Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar. Heute erscheint der letzte Teil dieser Reihe, welcher die Lösungen der Fälle 17 und 18 beinhaltet.
FALL 17: LÖSUNG
Viele wird der Sachverhalt erinnert haben an die Datenschutzverletzung bei der 1&1 Telecom GmbH und das anschließende Bußgeldverfahren des Bundesdatenschutzbeauftragten. Dort lag der Fall allerdings etwas anders: Eine Anruferin hatte bei der Hotline des Unternehmens Namen und Geburtsdatum ihres Ex-Mannes genannt, im Gegenzug dessen neue Funknummer mitgeteilt bekommen. Der BfDI verhängte für die (eindeutig) unzureichende Authentifizierungs-Vorgabe ein Bußgeld von 9,6 Millionen Euro, das im anschließenden Einspruchsverfahren auf 900.000 Euro reduziert wurde (Urteil des LG Bonn vom – im Ernst! – 11.11.2020, Az. 29 OWi 1/20).
Der Fall 17 mag daraus abgeleitet sein, leider mit Lücken bei den Angaben zum Sachverhalt: Zur Abschätzung, welche Risiken aus der Datenschutzverletzung resultieren könnten, fehlen wichtige Informationen. Vor allem ist unklar, welche Daten die Telefonrechnung dem unbefugten Dritten offenbart hat. Da dieser Dritte für die eigene Legitimation gegenüber dem TK-Unternehmen Steuernummer und Postanschrift der betroffenen Person nutzte, waren ihm solche Daten offenbar schon bekannt.
Falls die versendete Rechnung außer den (bekannten) Adressdaten der betroffenen Person und den (datenschutzrechtlich irrelevanten) Daten des TK-Unternehmens nur den Rechnungsbetrag enthielt, wäre das Missbrauchsrisiko sehr gering. Wenn zusätzlich z.B. (dem Angreifer zuvor nicht bekannte) Telefon- und Vertragsnummern oder sogar Bankverbindungsdaten und Abrechnungsdaten für Einzelgespräche verschickt wurden, ergibt sich eindeutig ein anderes Bild (und ein viel höheres Missbrauchsrisiko).
Vom letztgenannten Szenario scheint der EDSA ausgegangen zu sein (ohne dies im Sachverhalt klarzustellen) und sieht offenbar deshalb in seiner Richtlinie Meldepflichten sowohl gegenüber der Aufsichtsbehörde, als auch gegenüber der betroffenen Person. In der Variante „Übermittlung lediglich eines Monats-Rechnungsbetrages an einen unbefugten Dritten“ wäre die Ablehnung beider Meldepflichten sehr gut vertretbar.
Die Begründung der EDSA-Richtlinie für die Annahme der Meldepflichten (Textziffer 124) ist nur bei Unterstellung „reichhaltiger Rechnungsdaten“ verständlich. Argumentiert wird dort mit hohen Risiken, weil sich aus den Rechnungsdaten Informationen über das Privatleben der betroffenen Person ergeben könnten, z.B. Gewohnheiten und Kontakte (dazu nötig: Verbindungsdaten zu Einzelgesprächen). Der EDSA behauptet sogar Risiken für die körperliche Unversehrtheit („risk to physical integrity“), obwohl laut Sachverhalt der Angreifer bereits vor der Datenschutzverletzung die Adressdaten der betroffenen Person kannte (und im Call-Center verwendete). Bei Neuauflage der EDSA-Richtlinie sollte Fall 17 also „nachgearbeitet“ werden.
Immerhin findet sich jedoch ein wichtiger Hinweis auf einen meist einfachen und zuverlässigen Weg zur Authentifizierung: Bei Änderung von Kontaktdaten (z.B. der E-Mail-Adresse) sollte stets eine Bestätigung über die bisherigen Kommunikationskanäle (durch Rückfrage z.B. auf die alte E-Mail-Adresse) eingeholt werden.
FALL 18: LÖSUNG
Bei der Fall-Analyse beunruhigt vor allem, dass der Verantwortliche auch im Nachhinein den Zugang des Angreifers und dessen Handlungen im IT-System nur unvollständig aufklären konnte. Neben dem Aspekt der „Vertraulichkeit“ kann der Vorfall also auch „Integrität/Richtigkeit“ und „Verfügbarkeit“ der Daten betreffen. Er umfasst jedenfalls auch für die 89 Mitarbeiter, bei denen „nur“ Namen und Monatseinkommen ausgespäht wurden, Daten mit erhöhtem Schutzbedarf und erhöhtem Missbrauchsrisiko. Meldepflichten bestehen deshalb sowohl gegenüber der Aufsichtsbehörde, als auch gegenüber (allen) Betroffenen.
Der EDSA nennt (in Textziffern 130 und 131) eine ganze Reihe möglicher technischer Maßnahmen zur Wiederherstellung und künftigen Sicherung datenschutzgerechter Abläufe (unter anderem die Einschränkung oder Verhinderung von Regeln zur automatisierten Weiterleitung), betont aber, dass letztlich stets die Umstände des Einzelfalles geprüft und angemessen behandelt werden müssen.
FAZIT
Das wäre dann auch ein schöner Schlusssatz: Entscheiden Sie über die notwendigen Maßnahmen immer unter angemessener Berücksichtigung aller relevanten Umstände des vorliegenden Einzelfalles! Immer richtig, nur in der Praxis nicht sehr hilfreich. Dennoch Dank an den Europäischen-Datenschutzausschuss, weil er mit dieser Richtlinie für den Bereich der Meldepflichten jedenfalls etwas mehr Datenschutz-Klarheit gestiftet hat. Und Dank an Sie für´s Mitmachen!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
