Zurück zur Übersicht
12.04.2021

Schadsoftware in der Kläranlage

Ein Versorgungsbetrieb meldete fristgerecht eine Verletzung des Schutzes personenbezogener Daten nach Artikel 33 DSGVO. Ein Virus hatte die Steuerung des Reinigungsprozesses beeinträchtigt. In diesem Zusammenhang war es den Mitarbeiterinnen und Mitarbeitern nur noch möglich, die Kläranlage manuell weiterzubetreiben. Durch den Virusbefall waren auch die Zugangsdaten der Mitarbeitenden zur Steuerungsanlage betroffen.


Art. 4 Nr. 12 DSGVO – Im Sinne der DSGVO bezeichnet der Ausdruck „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.


Im Zuge der Überprüfung analysierte der Versorgungsbetrieb den bestehenden Virenschutz, den Systemzugang und weitere getroffene technisch-organisatorische Maßnahmen. Befallene Rechner wurden umgehend vom Netz getrennt. Die mitgeteilten Maßnahmen waren angemessen. Insbesondere informierte der Versorgungsbetrieb unverzüglich alle Mitarbeiterinnen und Mitarbeiter über den Vorfall.

Eine Meldepflicht gegenüber der Aufsichtsbehörde besteht auch dann, wenn kein vorsätzliches oder fahrlässiges Verhalten des Verantwortlichen belegt ist. Ausgangspunkt ist das Bestehen einer Verletzung des Schutzes personenbezogener Daten unter Berücksichtigung eines Risikos für die Rechte und Freiheiten natürlicher Personen.

Quelle: ULD

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks