Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Haben Sie den betroffenen Fotografie-Dienstleister genutzt und Ihren Sitz in Schleswig-Holstein?
Diese Schritte müssen Sie nun unternehmen:

1. Meldung an das Unabhängige Landeszentrum für Datenschutz

Melden Sie den Vorfall über das verlinkte Formular:
https://www.datenschutzzentrum.de/meldungen/#panne

2. Benachrichtigung der betroffenen Personen

Haben Sie personenbezogene Daten (beispielsweise Kundendaten) auf der Plattform des Dienstleisters verarbeitet, sollten Sie diese über den Vorfall benachrichtigen. Die Benachrichtigung ist Pflicht, wenn von einem hohen Risiko für die betroffenen Personen auszugehen ist (sensible Daten wie Aufnahmen von Kindern oder Aktfotos).

Sofern Sie die Plattform vollständig zur Verwaltung der Kundendaten verwendet haben und deshalb nach dem Cyberangriff keinen Zugriff auf die Kontaktdaten zur Benachrichtigung besitzen, sollten Sie alternative Wege nutzen (z.B. direktes Herantreten an Schulen und Kitas, in welchen Sie tätig waren, oder eine Bekanntmachung auf Ihrer Website).

Zum Inhalt der Benachrichtigung sowie für weitere Informationen können Sie sich an den Hinweisen der LDI NRW orientieren:
https://www.ldi.nrw.de/cyberangriff-dienstleister-foto

Weitere Schritte:

Mit der Meldung und Benachrichtigung sind Sie als datenschutzrechtlich Verantwortlicher zunächst Ihren datenschutzrechtlichen Pflichten nachgekommen. Die weitere Behandlung, Untersuchung und Aufbereitung liegt beim Auftragsverarbeiter, dessen Systeme angegriffen wurden. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) ist dabei koordinierend tätig und steht in Kontakt mit dem Auftragsverarbeiter sowie dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein.