Bei einem großen Dienstleister für Fotograf*innen und Fotostudios ist es zu einem Cyberangriff gekommen, der bundesweit eine Vielzahl von Fotograf*innen und Fotostudios betrifft. Zwar ist der Vorfall bei dem Dienstleister eingetreten. Fotograf*innen und Fotostudios sind aber datenschutzrechtlich verantwortlich, sofern sie diesen Dienstleister nutzen. Das heißt, dass sie den Vorfall an die zuständige Aufsichtsbehörde melden müssen. Wegen der Sensibilität der betroffenen Daten sollten aber auch betroffene Kund*innen benachrichtigt werden. 

Welcher Aufsichtsbehörde muss der Vorfall gemeldet werden?

Fotograf*innen und Fotostudios in NRW müssen den Vorfall bei der Landesbeauftragten für Datenschutz und Informationsfreiheit in NRW (LDI NRW) melden. Hierfür ist folgendes Webformular zu verwenden: https://ldi-fms.nrw.de/lip/action/invoke.do?id=Datenschutzverletzung

Weitergehende Informationen zu den Pflichten bei Datenpannen und zur Nutzung des Webformulars sind hier zu finden: https://www.ldi.nrw.de/kontakt/meldepflicht-fuer-verantwortliche-verletzungen-des-schutzes-personenbezogener-daten

Handlungsempfehlungen für Verantwortliche bei Cyberangriffen gibt es an dieser Stelle: https://www.ldi.nrw.de/cyberangriff

Wer muss benachrichtigt werden?

Fotograf*innen und Fotostudios sollten in jedem Fall die Personen über den Vorfall benachrichtigen, von denen zum Zeitpunkt des Vorfalls personenbezogene Daten auf der Plattform des Dienstleisters verarbeitet wurden. Inwieweit auch Personen betroffen seien können, deren Daten bereits über die Oberfläche der Plattform gelöscht wurden, ist derzeit noch unbekannt. 

Sofern Fotograf*innen oder Fotostudios die Plattform vollständig zur Verwaltung ihrer Kund*innen verwendet haben und sie deshalb keine Kontaktdaten für eine individuelle Benachrichtigung besitzen, sollten sie alternative Wege nutzen. So können sie zum Beispiel an betroffene Personen auch über Einrichtungen wie Schulen oder Kitas herantreten, in denen fotografisch tätig waren. Grundsätzlich ist außerdem eine öffentliche Bekanntmachung denkbar, sofern eine individuelle Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre und die alternative Benachrichtigungsform die betroffenen Personen vergleichbar wirksam informiert.

Wie muss die Benachrichtigung aussehen?

Die Benachrichtigung sollte gemäß Art. 34 Abs. 2 Datenschutz-Grundverordnung die folgenden Informationen enthalten:

• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten,
• eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Damit Betroffene die wahrscheinlichen Folgen selbst bewerten können, sollten ihnen die betroffenen Kategorien personenbezogener Daten genannt werden. Weiterhin sollte die Benachrichtigung Empfehlungen für Schutzmaßnahmen enthalten, die Betroffene in Ihrer eigenen Sphäre treffen können, um die möglichen Folgen der Datenschutzverletzung abzumildern. Hierzu zählen beispielsweise:

Bei Betroffenheit von E-Mail-Adresse oder anderen Kontaktdaten:

• Wachsamkeit hinsichtlich etwaiger Schadmails (SPAM, Phishing, etc.),
• Wachsamkeit hinsichtlich vermeintlicher Kontaktaufnahmen durch den Verantwortlichen (Betrugsmaschen),
• Prüfung der Sicherheit von Online-Konten, bei denen die betroffene E-Mail-Adresse zum Zugang genutzt wird, sowie des E-Mail-Postfachs selbst (Passwortsicherheit, unbefugte Änderungen von Einstellungen wie automatische Weiterleitungen oder ergänzte Rückfalloptionen zum Zurücksetzten von Passwörtern),
• Auswahl eines separaten, sicheren Passworts je Online-Konto.

Bei Betroffenheit von Kontaktdaten und weiteren Daten zur Person (bspw. Geburtsdaten, Identifikationsnummern, Fotos):

• Wachsamkeit hinsichtlich möglicher Identitätsdiebstähle oder Betrugsmaschen,
• Wachsamkeit hinsichtlich missbräuchlicher Nutzungen auf Online-Plattformen und Kontaktaufnahme in diesen Fällen zu den Betreibern, um eine Löschung zu veranlassen.

Zudem sollte in der Benachrichtigung darauf hingewiesen werden, dass die Verletzung des Schutzes personenbezogener Daten an die zuständige Datenschutzaufsichtsbehörde (LDI NRW) gemeldet wurde.

Was haben Verantwortliche weiter zu erwarten?

Mit der Meldung und Benachrichtigung sind Fotograf*innen und Fotostudios zunächst ihren datenschutzrechtlichen Pflichten nachgekommen. Die weitere Behandlung, Untersuchung und Aufbereitung liegt beim Auftragsverarbeiter, dessen Systeme angegriffen wurden. Die LDI NRW steht mit diesem im Kontakt.

Was gilt für betroffene Kund*innen eines*r Fotograf*in oder Fotostudios?

Für Betroffene einer Datenpanne haben wir Informationen zu ihren Rechten, der Bearbeitung von Datenpannen durch die LDI NRW und Handlungsempfehlungen zusammengestellt: https://www.ldi.nrw.de/datenpanne-was-nun