Ransomware-Angriffe sind eine der größten Bedrohungen für Unternehmen und öffentliche Stellen. Wenn Angreifer sensible Daten verschlüsseln oder deren Veröffentlichung im Darknet androhen, stellt sich für die betroffenen Organisationen regelmäßig die Frage, ob tatsächlich personenbezogene Daten kompromittiert sind, denn abhängig davon ergeben sich verschiedene rechtliche Pflichten. Um hier Abhilfe zu schaffen, hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) am 07.08.2025 eine Code zum Finden personenbezogene Daten veröffentlicht. Das Programm soll helfen, in großen Datenmengen personenbezogene Informationen schneller aufzuspüren und so den Umgang mit Sicherheitsvorfällen zu erleichtern.
Weiterlesen: Code des HBDI zum Finden personenbezogener DatenHintergrund: Datenpannen und Prüfpflichten
Kommt es zu einem Ransomware-Angriff, stehen Unternehmen und Behörden unter erheblichem Druck. Angreifer drohen häufig mit der Veröffentlichung von gestohlenen Daten im Darknet, um Lösegeldforderungen durchzusetzen. Wird ein solcher Angriff bekannt und sind personenbezogene Daten betroffen, ist die verantwortliche Stelle nach der Datenschutzgrundverordnung (DSGVO) verpflichtet, die Aufsichtsbehörde über die Verletzung zu informieren und unter Umständen auch die betroffenen Personen zu benachrichtigen. Maßgeblich für die Melde- und Informationspflichten sind die Vorgaben aus Art. 33 und Art. 34 DSGVO.
Die praktische Schwierigkeit liegt darin, die erbeuteten Datenmengen überhaupt zuverlässig auszuwerten. Nicht selten handelt es sich um mehrere Hundert Gigabyte, die von den Angreifern ins Darknet gestellt, auf Servern zugänglich gemacht oder entsprechend angedroht werden. Verantwortliche sind oft kaum in der Lage, innerhalb kurzer Zeit eine belastbare Aussage zu treffen, ob und in welchem Umfang personenbezogene Daten enthalten sind. Dies gilt umso mehr, wenn die IT-Strukturen historisch gewachsen und unzureichend dokumentiert sind.
Werkzeug des HBDI im Überblick
Vor diesem Hintergrund hat der HBDI ein eigenes Analysewerkzeug als Code zum Finden personenbezogener Daten entwickelt. Ziel ist es laut der Pressemitteilung des HBDI, personenbezogene Daten in großen, unsortierten Datenmengen zu identifizieren. Das eigentlich für eigene Untersuchungen entwickelte Tool, stellt er nun auch anderen Verantwortlichen zur Verfügung. Die Software arbeite mit Mustern und Schlagworten, die auf einen Personenbezug hindeuten können. Dazu würden klassische Identifikatoren wie Rentenversicherungsnummern, aber auch Begriffe wie „Abmahnung“ gehören.
Zugang zum Programmcode
Die Besonderheit liegt darin, dass das Tool nicht exklusiv für die Behörde reserviert bleibt, sondern öffentlich zur Verfügung gestellt wird. Auf der Plattform OpenCode.de, die vom Zentrum für Digitale Souveränität der Öffentlichen Verwaltung betrieben wird, kann der Code von jedermann eingesehen und genutzt werden. Die Veröffentlichung steht unter der Open-Source-Lizenz EUPL 1.2 zur Verfügung und ermöglicht somit eine rechtssichere Weiterverwendung, auch für eigene Anpassungen.
Digitale Souveränität als Leitgedanke
Der Schritt des HBDI ist auch politisch bedeutsam. Mit der Veröffentlichung verfolgt die Behörde das Ziel, die digitale Souveränität der Verwaltung zu stärken. Open-Source-Lösungen gelten als zentraler Baustein, um Abhängigkeiten von einzelnen großen und insbesondere auch internationalen Herstellern zu verringern. Indem der HBDI seinen Programmcode teilt, setzt er ein Zeichen für Offenheit und Nachvollziehbarkeit im Umgang mit digitaler Infrastruktur. Zudem eröffnet dieser Schritt die Möglichkeit, dass nicht nur Aufsichtsbehörden, sondern auch betroffene Unternehmen, IT-Dienstleister oder Forschungseinrichtungen die Software weiterentwickeln und verbessern können. Der HBDI hat außerdem bereits angekündigt, künftig weitere Entwicklungen auf OpenCode.de veröffentlichen zu wollen. Unternehmen und Bürger sind ausdrücklich eingeladen, sich durch Feedback zu beteiligen.
Fazit
Mit der Veröffentlichung des Analysewerkzeugs setzt der HBDI einen wichtigen Impuls. Die Software bietet eine praktische Unterstützung, um personenbezogene Daten in großen Datenmengen schneller zu identifizieren und dadurch Melde- und Benachrichtigungspflichten effizienter zu erfüllen. Gleichzeitig wird durch die Open-Source-Bereitstellung ein Beitrag zur digitalen Souveränität geleistet, der über den unmittelbaren Nutzen hinausgeht. Für Unternehmen ergibt sich daraus nicht nur ein Mehr an Hilfsmitteln im Krisenfall, sondern auch ein Signal, dass Datenschutzaufsichtsbehörden zunehmend auf Transparenz und Zusammenarbeit setzen.
