Bei einem großen Dienstleister für Fotograf*innen und Fotostudios, ist es zu einem Cyberangriff gekommen der auch in Mecklenburg-Vorpommern eine Vielzahl von Fotograf*innen und Fotostudios betrifft. Besonders sensibel: Möglicherweise sind auch Fotos und weitere personenbezogene Daten von Kindern betroffen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) rät Fotograf*innen und Familien zu erhöhter Wachsamkeit.

Was müssen Fotograf*innen und Fotostudios jetzt tun?

Betroffene Fotograf*innen und Fotostudios in Mecklenburg-Vorpommern werden von dem Dienstleister der Plattform informiert und müssen den Vorfall daraufhin unverzüglich dem LfDI MV melden. Hierfür ist folgendes Webformular zu verwenden: https://www.datenschutz-mv.de/kontakt/meldung-einer-datenpanne/

Weiterhin sollten Fotograf*innen und Fotostudios in jedem Fall die Personen über den Vorfall benachrichtigen, von denen zum Zeitpunkt des Vorfalls personenbezogene Daten auf der Plattform des Dienstleisters verarbeitet wurden. Inwieweit auch Personen betroffen seien können, deren Daten bereits über die Oberfläche der Plattform gelöscht wurden, ist derzeit noch unbekannt.

Sofern Fotograf*innen oder Fotostudios die Plattform vollständig zur Verwaltung ihrer Kund*innen verwendet haben und sie deshalb keine Kontaktdaten für eine individuelle Benachrichtigung besitzen, sollten sie alternative Wege nutzen. So können sie zum Beispiel an betroffene Personen auch über Einrichtungen wie Schulen oder Kitas herantreten, in denen fotografisch tätig waren. Grundsätzlich ist außerdem eine öffentliche Bekanntmachung denkbar, sofern eine individuelle Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre und die alternative Benachrichtigungsform die betroffenen Personen vergleichbar wirksam informiert.

Was muss die Benachrichtigung an die betroffenen Personen enthalten?

Die Benachrichtigung sollte gemäß Art. 34 Abs. 2 Datenschutz-Grundverordnung die folgenden Informationen enthalten:

• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten,
• eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Damit Betroffene die wahrscheinlichen Folgen selbst bewerten können, sollten ihnen die betroffenen Kategorien personenbezogener Daten genannt werden. Weiterhin sollte die Benachrichtigung Empfehlungen für Schutzmaßnahmen enthalten, die Betroffene in Ihrer eigenen Sphäre treffen können, um die möglichen Folgen der Datenschutzverletzung abzumildern.

Zudem sollte in der Benachrichtigung darauf hingewiesen werden, dass die Verletzung des Schutzes personenbezogener Daten an die zuständige Datenschutzaufsichtsbehörde gemeldet wurde. Mit dieser Meldung und der Benachrichtigung der betroffenen Personen sind Fotograf*innen und Fotostudios zunächst ihren datenschutzrechtlichen Pflichten nachgekommen.

Die weitere Behandlung, Untersuchung und Aufbereitung liegt beim Auftragsverarbeiter, dessen Systeme angegriffen wurden. Dieser steht hierzu bereits mit der zuständigen Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LDI NRW) im Kontakt.

Was können betroffene Personen oder Eltern in dieser Situation tun?

Der LfDI MV rät betroffenen Eltern und Kund*innen vor allem zu Wachsamkeit hinsichtlich etwaiger Schadmails (in Form von SPAM- oder Phishingangriffen) sowie vermeintlicher Kontaktaufnahmen durch den Verantwortlichen. Hierbei könnte es sich um Betrugsmaschen handeln. Weiterhin empfehlen wir eine Sicherheitsüberprüfung von Online-Konten, bei denen die betroffene E-Mail-Adresse zum Zugang genutzt wird, sowie des E-Mail-Postfachs selbst. Hierbei sollte insbesondere auf die Passwortsicherheit, unbefugte Änderungen von Einstellungen (wie automatische Weiterleitungen oder ergänzte Rückfalloptionen zum Zurücksetzten von Passwörtern) geachtet werden.

Sofern auch Kontaktdaten und weiteren Daten zu Personen (beispielsweise Geburtsdaten, Identifikationsnummern oder Fotos) von der Cyberattacke betroffen sind, raten wir zu besonderer Wachsamkeit hinsichtlich möglicher Identitätsdiebstähle und missbräuchlicher Nutzungen auf Online-Plattformen. In solchen Fällen sollte Kontakt zu den jeweiligen Betreibern aufgenommen werden, um eine Löschung zu veranlassen.

Sofern ein konkreter Missbrauch wie Identititätsdiebstahl, Erpressung, Veröffentlichung von Kinderfotos oder Betrugsversuchen vorliegt, empfehlen wir betroffenen Personen außerdem umgehend Anzeige bei der Polizei erstatten.

Kontakt:    presse@datenschutz-mv.de
Telefon:     0385 59494-37