An die folgenden Worte des Berliner Beauftragten für Datenschutz und Informationsfreiheit sollte man sich erinnern, wenn man einen trojanisierten PC im Unternehmen behandelt und keine Zeit oder Möglichkeit besitzt zu kontrollieren, ob Informationen abgeflossen sind. Sonst könnte es später noch teurer als die Bitcoin-Forderung oder Vertrauensverlust der Kunden werden:

"Unrechtmäßig ist die Übermittlung oder sonstige Kenntniserlangung dann, wenn sie ohne Rechtsgrund erfolgt." [...] "Für die Frage ob §42a BDSG anwendbar ist, spielt es keine Rolle, ob eine Übermittlung vorliegt oder die Daten 'in sonstiger Weise Dritten' zur Kenntnis gelangt sind."

[...] "Die Kenntniserlangung durch einen Dritten muss nicht positiv festgestellt werden. Es ist ausreichend, wenn es entweder offensichtlich ist, dass Dritte Kenntnis erlangt haben, oder wenn anhand von tatsächlichen Anhaltspunkten mit einer gewissen Wahrscheinlichkeit davon ausgegangen werden kann." (FAQs zur Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten nach § 42a Bundesdatenschutzgesetz (BDSG), Seite 5) Überhaupt ist diese Veröffentlichung des Beauftragten aus meiner Sicht lesenswert: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/merkblatt_datenpannen_lfdiberlin.pdf

https://web.archive.org/web/20230122224122/https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/merkblatt_datenpannen_lfdiberlin.pdf