Was wir aus Hafnium lernen konnten
Gerade in den letzten Wochen hat das Thema der Meldung von Verletzungen des Schutzes personenbezogener Daten besondere Aufmerksamkeit erfahren. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits Anfang März bekannt gemacht hatte, konnten Hacker durch die Ausnutzung einer Schwachstelle bei dem Microsoft Produkt „Exchange-Server“ über 10.000 Server angreifen und mit Schadsoftware infizieren. Dabei wurden die Angriffe nicht ausschließlich durch die chinesische Hafnium-Gruppe ausgeführt. Auch andere Angreifer waren auf den Zug aufgesprungen, um die Exploits auszunutzen.Exchange Server werden für den Versand und die Verwaltung von E-Mails und Kalendereinträgen verwendet. Nach Aussagen des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) konnten die Angreifer potentiell Zugriff auf sämtliche Daten des angegriffenen Exchange Servers – inklusive der damit verbundenen Rechte im Netz des Verantwortlichen – erlangen.
E-Mail-Postfächer und Adressbücher konnten so ausgelesen und gesteuert werden. Somit stellt sich in dem Zusammenhang selbstverständlich die Frage, was datenschutzrechtlich zu beachten ist.
Grundsätzlich gilt es hier zu untersuchen, ob eine Verletzung des Schutzes personenbezogener Daten an die Datenschutzaufsichtsbehörde zu melden ist. Die Datenschutzgrundverordnung (DSGVO) definiert den Begriff „Verletzung des Schutzes personenbezogener Daten“ in Art. 4 Abs. 12. Es handelt sich demzufolge um eine solche Schutzverletzung, wenn es zur unbefugten oder unrechtmäßigen Vernichtung, Verlust oder Veränderung von personenbezogenen Daten kommt. Ebenso handelt es sich um eine Schutzverletzung, wenn personenbezogene Daten unbefugte Offenlegung werden oder es zu einem unbefugten Zugang zu den Daten kommt. Als Synonyme werden in der Datenschutzpraxis Begriffe wie Datenpanne, Datenschutzverletzung oder Data Breach verwendet.
Wann muss eine Datenschutzverletzung bzw. eine Datenpanne gemeldet werden?
Eine Datenschutzverletzung muss gemeldet werden, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Person besteht, um deren personenbezogene Daten es sich handelt. Als Beispiele, welche Risiken für die Freiheiten der Rechte und Freiheiten der betroffenen Personen bestehen, führt die DSGVO physische, materielle oder immaterielle Schäden an. Um ein Risiko handelt es sich, wenn es zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung oder zu anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen für die betroffenen Personen führen kann. Die Risikobetrachtung muss immer die Elemente Eintrittswahrscheinlichkeit und Schadenauswirkungen einbeziehen.
Die Datenschutzgrundverordnung definiert drei Risikostufen oder -kategorien: kein Risiko, Risiko oder hohes Risiko für die Rechte und Freiheiten der betroffenen Person.
Von einer Meldung an die Datenschutzaufsicht kann laut DSGVO nur abgesehen werden, wenn es durch die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die betroffene Person kommt. Die Datenschutzkonferenz (DSK) hat dazu ausgeführt, dass man die Formulierung „nicht zu einem Risiko“ von ihrem Sinn und Zweck ausgehend als „nur zu einem geringen Risiko“ führend verstehen muss.
Wenn wahrscheinlich kein hohes Risiko für die Personen besteht, müssen sie nicht benachrichtigt werden.
Die Meldung an die Aufsichtsbehörde hat bei einem Risiko unverzüglich, aber maximal binnen 72 Stunden, durch den Verantwortlichen zu erfolgen. Die Frist beginnt zu dem Zeitpunkt, zu dem die Datenschutzverletzung dem Verantwortlichen bekannt wird.
Führt die Datenschutzverletzung zu einem hohen Risiko für die betroffenen Personen, so ist neben der Aufsichtsbehörde auch die betroffenen Personen unverzüglich zu benachrichtigen, damit diese unmittelbaren Maßnahmen zur Reduktion ihres Risikos treffen können. Dazu muss der Verantwortliche der betroffenen Person in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und die wahrscheinlichen Folgen der Verletzung beschreiben. Ebenso muss die Information eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen enthalten.
Daneben sind der Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen zur Verfügung zu stellen.
Fallbeispiele zur Meldung einer Datenschutzverletzung
Als Beispiele, wann ein Datenschutzverletzung zu melden ist, hat der Hamburger Datenschutzbeauftrage auf seiner Internetseite einige Beispiele aufgeführt, die aus einem Arbeitspapier der Art.29-Gruppe resultierten. Die Fallbeispiele stellen lediglich eine erste Orientierung dar, die letztendlich keiner einzelfallbezogenen Bewertung entbehrt.
| Fallbeschreibung | Meldepflicht an die Aufsichtsbehörde | Informationspflicht an Betroffene | Anmerkungen (des HmbBfDI) |
| Gestohlener USB-Stick mit wirksam verschlüsselten Daten | Nein | Nein | Kein Art.-33-Fall aufgrund der Verschlüsselung. Meldepflicht besteht jedoch, wenn die Daten nicht anderweitig gesichert sind. |
| Datenzugriff durch Cyber-Attacke | Ja | Ja (abhängig von der Art der Daten) | |
| Mehrminütiger Stromausfall, dadurch zwischenzeitlich kein Zugriff möglich | Nein | Nein | Aber interne Dokumentation nach Art. 33 Abs. 5 |
| Ransomware-Attacke, die Kundendaten verschlüsselt (Erpressungstrojaner) | Ja (in der Regel) | Ja (in der Regel) | Außer es gibt ein Backup, sodass die Daten zügig wiederhergestellt werden können. |
| Kontoauszug an falschen Kunden verschickt | Ja | Im Einzelfall i.d.R. nicht, bei Häufung schon | |
| Hacker erbeuten Nutzernamen, Passwörter und Kaufhistorie der Kunden eines Onlineshops | Ja | Ja | |
| Kunden können aufgrund eines Programmierfehlers im Kundenportal fremde Kundendaten einsehen | Ja, wenn Daten abgerufen wurden | Im Einzelfall i.d.R. nicht, bei Häufung schon | |
| Cyber-Attacke auf Krankenhaus, dadurch für 30 Minuten kein Zugriff auf Patientendaten | Ja | Ja | |
| Versehentliche Versendung von Schülerdaten an eine Mailingliste | Ja | Ja (in der Regel) | |
| Werbe-E-Mail mit offenem Mailverteiler (cc statt bcc) | Ja (bei großer Empfängerzahl oder sensiblem Inhalt, z.B. Passwörter) | Ja (außer nur wenige Betroffene und kein sensibler Inhalt) |
Ob in dem konkreten Fall bei der Ausnutzung der Schwachstelle des Microsoft Exchange Servers eine Meldepflicht an die Datenschutzaufsichtsbehörde besteht, hängt von verschiedenen Faktoren ab. Der BayLD kommt zu der Einschätzung, dass im Regelfall eine Meldung bei der jeweils zuständigen Datenschutzaufsichtsbehörde zu tätigen ist, wenn man nach der Überprüfung der eigenen Systeme zu dem Schluss kommt, dass die Sicherheitslücke (mit hinreichender Wahrscheinlichkeit) ausgenutzt wurde.
Das LDI NRW führt aus, dass keine Meldepflicht besteht, wenn nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen.
Sollten zudem keine besonders sensiblen personenbezogenen Daten nach Artikel 9 Abs. 1 DSGVO in den betroffenen Systemen verarbeitet worden sein, liegt zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vor. In diesen Fällen genügt nach Aussagen der Nordrheinwestfälischen Datenschutzaufsichtsbehörde eine interne Dokumentation der Verletzung beim Verantwortlichen gemäß Artikel 33 Abs. 5 DSGVO.
Sollte allerdings ein mehr als geringes Risiko festgestellt werden, besteht nach Annahme beider Aufsichtsbehörden die Meldepflicht gemäß Artikel 33 Abs. 1 DSGVO. Sofern ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen festgestellt wird, kann nach Artikel 34 DSGVO auch eine Benachrichtigung der betroffenen Personen erforderlich sein.
Zum Autor:
Markus Zechel ist seit 2004 Berater für Datenschutz und Informationssicherheit. Nach seiner Tätigkeit als selbstständiger Berater ist er seit 2011 Managing Consultant der Firma migosens GmbH. Zu den Aufgaben von Herrn Zechel gehören u.a. die Beratung, Betreuung und Schulung zu den Themen Datenschutz und Informationssicherheit, sowie die Übernahme der Funktion des externen Datenschutzbeauftragten oder des externen Informationssicherheitsbeauftragten.
