Cyberangriffe: LfD Niedersachsen fordert Verantwortliche und IT-Dienstleister zum Handeln auf

In Niedersachsen häufen sich derzeit Berichte zu Cyberangriffen, bei denen Kriminelle personenbezogene Daten stehlen. Dabei sind teilweise besonders sensible Daten wie Patienteninformationen oder Fotos von Kindern betroffen. Auch beim Landesbeauftragten für den Datenschutz Niedersachsen (LfD) steigt die Anzahl gemeldeter Datenschutzverletzungen kontinuierlich, im ersten Quartal 2026 waren es bereits 573 (im Vorjahreszeitraum 435). Diese Zahl umfasst nicht nur Cyberangriffe, sondern auch andere meldepflichtige Vorfälle, etwa durch Versehen oder technisches Versagen. Der LfD Niedersachsen ruft Unternehmen, Behörden und insbesondere IT-Dienstleister zu konsequenter Vorsorge auf und weist auf die gesetzlichen Melde- und Benachrichtigungspflichten nach der Datenschutz-Grundverordnung (DSGVO) hin.

Datenlecks, Erpressungen und Datendiebstahl stellen ein großes Risiko für den Schutz personenbezogener Daten dar. Bei diesen Angriffen kopieren die Täter personenbezogene Daten und verschlüsseln oder löschen anschließend oft die Originaldaten. In der Folge fordern sie Lösegeld und drohen damit, die Daten zu veröffentlichen oder weiterzuverkaufen. Häufig sind IT-Dienstleister das Ziel: Ein einziger erfolgreicher Angriff kann dann zahlreiche Auftraggeber und sehr viele Menschen zugleich betreffen. Deshalb kommt den Schutzvorkehrungen solcher IT-Dienstleister besondere Bedeutung zu. Als Auftragsverarbeiter müssen sie die ihnen anvertrauten Daten technisch und organisatorisch absichern und ihre Auftraggeber unverzüglich informieren, sobald sie von einem Vorfall Kenntnis erlangen.

Die datenschutzrechtliche Verantwortung bleibt dabei bei der auftraggebenden Stelle: Sie muss ihre Auftragsverarbeiter sorgfältig auswählen und die Verarbeitung vertraglich regeln. Und ihr obliegt die Meldung eines Vorfalls bei der zuständigen Datenschutzbehörde. Denis Lehmkemper, LfD Niedersachsen: "Wer die Verarbeitung personenbezogener Daten auslagert, lagert dadurch nicht automatisch die Verantwortung aus. Verantwortliche müssen ihre Dienstleister sorgfältig auswählen - gerade dann, wenn besonders sensible Daten verarbeitet werden."

Verantwortliche sollten vor einer Meldung nicht zurückschrecken. "Eine Datenschutzverletzung zu melden ist kein Schuldeingeständnis. Wer einen Vorfall offen und fristgerecht anzeigt, handelt richtig", so Lehmkemper. Die Bewertung der Risiken, die Untersuchung und Dokumentation des Vorfalls sowie die Auswahl und Umsetzung geeigneter Schutzmaßnahmen liegen beim Verantwortlichen selbst. Bei einem hohen Risiko für die betroffenen Personen muss er diese zudem benachrichtigen. Der LfD Niedersachsen nimmt die Meldung entgegen, prüft diese und unterstützt gegebenenfalls. Für die Meldung steht ein Online-Formular bereit. Antworten auf die häufigsten Fragen finden Verantwortliche in der Infothek der Behörde. Die datenschutzrechtliche Meldung an den LfD Niedersachsen ersetzt nicht die Einbindung der Strafverfolgungs¬behörden. Betroffene Stellen sollten einen Cyberangriff der Zentralen Ansprechstelle Cybercrime (ZAC) der Polizei Niedersachsen anzeigen.

Die DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, durch geeignete technische und organisatorische Maßnahmen ein dem Risiko angemessenes Schutzniveau sicherzustellen. Dazu gehören etwa abgesicherte Schnittstellen, Zugriffs- und Berechtigungskonzepte, eine Mehr-Faktor-Authentifizierung, die Verschlüsselung gespeicherter Daten sowie Datensparsamkeit. Regelmäßige Datensicherungen sind wichtig, schützen aber nicht vor dem Diebstahl der Daten selbst. Konkrete Hilfestellungen zu Schutz- und Erste-Hilfe-Maßnahmen bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Weitere Informationen:

Pressemitteilung als PDF zum Download