DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (6)

Ergebnis zu Fall 5 aus Sicht des EDSA vorab und Erläuterung anschließend: Der Vorgang ist intern zu dokumentieren. Außerdem ist jedoch auch die Meldung an die Aufsichtsbehörde und sogar die Mitteilung an die möglicherweise Betroffenen notwendig. Im Detail:


FALL 5: LÖSUNG

Neben der selbstverständlichen internen Dokumentation ist sicher auch die Bejahung einer Meldepflicht an die Aufsichtsbehörde nach Art. 33 DS-GVO nachvollziehbar: Der Vorfall hat zwar die Datenverfügbarkeit für den Verantwortlichen nicht berührt und die Daten auch nicht verfälscht (die korrekten Bewerbungsdaten blieben für den Verantwortlichen ja weiter erhalten und nutzbar). Die Datenschutz-Vorgaben zur Vertraulichkeit (Schutz personenbezogener Daten gegen Zugriff unbefugter Dritter) sind jedoch ganz klar und sehr erheblich verletzt. Auch Risiken für betroffene Personen sind weder komplett auszuschließen, noch vernachlässigbar klein.

Weniger eindeutig ist die Entscheidung zu Art. 34 DS-GVO (Benachrichtigung der Betroffenen selbst): Der EDSA folgert eine entsprechende Benachrichtigungspflicht (in Rn. 55 der Richtlinie) daraus, dass die konkrete Datenschutzverletzung „wahrscheinlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen begründet“. Dies ist noch kein Argument, sondern nur eine Wiederholung des Wortlauts von Art. 34 DS-GVO. Etwas mehr „Substanz“ findet sich in Rn. 53: „Obwohl keine besonderen Kategorien personenbezogener Daten betroffen waren, enthalten die offenbarten Daten wesentliche Informationen über die Personen aus den Online-Formularen und könnten in verschiedener Weise missbraucht werden (Zusendung unerwünschter Werbung, Identitätsdiebstahl etc.)“.

Die „Zusendung unerwünschter Werbung“ stellt wohl kaum ein „hohes Risiko für die Rechte und Freiheiten“ dar. Identitätsdiebstahl allerdings kann erhebliche Nachteile und Schäden verursachen. Wenn die konkret betroffenen Datensätze dem Angreifer wirklich solche Wege öffnen, ist die Bejahung einer Informationspflicht der Betroffenen gemäß Art. 34 DS-GVO nachvollziehbar. Leider hat der EDSA bei der Fall-Schilderung die konkreten Datenarten nicht mitgeteilt, so dass seine Schlussfolgerung in diesem Punkt nicht prüfbar ist. Etwas pointierter: Der Sachverhalts-Bericht des EDSA zu Fall 5 genügt nicht den Anforderungen aus Art. 33 Abs. 3 und Art. 34 Abs. 2 DS-GVO.

Damit weiter zu Fall Nr. 6 und Nr. 7 im „Doppelpack“:


FALL 6: UNBEFUGTER ZUGRIFF AUF GEHASHTE PASSWÖRTER

Eine SQL-Injection-Schwachstelle wurde ausgenutzt, um Zugriff auf die Datenbank eines Web-Servers zu erlangen. Die in der Datenbank gespeicherten 1.200 Passwörter (Zugangs-Kennungen für die Nutzer eines Internetportals mit Koch-Rezepten) wurden mit einem starken Algorithmus gehasht; der Schutz wurde nicht kompromittiert. Der für die Verarbeitung Verantwortliche hat die betroffenen Personen sicherheitshalber per E-Mail über die Sicherheitsverletzung informiert und aufgefordert, ihre Passwörter zu ändern, insbesondere wenn das gleiche Passwort auch für andere Dienste verwendet wird.


FALL 7: ANGRIFF AUF ONLINE-BANKING-ANGEBOT

Beim Angriff auf ein Online-Banking-Portal wurden für ca. 100.000 Personen Informationen (teils Vorname, Nachname, Geschlecht, Geburtsdatum und -ort, Steuernummer, Benutzerkennung) an den Angreifer weitergegeben. Außerdem loggte sich der Angreifer erfolgreich in etwa 2.000 Konten, die ein Trivialpasswort verwendeten. Die Bank konnte alle unrechtmäßigen Anmeldeversuche identifizieren. Während des Angriffs erfolgten keine Transaktionen von diesen Konten. Die Bank reagierte durch Abschalten der Website und erzwungenes Zurücksetzen der Passwörter der kompromittierten Konten. Nur die Benutzer mit den kompromittierten Konten wurden informiert.

Ihre Meinung?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mitgliedschaften des Dresdner Instituts für Datenschutz