betrugsmaschen),
      • Prüfung der Sicherheit von Online-Konten, bei denen die betroffene E-Mail-Adresse zum Zugang genutzt wird, sowie des E-Mail-Postfachs selbst (Passwortsicherheit, unbefugte Änderungen von Einstellungen wie automatische Weiterleitungen oder ergänzte Rückfalloptionen zum Zurücksetzten von Passwörtern),
      • Auswahl eines separaten, sicheren Passworts je Online-Konto.
         
    • Bei Betroffenheit von Kontaktdaten und weiteren Daten zur Person (bspw. Geburtsdaten, Identifikationsnummern, Fotos):
      • Wachsamkeit hinsichtlich möglicher Identitätsdiebstähle oder Betrugsmaschen,
      • Wachsamkeit hinsichtlich missbräuchlicher Nutzungen auf Online-Plattformen und Kontaktaufnahme in diesen Fällen zu den Betreibern, um eine Löschung zu veranlassen.

    Zudem sollte in der Benachrichtigung darauf hingewiesen werden, dass die Verletzung des Schutzes personenbezogener Daten an die zuständige Datenschutzaufsichtsbehörde gemeldet wurde.

    Was haben verantwortliche Fotografen und Fotostudios weiter zu erwarten?

    Mit der Meldung und Benachrichtigung sind Fotografen und Fotostudios zunächst ihren datenschutzrechtlichen Pflichten nachgekommen. Die weitere Behandlung, Untersuchung und Aufbereitung liegt beim Auftragsverarbeiter, dessen Systeme angegriffen wurden. Die für den Dienstleister zuständige Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) steht mit diesem im Kontakt.

    Was gilt für betroffene Kunden eines Fotografen oder Fotostudios?

    Für Betroffene einer Datenpanne hat die LDI NRW Informationen zu ihren Rechten, der Bearbeitung von Datenpannen durch die LDI NRW und Handlungsempfehlungen zusammengestellt: https://www.ldi.nrw.de/datenpanne-was-nun 

    Datenschutz in Sachsen-Anhalt