Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) bereitet immer noch Schwierigkeiten. Gerade die Einhaltung der Meldepflichten nach DSGVO wirft weiterhin Fragen auf. Welche Cyberattacken müssen gemeldet werden, welche nicht, fragen sich die Unternehmen.
Der Europäische Datenschutzausschuss (EDSA) gibt dazu Hinweise, zum Beispiel für den Fall einer Ransomware-Attacke. Kommt es zu einem Angriff mit Ransomware, können personenbezogene Daten mehrfach in Gefahr sein. Zum einen kann die erzwungene Verschlüsselung die Verfügbarkeit der Daten gefährden, wenn es keine geschützten Backups gibt. Zum anderen gehen die Angreifer dazu über, die ausgespähten und kriminell verschlüsselten Daten an Dritte zu verkaufen oder sie drohen damit. Damit wäre dann auch die Vertraulichkeit der personenbezogenen Daten nicht mehr gewährleistet.