Hackerangriff: Land Kärnten erstattet Anzeige
Nicht feststellbar, welche Daten mutmaßlich verkauft wurden – fest steht aber, dass seit dem Cyberangriff im Mai keine weiteren Daten des Landes gestohlen wurden.
Das Land Kärnten hat bei der zuständigen Strafverfolgungsbehörde Anzeige erstattet, nachdem im Zuge des Cyberangriffs im Mai gestohlene Daten des Landes mutmaßlich von der Hackergruppe an Dritte verkauft wurden. Das teilt heute, Montag, Gerd Kurath, der Leiter des Landespressedienstes, nach einer Sitzung der Einsatzgruppe Cyberattacke unter der Leitung von Landesamtsdirektor Dieter Platzer mit, an der u.a. Cyber-Sicherheitsexperte Cornelius Granig teilgenommen hat. Es wird darauf hingewiesen, dass vom Land nicht festgestellt werden kann, welche Daten von der Hackergruppe mutmaßlich verkauft wurden. Es ist daher auch nicht nachvollziehbar, ob diese Daten authentisch sind oder verändert wurden. Fest steht laut Kurath aber, dass seit dem Cyberangriff im Mai keine weiteren Daten des Landes gestohlen wurden.
Da eine Verarbeitung der unrechtmäßig erlangten Daten den Grundsatz der Rechtmäßigkeit verletzt, kann die Datenschutzbehörde nach Art. 83 Abs. 5 lit. a DSGVO eine Geldbuße in Höhe von bis zu 20 Mio. Euro verhängen (bei Unternehmen – falls der Betrag höher ist – von bis zu 4% des Jahresumsatzes). Ferner besteht nach § 63 Datenschutzgesetz ein gerichtlicher Straftatbestand für Datenverarbeitung in Gewinn- oder Schädigungsabsicht.
Das Land Kärnten weist zudem darauf hin, dass es sich beim mutmaßlichen Verkauf der gestohlenen Landesdaten um ein Offizialdelikt handelt. „Das bedeutet, dass eine strafbare Handlung von der Staatsanwaltschaft von Amts wegen verfolgt wird. Sollten Privatpersonen zu den betroffenen Daten kommen, machen sie sich ebenfalls strafbar, sofern § 63 des Datenschutzgesetzes verwirklicht wird“, warnt Kurath.
Zur Information aus dem Datenschutzgesetz: Datenverarbeitung in Gewinn- oder Schädigungsabsicht. § 63. Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 720 Tagessätzen zu bestrafen.
Die Öffentliche Bekanntmachung gemäß Art. 34 Abs. 3 lit. c DSGVO finden Sie unter https://www.ktn.gv.at/Service/informationen-cyberangriff/bekanntmachung.
Quelle: ktn.gv.at
Bildhinweis: ktn.gv.at