Wo die Ransomware-Attacke gemeldet werden muss, ist abhängig von der Art des Unternehmens.
Betreiber kritischer Infrastrukturen, Betreiber von Energieversorgungsnetzen und Anbieter digitaler Dienste melden die Ransomware-Attacke "unverzüglich" als Sicherheitsvorfall beim BSI (§ 8b Abs. 4 BSIG, § 11 Abs. 1c EnWG, § 8c Abs. 3 BSIG). Betreiber von öffentlichen Telekommunikationsnetzen und Erbringer öffentlich zugänglicher Telekommunikationsdienste melden den Sicherheitsvorfall an das BSI sowie die Bundesnetzagentur (§ 109 Abs. 5 TKG). In der Regel verfügen diese Unternehmen über etablierte Kontakt- und Meldewege. Die Meldung kann aber auch direkt über die BSI-Homepage erfolgen (https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/Kritische-Infrastrukturen-und-meldepflichtige-Unternehmen/Ich-muss-oder-moechte-einen-IT-Sicherheitsvorfall-melden/ich-muss-oder-moechte-einen-it-sicherheitsvorfall-melden_node.html).
Alle anderen Unternehmen melden die Ransomware-Attacke beim zuständigen Landesamt für Datenschutz. Nach Art. 33 Abs. 1 DSGVO muss die Datenschutzverletzung innerhalb von 72 Stunden gemeldet werden. Auf der Homepage des zuständigen Landesamts gibt es in der Regel einen Eintrag mit der Bezeichnung Meldung einer Datenpanne gem. Artikel 33 DSGVO (o. Ä.), der zu einem Online-Formular führt. Im Formular muss dann unter anderem die Anzahl der betroffenen Personen, die Anzahl der betroffenen personenbezogenen Datensätze und die Art der betroffenen Daten angegeben werden.
So finden Sie das zuständige Landesamt für Datenschutz
Da die Landesämter für Datenschutz keine einheitlichen Internetadressen haben, finden Sie das zuständige Landesamt mit einer Suchmaschine, indem Sie als Suchbegriffe "Landesamt" und den Namen Ihres Bundeslands eingeben.
Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen