Fall 3 bewegte sich wieder im Bereich „Ransomware“ (Emotet und Co.). Dies wird auch für Fall 4 zutreffen, bevor wir uns gemeinsam mit dem EDSA ab Fall 5 anderen Bereichen zuwenden. Die Abhandlung von vier Beispielsfällen zu Ransomware-Attacken in der EDSA-Richtlinie ist gut begründbar, nachdem in den letzten Monaten und Jahren gerade dieser Bereich für ein relativ hohes Aufkommen an Datenschutzverletzungen gesorgt hat.
Durch den Vergleich der verschiedenen Fallvarianten verdeutlicht der EDSA außerdem, in welchen Konstellationen eine verantwortliche Stelle trotz Attacken relativ risiko- und störungsfrei bleibt. Zu den klaren Empfehlungen insoweit gehört sicher:
– möglichst vollständige Protokollierung von Datenexporten,
– Abschottung und Verinselung von IT-Systemen, sofern ohne Einbußen an Funktionalität möglich,
– Verschlüsselung von Daten nach aktuellem Stand der Technik, wenn ohne Funktionseinbuße durchführbar (z.B. bei Backup-Daten),
– zeitnahe und vollständige Backups, die gegen übergreifende Ransomware abgeschottet sind.
FALL 3: LÖSUNG
Vertraulichkeit: Die Analyse des Datenschutz-Vorfalls ergab keine unbefugten Daten-Exporte. Insoweit kann auf die Überlegungen bei Fall 2 zurückgegriffen werden: Für eine genaue Risiko-Abschätzung ist enorm wichtig, wie lückenlos das betroffene System Datenabflüsse protokolliert und wie zuverlässig ausgeschlossen werden kann, dass der Angreifer spätere Datenabflüsse angelegt/vorbereitet hat. In Fall 3 besteht der wichtigste Unterschied zu Fall 2 auch bezüglich Vertraulichkeit bei Quantität und Qualität der betroffenen Daten: Die Attacke erfasste tausende Patienten und Beschäftigte, außerdem hochsensible Datenkategorien (Gesundheitsdaten). Schon relativ geringe verbleibende Restrisiken hinsichtlich eines Vertraulichkeit-Bruches dürften deshalb eine Meldepflicht gegenüber der Aufsichtsbehörde begründen. So sieht das auch der Europäische Datenschutz-Ausschuss in Textziffer 37 und 39 seiner Richtlinie.
Integrität: Auch hier gelten die Überlegungen zu Fall 2, erneut gewissermaßen betrachtet durch ein „Vergrößerungsglas“ angesichts Quantität und Qualität der betroffenen Daten. Eine komplette Datenwiederherstellung war nicht möglich. Im Bereich „Daten-Integrität“ ergibt sich deshalb ebenso eine Meldepflicht gemäß Art. 33 DS-GVO.
Verfügbarkeit: Die Wiederherstellung der Daten (soweit Backups vorhanden waren) gelang trotz des größeren Datenvolumens zwar schneller als in Fall 2 (zwei anstelle fünf Arbeitstage). Wegen des betroffenen Verarbeitungs-Bereiches und der hundertfach größeren Zahl betroffener Personen sind die verbleibenden Risiken und Schäden dennoch erheblich höher als in Fall 2: Behandlungen von Patienten verzögerten sich, geplante ärztliche Maßnahmen mussten verschoben werden, das allgemeine Behandlungsniveau hat sich jedenfalls für die genannten zwei Tage reduziert.
Gerade mit Blick auf diese hohen Risiken/Schäden der Datenschutz-Attacke im Bereich der Datenverfügbarkeit ist auch eine Meldepflicht gegenüber den Betroffenen nach Art. 34 DS-GVO bei Fall 3 zu bejahen. Die betroffenen Beschäftigten und Patienten müssen also unverzüglich „in klarer und einfacher Sprache“ über die Art der Datenschutz-Pflichtverletzung benachrichtigt werden und außerdem die Informationen nach Art. 33 Abs. 3 lit. b, c und d DS-GVO erhalten (Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, Beschreibung der wahrscheinlichen Folgen des Vorfalls, Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Schutzmaßnahmen).
An dieser Stelle sei angemerkt: In der Praxis wird die Information betroffener Personen häufig allein dann erwogen, wenn die Betroffenen durch eigene Maßnahmen Risiken aus dem Datenschutz-Vorfall beseitigen oder mindern können (Beispiel: Aufruf an Nutzer, „geleakte“ Zugangsdaten für E-Mail Accounts zu verändern, die kompromittierten Accounts nicht mehr zu nutzen).
Art. 34 DS-GVO ist jedoch ganz klar nicht nur eine Vorschrift für den „Aufruf zur Selbsthilfe“. Der Verantwortliche muss betroffene Personen bei hohen Risiken einer Datenschutz-Verletzung auch benachrichtigen, wenn er ihnen keine geeigneten Schutzmaßnahmen vorschlagen kann. Dies folgt dem Datenschutz-Grundprinzip, dass betroffene Personen nicht als Datenobjekte behandelt werden dürfen, sondern über den Verbleib ihrer Daten ausreichend informiert werden müssen. Für das informationelle Selbstbestimmungsrecht ist natürlich auch wichtig, dass betroffene Personen wissen, ob und unter welchen Umständen ihre Daten (und welche genau) „verlorengingen“, sich also vielleicht in den Händen unbefugter Dritter befinden.
Die Fall-Lösung lautet deshalb:
(1) Dokumentation des Vorfalls: natürlich ja.
(2) Meldungen die Aufsichtsbehörde: ja.
(3) Meldung an die Betroffenen: ja.
Der EDSA befürwortet in seiner Richtlinie ausdrücklich auch eine Information an betroffene Personen, deren Behandlung im Krankenhaus längst abgeschlossen ist. Der Ausschuss verweist dafür auf die Möglichkeiten „öffentlicher Kommunikation oder entsprechender Maßnahmen, durch die Betroffenen in Vergleich bei fiktiver Weise informiert werden“ (Textziffer 39 EDSA-Richtlinie). Wenn Möglichkeiten zur individuellen Benachrichtigung (z.B. auf dem Postwege) fehlen, weil Kontaktdaten zu langjährig ausgeschiedenen Patienten/Beschäftigten nicht verfügbar sind, bedeutet die „öffentliche Benachrichtigung“ für den Verantwortlichen unter Umständen einen erheblichen Imageschaden und Wettbewerbsnachteil.
Auch dies kann und sollte Verantwortliche zu entsprechenden Sicherheits-Vorkehrungen motivieren (z.B. Abweisung veralteter MS-Office-Dateien in E-Mail-Anhängen). Natürlich gilt wie immer: Vollständiger Schutz und Risikoausschluss ist nicht erreichbar. Damit auf zur „letzten Ransomware-Attacke“.
FALL 4: RANSOMWARE OHNE BACKUP UND MIT DATENABFLUSS
Der Server eines öffentlichen Verkehrsunternehmens wurde einem Ransomware-Angriff ausgesetzt und seine Daten wurden verschlüsselt. Nach den Erkenntnissen der internen Untersuchung hat der Täter die Daten nicht nur verschlüsselt, sondern auch exportiert. Betroffen sind Daten von Kunden und Beschäftigten (mehrere tausend Personen). Neben grundlegenden Identitätsdaten waren auch Ausweisnummern und Finanzdaten wie Kreditkartendaten von der Sicherheitsverletzung betroffen. Es existiert eine Backup-Datenbank, die aber ebenfalls vom Angreifer verschlüsselt wurde.
Als vierte Variante im „Ransomware-Zyklus“ nun also der worst case und Albtraum Verantwortlicher, Betroffener sowie Datenschutzbeauftragter. Ergibt sich daraus bei den Meldepflichten „das volle Programm“? Prüfen Sie, notieren Sie Ihre Meinung und … bis bald!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
