Nach Art. 34 DSGVO sind betroffene Personen zu informieren, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Was bei Kundendaten, insbesondere solcher mit Kontaktdaten, regelmäßig der Fall ist. Zwar wird in dem HAZ-Artikel keine konkrete Aussage über die Art der erbeuteten Daten gemacht, aber dennoch könnte diese Regelung interessant sein.

Eine Abfrage auf einer Nachbarschaftsseite bei Facebook hat ergeben, dass niemand der Antwortenden eine entsprechende Information bekommen hat.Die Stadt Hannover ist Anteilseigner bei der enercity AG [2].

In diesem Zusammenhang frage ich die Verwaltung:

1. Welche Art von Daten sind bei dem Hackerangriff auf die enercity AG erbeutet worden?

2. Wenn davon personenbezogene Daten nach Art. 34 DSGVO betroffen waren, zu denen die betroffenen Personen zu informieren sind: Wann wird diese Information vorgenommen?

3. Wer hat im Fall einer nicht notwendigen Information der Betroffenen die Entscheidung darüber getroffen, dass die Information nicht notwendig war?

[1] https://www.haz.de/wirtschaft/cyberangriff-auf-enercity-hacker-waren-acht-tage-unbeobachtet-im-system-HR5ZKYH3RFH6HNQQOT7ZUA6DEU.html

[2] https://www.hannover.de/Wirtschaft-Wissenschaft/Regions-Stadtfinanzen/Beteiligungen/Beteiligungsgesellschaften-und-Kooperationen-der-Region-Hannover/VVG-Versorgungs-und-Verkehrsgesellschaft-Hannover-mbH