Ihr Zielland

Hong Kong

Recht und Steuern in Hong Kong

Ihre deutschsprachige Rechtsanwaltskanzlei in Hong Kong
CBBL Solicitor (Hong Kong) & Attorney at Law (Germany) Stefan Schmierer, Kanzlei Ravenscroft & Schmierer, Hong Kong Western District
Stefan Schmierer
Solicitor (Hong Kong) & Attorney at Law (Germany), Ravenscroft & Schmierer, Hong Kong Western District


Cybersicherheitsverletzung im Cyberport Hong Kong

Von unserem deutschsprachigen CBBL-Anwalt in Hong Kong, Herrn Rechtsanwalt Stefan Schmierer, schmierer@cbbl-lawyers.de, Tel. +852 2388 3899, www.rs-lawyers.com.hk

sowie Anna Lau, Litigation Partnerin

Eine Kleinigkeit oder ein schwerwiegender Verstoß?
Analyse der rechtlichen Auswirkungen der Datenschutzverletzung

  1. Einleitung
  2. Der Tatort der Cybersicherheitsverletzung in Hong Kong
  3. Rechtliche Auswirkungen für Cyberport Hong Kong
  4. Welche Schritte können Einzelpersonen gegen Cyberport Hong Kong unternehmen?
  5. Prioritäten für Datenverwahrer in Hong Kong: Sicherheit und Rechtsbewusstsein

1. Einleitung

In der vernetzten digitalen Welt von heute kommt es nur allzu häufig zu Verstößen gegen die Cybersicherheit, die erhebliche rechtliche und ethische Herausforderungen mit sich bringen. Wenn vertrauliche Informationen kompromittiert werden, können die Folgen schwerwiegend sein, sowohl für Einzelpersonen als auch für Organisationen. Dies war der Fall bei der jüngsten Cybersicherheitsverletzung im Cyberport Hong Kong, einem führenden Technologiezentrum in Hong Kong. Der Vorfall und die damit verbundene Berichterstattung werfen erhebliche Bedenken auf, hinsichtlich des Datenschutzes, der rechtlichen Haftung der Institutionen, die personenbezogene Daten erheben und verwenden, und die Rechte betroffener Personen. In den folgenden Abschnitten analysieren wir den Vorfall, seine Berichterstattung, die rechtlichen Auswirkungen für Cyberport Hong Kong und die Rechte derjenigen, auf deren Daten illegal zugegriffen wurde.

2. Der Tatort der Cybersicherheitsverletzung in Hong Kong

Cyberport ist eine kreative digitale Community in Hong Kong mit Mietern für Technologie und digitale Inhalte. Es befindet sich im Besitz der Regierung der Sonderverwaltungszone Hong Kong und beherbergt über 1.500 Start-ups und Technologieunternehmen, die sich auf Bereiche wie Fintech, KI, Big Data und Smart Living konzentrieren. Ziel von Cyberport ist es, die Entwicklung digitaler Technologien in Hong Kong durch ein Ökosystem von Kooperationspartnern voranzutreiben, darunter Beschleuniger, Investoren, Hochschulen und Industriepartner. Der selbsternannte Status als „Flaggschiff der digitalen Technologie“ macht den Vorfall mit der Datenpanne umso deplatzierter und unerwarteter.

Der Vorfall und seine Berichterstattung

Der Verstoß bei Cyberport in Hong Kong wurde Mitte August 2023 entdeckt, aber erst im September, fast einen Monat nach der Entdeckung, öffentlich bekannt gegeben. Bereits wenige Tage vor der Veröffentlichung kursierten Berichte in den Medien, wonach eine Hackergruppe namens Trigona bei Cyberport eine Zahlung für die Rückgabe von mehr als 400 GB ihrer Daten erpresste und mit der Veröffentlichung der Daten drohte, falls die Zahlung nicht erfolgt. Am Ende zahlte Cyberport das Lösegeld nicht, woraufhin die Daten im Darknet weitergegeben wurden.
Laut der Erklärung, die schließlich von Cyberport Hong Kong veröffentlicht wurde, umfassten die Daten „Namen und Kontaktdaten von Einzelpersonen, personalbezogene Daten von Mitarbeitern, ehemaligen Mitarbeitern und Bewerbern sowie eine kleine Anzahl von Kreditkartendaten“.

Es ist zwar verständlich, dass eine Organisation das Ausmaß einer Datenschutzverletzung vollständig einschätzen möchte, bevor sie eine öffentliche Ankündigung macht, doch die übermäßige Verzögerung und das Fehlen weiterer Details und Folgeveröffentlichungen hat für Stirnrunzeln gesorgt und Fragen zur Transparenz und Aktualität der Antwort von Cyberport Hong Kong aufgeworfen.

3. Rechtliche Auswirkungen für Cyberport Hong Kong

Die rechtlichen Auswirkungen für Cyberport Hong Kong als Datennutzer sind erheblich. Obwohl Cyberport die Bedeutung des Datenschutzverstoßes herunterspielte und erklärte, dass die Hacker nur auf eine begrenzte Menge personenbezogener Daten unbefugt zugegriffen hätten, sind die möglichen Auswirkungen weitreichend. Es sind zwei Elemente zu berücksichtigen: (1) hat Cyberport Hong Kong beim Umgang mit sensiblen Daten fahrlässig gehandelt?; und im Zusammenhang damit (2) verstößt Cyberport Hong Kong, je nach Nationalität der Personen, deren Daten kompromittiert wurden, gegen die geltenden Datenschutzgesetze in den jeweiligen Gerichtsbarkeiten dieser Personen? Schauen wir uns diese beiden Fragen einzeln an.

a. Möglicher Verstoß von Cyberport Hong Kong gegen Datenschutzgesetze

Der beschriebene Vorfall stellt einen Datenschutzverstoß dar, da er nicht nur eine tatsächliche Verletzung der Sicherheit der von Cyberport Hong Kong gespeicherten personenbezogenen Daten darstellt, sondern auch die personenbezogenen Daten der Mitarbeiter, ehemaligen Mitarbeiter und sogar Bewerber der Unternehmen in Cyberport dem Risiko unbefugter oder unberechtigter Zugriffe aussetzt, und zwar durch versehentlichen Zugriff, Verarbeitung, Löschung, Verlust oder Nutzung. Daher ist Cyberport Hong Kong als Datennutzer zweifellos verpflichtet, Richtlinien und Praktiken zum Umgang mit Datenschutzverletzungen umzusetzen, um den durch die Verletzung verursachten Schaden einzudämmen und seiner Verantwortung gemäß den geltenden Datenschutzgesetzen gerecht zu werden.

Mit Stand Januar 2023 gibt es in über 120 Ländern Datenschutzgesetze. Diese Gesetze unterscheiden sich stark in ihrem Geltungsbereich und ihrer Durchsetzung. Einige Länder verfügen über eine sektorale Abdeckung, wobei verschiedene Branchen ihre eigenen Datenschutzgesetze haben, während andere über eine umfassende Abdeckung mit mindestens einem nationalen Datenschutzgesetz zusätzlich zu provinziellen oder sektoralen Vorschriften verfügen.

Obwohl verständlicherweise keine Angaben zu den Nationalitäten der Personen gemacht wurden, deren Daten ohne Einwilligung abgerufen wurden, ist es sehr wahrscheinlich, dass in Hong Kong und plausibel, dass auch in Festlandchina und der Europäischen Union ein Verstoß gegen die einschlägigen Datenschutzgesetze vorlag.

Die Erhebung und Verarbeitung personenbezogener Daten in Hong Kong wird durch die Personal Data (Privacy) Ordinance (PDPO) geregelt, ein prinzipienbasiertes Gesetz, das in eher allgemeinen Begriffen Anweisungen und Leitlinien für die Handlungen oder Praktiken gibt, die von den Datennutzern eingegangen oder nicht eingegangen werden sollten. Obwohl Verstöße gegen die Datenschutzgrundsätze gemäß Anhang 1 des PDPO nach hongkonger Recht keine strafrechtliche Verfolgung nach sich ziehen, ist der Datenschutzbeauftragte für personenbezogene Daten („PCPD“) in Hong Kong berechtigt, gegen einen Datennutzer, der für den Verstoß verantwortlich ist, Maßnahmen zu ergreifen.

Darüber hinaus können die geschädigten Personen rechtliche Schritte und Schadenersatz wegen Verletzung der Privatsphäre, Fahrlässigkeit und/oder anderen unerlaubten Handlungen einfordern, wodurch Cyberport Hong Kong möglicherweise zivilrechtlich haftbar gemacht wird. Darüber hinaus könnte die Verzögerung bei der Berichterstattung möglicherweise auch als Verstoß gegen den Datenschutzgrundsatz 4(1) und (2) angesehen werden und könnte eine Untersuchungs- und Durchsetzungsmitteilung von PCPD nach sich ziehen, in der sofortige Abhilfemaßnahmen gefordert werden, um die Auswirkungen des Verstoßes zu minimieren und einzudämmen.

Im Vergleich zu der hongkonger PDPO regeln die Datenschutzgesetze in China und der EU das Verhalten von Datennutzern regelbasiert. Gemäß dem Gesetz zum Schutz personenbezogener Daten (PIPL) auf dem chinesischen Festland müssen Bürger innerhalb von 72 Stunden darüber informiert werden, wenn ihre Daten kompromittiert werden. Schwerwiegende Verstöße oder Verstöße gegen PIPL können Geldstrafen von bis zu 50 Millionen RMB oder 5 % des Jahresumsatzes nach sich ziehen. Angesichts der engen Beziehungen Hong Kongs zu China, könnte die Prüfung der PIPL-Verpflichtungen und die Zusammenarbeit mit den chinesischen Behörden zu einem entscheidenden Thema werden. Es ist erwähnenswert, dass die PIPL in jedem normalen Fall, wenn personenbezogene Daten außerhalb Chinas übertragen werden, von Unternehmen verlangt, Einzelpersonen spezifische Informationen über die Übertragungen zur Verfügung zu stellen und eine gesonderte Zustimmung einzuholen. Unternehmen müssen außerdem die erforderlichen Maßnahmen ergreifen, um sicherzustellen, dass die ausländischen Empfänger das gleiche Schutzniveau bieten können, wie es im Rahmen des PIPL erforderlich ist. Für die Zwecke des PIPL gilt Hong Kong als außerhalb Chinas gelegen.

Nicht zuletzt ist die EU-Datenschutz-Grundverordnung (DSGVO) die umfassendste Verordnung zum Schutz personenbezogener Daten und der Privatsphäre, mit neuen Bestimmungen und erweiterten Rechten. Eines der hervorstechendsten Merkmale ist die extraterritoriale Zuständigkeit für Aktivitäten, die außerhalb der EU stattfinden. Betrifft der Verstoß tatsächlich personenbezogene Daten eines EU-Bürgers, ist Cyberport Hong Kong verpflichtet, eine spezifische Dokumentation darüber zu erstellen, welche Daten kompromittiert wurden, wie sie überhaupt verarbeitet wurden, welche Sicherheitsmaßnahmen vorhanden waren und wie das Unternehmen reagierte, nachdem der Verstoß entdeckt wurde. Es müssen Belege zu Datenschutz-Folgenabschätzungen, Richtlinien und Schulungen, Verschlüsselungsstandards und Kontrollen rund um die Zugriffsverwaltung und Übertragung personenbezogener Daten vorgelegt werden.

Schwachstellen in einem dieser Bereiche könnten im Rahmen der DSGVO harte Strafen seitens der EU-Regulierungsbehörden nach sich ziehen. Die Nichteinhaltung der DSGVO kann zu erheblichen Bußgeldern führen, wobei die Höchststrafe bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro beträgt, je nachdem, welcher Betrag höher ist. Darüber hinaus sollten Unternehmen wie bei PIPL die Anforderungen der DSGVO beachten, wonach ein Datenverantwortlicher gemäß Artikel 33 der DSGVO eine Datenschutzverletzung innerhalb von 72 Stunden nach Kenntniserlangung melden muss.

b. Liegt seitens Cyberport Hong Kong Nachlässigkeit vor?

Die verzögerte öffentliche Berichterstattung, die Erweckung des Eindrucks eines minimalen Vorfalls und die potenziellen Verstöße gegen Datenschutzgesetze lassen Zweifel an den Management- und Compliance-Bemühungen von Cyberport Hong Kong aufkommen.

Zum Zeitpunkt des Verfassens dieses Artikels wurden jedoch keine Aktualisierungen von der PCPD veröffentlicht, die die Untersuchung dieses Vorfalls eingeleitet hat, sodass noch keine Schlussfolgerung gezogen werden kann. Dennoch wurden, wie ein Vorstandsvorsitzender von Cyberport Hong Kong erklärte, „die durchgesickerten Daten auf einem gemeinsamen Laufwerk gespeichert, auf dem die Daten keine sensiblen Informationen enthalten sollten“, was alles andere als eine optimale oder bewährte Praxis im Umgang mit personenbezogenen Daten ist. Zum Zeitpunkt des Verfassens dieses Artikels wurden keine aktuellen Informationen von der Hong Konger Polizei veröffentlicht, die ebenfalls die kriminellen Elemente des Vorfalls untersucht.

4. Welche Schritte können Einzelpersonen gegen Cyberport Hong Kong unternehmen?

Der Verlust vertraulicher personenbezogener Daten könnte zu Identitätsdiebstahl, Finanzbetrug, Reputationsschäden und anderen nachteiligen Folgen für die betroffenen Personen führen. Wenn eine Person der Meinung ist, dass die Verwaltung von Cyberport Hong Kong in diesem Fall unzureichend war und, dass ihre personenbezogenen Daten unrechtmäßig verarbeitet wurden stehen ihr datenschutzrechtlich mehrere Möglichkeiten zur Verfügung.

Für geschädigte Kunden und Mitarbeiter ist es ratsam, von Cyberport direkt die vollständige Offenlegung darüber zu verlangen, welche spezifischen personenbezogenen Datenelemente unbefugt oder versehentlich offengelegt oder abgerufen wurden. Wenn diese Angaben nicht zufriedenstellend übermittelt werden, können Beschwerden beim PCPD in Hong Kong eingereicht werden, das, wie oben erwähnt, befugt ist, Untersuchungen durchzuführen und einen Vollstreckungsbescheid zu erlassen.

Betroffene EU-Staatsbürger haben außerdem das Recht, auf ihre personenbezogenen Daten zuzugreifen und gemäß der DSGVO die Berichtigung oder Löschung unrichtiger oder veralteter Informationen zu verlangen. Sie können außerdem Ersatz des vom Verantwortlichen oder Auftragsverarbeiter verursachten Schadens verlangen, wenn Sie gegen das geltende Datenschutzrecht verstoßen haben oder für dessen Verstoß haften, einschließlich etwaiger erlittener Schäden.

Um rechtliche Schritte einzuleiten, können Einzelpersonen Rat bei Rechtsexperten einholen, die sich mit Fragen des Datenschutzes und der Cybersicherheit auskennen und beim zuständigen Gericht eine Klage gegen den Datenverantwortlichen oder -verarbeiter (z. B. Cyberport in diesem Fall) einreichen. Das Gericht berücksichtigt die konkreten Umstände des Verstoßes, die Art und das Ausmaß des dem Einzelnen entstandenen Schadens sowie den geltenden rechtlichen Rahmen, um die Haftung zu bestimmen und geeignete Rechtsbehelfe wie Schadensersatz oder Unterlassungsansprüche zu gewähren.

5. Prioritäten für Datenverwahrer in Hong Kong: Sicherheit und Rechtsbewusstsein

Zusammenfassend lässt sich sagen, dass der Datenverstoß von Cyberport Hong Kong zwar als geringfügiger Vorfall dargestellt wird, aber Anzeichen einer unsachgemäßen Offenlegung aufweist, erhebliche rechtliche Risiken mit sich bringt und die Bedeutung proaktiver Maßnahmen, sofortiger Berichterstattung und robuster Datenschutzprotokolle in der heutigen digitalen Landschaft unterstreicht.

Es ist eine vollständige und zeitnahe Bestandsaufnahme der kompromittierten Informationen erforderlich, zusammen mit Beweisen, die belegen, dass die Sicherheitsprotokolle angemessene Standards erfüllen, und einer dringenden Prüfung ihrer Reaktionspläne bei Datenschutzverletzungen und ihrer Strategie für die öffentliche Kommunikation. Eine Haltung der freiwilligen Offenlegung und Kooperation wird dazu beitragen, den Schaden einzudämmen und Strafen abzumildern. Alles, was zu kurz kommt, kann das Misstrauen verstärken und zu erheblichen Strafen gemäß den einschlägigen Datenschutzgesetzen sowie zu potenzieller deliktischer Haftung gegenüber anderen Nutzern/Mitgliedern der Cyberport-Community führen.

Für betroffene Personen sind die Einreichung behördlicher Beschwerden und die Suche nach Rechtsbeistand bei Rechtsstreitigkeiten ratsam.

Während wir uns durch eine zunehmend digitale Welt bewegen, müssen Unternehmen dem Datenschutz Priorität einräumen und internationale Vorschriften einhalten, um das Vertrauen der Benutzer zu wahren und rechtliche Konsequenzen zu vermeiden. Um die Dringlichkeit im Bereich der Cybersicherheit deutlich zu machen, meldete der Hong Kong Consumer Council innerhalb von zwei Wochen eine Datenschutzverletzung und eine Lösegeldforderung, ganz ähnlich wie Cyberport Hong Kong.

Es gibt sicherlich noch viel zu tun, während wir uns in unserem immer digitaler werdenden Leben weiterentwickeln.

Sie haben weitere Fragen zu Cybersicherheitsverletzung in Hong Kong? Sprechen Sie uns an!

Unser deutschsprachiger CBBL-Anwalt in Hong Kong, Herr Rechtsanwalt Stefan Schmierer, berät Sie gerne: schmierer@cbbl-lawyers.de, Tel. +852 2388 3899


Stand der Bearbeitung: Februar 2024


Recht und Steuern in Hong Kong


Kontakt

Tel. +49 - 7221 - 922 866 0

mail@cbbl-lawyers.de

Newsletter bestellen

Anschrift

CBBL Cross Border Business Law AG

Schützenstraße 7

D-76530 Baden-Baden

Rechtliche Hinweise

Impressum

Datenschutz

Haftungsausschluss

Folgen Sie uns

LinkedIn Icon Instagram Icon

© Cross Border Business Law AG