DIE MELDEPFLICHT NACH ART. 33 DS-GVO BEI IT-SICHERHEITSVORFÄLLEN

In seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland für das Jahr 2021 weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) einmal mehr ausdrücklich auf die zunehmend angespannte Sicherheitslage hin. Das BSI beobachtet als nationale Cyber-Sicherheitsbehörde kontinuierlich die Gefährdungslage der IT-Sicherheit in Deutschland. Im Fokus stehen Angriffe auf Unternehmen, staatliche sowie öffentliche Institutionen und Privatpersonen. Ein Faktor für steigenden Zahlen mag sicherlich die angespannte Cyber-Sicherheitslage unter dem Einfluss der COVID-19-Pandemie sein. Vielseitige Phishing-Kampagnen unter inhaltlicher Bezugnahme auf die Pandemie gehören in vielen Organisationen mittlerweile sogar zum täglichen Lagebild. Darüber hinaus bestimmen aber auch vermehrt Vorfälle größerer Natur die mediale Aufmerksamkeit. Exemplarisch können hier die kritischen Schwachstellen in Microsoft Exchange (bekanntgeworden unter dem Begriff der sog. Hafnium-Sicherheitslücke), die Log4j-Schwachstelle oder der Solar-Winds-Vorfall angeführt werden. Schließlich wird die Cyber-Sicherheitslage durch immer neue Schadsoftware-Varianten und Bedrohungsszenarien geprägt. So gehören auch die cyber-kriminelle Erpressungsmethoden beinahe zum Alltag in Unternehmen und Verwaltung. Dies alles ist Grund genug, um im nachfolgenden Beitrag den Blick auf die datenschutzrechtlichen Herausforderungen im Zusammenhang mit Melde- und Benachrichtigungspflichten bei IT-Sicherheitsvorfällen zu werfen.


WIE GESTALTET SICH DIE RECHTLICHE AUSGANGSLAGE?

Gesetzliche Meldepflichten für den Fall von IT-Sicherheitsvorfällen existieren in Deutschland für eine Vielzahl unterschiedlicher Situationen. Neben der wohl bekanntesten Norm des Art. 33 DS-GVO kann in diesem Zusammenhang beispielhaft auf § 8b Abs. 4 BSI-Gesetz (BSIG) zur Meldepflicht für Betreiber kritischer Infrastrukturen oder § 168 Telekommunikationsgesetz hingewiesen werden. Bedeutung erlangen zudem § 11 Abs. 1c Energiewirtschaftsgesetz, § 44b Atomgesetz, § 329 Sozialgesetzbuch V, § 8c Abs. 3 BSIG oder länderspezifisch die §§ 15 – 17 Sächsisches Informationssicherheitsgesetz. Die Meldepflichten an die jeweils zuständigen Behörden sind je nach Rechtsgebiet unterschiedlich ausgestaltet und unterscheiden sich in Ihrer Art und Weise, d.h. in Bezug auf Inhalt und Frist, nach dem konkreten Anwendungsfall.  Datenschutzrechtliche Relevanz im Zusammenhang mit den eingangs dargestellten steigenden Cyberbedrohungen entfalten vermehrt Fragen im Zusammenhang mit der Auslegung und Anwendung von Art. 33 DS-GVO und der im Rahmen von IT-Sicherheitsvorfällen möglicherweise entstehenden Meldepflicht an die zuständige Datenschutzaufsichtsbehörde.


WANN IST VON EINER MELDEPFLICHT NACH ART. 33 DS-GVO AUSZUGEHEN?

Eine Meldepflicht gemäß Art. 33 DS-GVO liegt dann vor, wenn ein Verantwortlicher die Verletzung des Schutzes der von ihm verantworteten personenbezogenen Daten feststellt. Wann eine Verletzung des Schutzes personenbezogener Daten vorliegt, wird in Art. 4 Nr. 12 DS-GVO legaldefiniert. Als Verletzung des Schutzes personenbezogener Daten ist demnach „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ zu verstehen. Durch die vorstehende Definition wird ersichtlich, dass nicht jeder Verstoß gegen datenschutzrechtliche Vorschriften eine Meldepflicht nach Art. 33 DS-GVO auslöst. Vielmehr wird eine Verletzung der Sicherheit adressiert.

Im Falle des Vorliegens einer Verletzung meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, dies der zuständigen Datenschutzaufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Hierbei ergeben sich die Mindestinhalte der Meldung aus Art. 33 Abs. 3 DS-GVO. Nach Art. 33 Abs. 5 DS-GVO ist der Verantwortliche schließlich verpflichtet, Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen zu dokumentieren. Die Norm ist mithin Ausfluss der Rechenschaftspflicht. Soweit die Theorie. In der Praxis stellen sich hierbei zunehmend Herausforderungen bei der rechtlichen Bewertung ein.


WO LIEGT NUN DAS (AUSLEGUNGS-)PROBLEM?

Die im Zusammenhang mit der Meldepflicht nach Art. 33 DS-GVO entstehenden Probleme, können am Fall der sog. „Hafnium-Sicherheitslücke“ sehr gut verdeutlicht werden. Unter dem Begriff der „Hafnium-Sicherheitslücke“ werden Schwachstellen in on-premise betriebenen Microsoft-Exchange-Servern bezeichnet, wie sie Anfang März 2021 aufgetreten sind. Das BSI führt im Lagebericht 2021 hierzu aus: „Im März 2021 veröffentlichte Microsoft ein außerplanmäßiges Sicherheitsupdate für den weit verbreiteten Groupware- und E-Mail-Server Exchange. Das Update schloss vier kritische Schwachstellen, die in Kombination bereits für gezielte Angriffe ausgenutzt worden waren. Eine der Schwachstellen ermöglicht Angreifern, sich durch Senden speziell formulierter HTTP-Anfragen auf dem Exchange-Server zu authentisieren. Anschließend kann unter Ausnutzung der weiteren Schwachstellen beliebiger Programmcode mit weitreichenden Zugriffsrechten ausgeführt werden. Angreifer nutzten dies aus, um auf tausenden Servern Hintertüren in Form sogenannter Webshells einzuschleusen. Wurden diese nach der Installation der Sicherheitsupdates nicht entfernt, hatten die Täter weiterhin Zugriff auf betroffene Systeme und konnten darüber zum Beispiel E-Mails ausspähen oder Schadprogramme, wie Ransomware, ausrollen. Zum Zeitpunkt des Bekanntwerdens der Schwachstellen waren 98 Prozent der geprüften Systeme in Deutschland verwundbar […]“. Insbesondere in diesem Fall von erhöhter medialer Aufmerksamkeit äußerten sich die deutschen Datenschutzaufsichtsbehörden zum Teil sehr unterschiedlich. Das Bayrische Landesamt für Datenschutzaufsicht und der Bayrische Landesbeauftragte für den Datenschutz gingen in einer gemeinsamen Praxishilfe vom Vorliegen einer Meldepflicht gemäß Art. 33 Abs. 1 DS-GVO nicht nur in den Fällen einer Kompromittierung, sondern auch beim verspäteten Einspielen der Sicherheitsupdates aus. Hingegen vertrat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LdI NRW) in einer Mitteilung die Ansicht, dass nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen und keine besonders sensiblen personenbezogenen Daten in den betroffenen Systemen verarbeitet worden sein, zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt. In diesen Fällen nahm die LdI NRW eine Dokumentationspflicht gemäß Art. 33 Abs. 5 DS-GVO an. Eine Übersicht über die Äußerungen der Aufsichtsbehörden findet sich hier. Weit überwiegend wurde jedoch im Fall einer Kompromittierung eine Meldepflicht gemäß Art. 33 DS-GVO angenommen. Die vielen unterschiedlichen Ansichten sorgten jedoch für extreme Rechtsunsicherheiten.


WAS NEHMEN WIR FÜR DIE PRAXIS MIT?

Die Hafnium-Sicherheitslücke zum Anlass genommen, hat eine Unterarbeitsgruppe des AK Datenschutzes der Bitkom einen entsprechenden Leitfaden zur Auslegung der Art. 33 und Art. 34 DS-GVO veröffentlicht. Erforderlich ist bei der Behandlung von IT-Sicherheitsvorfällen im Rahmen der Art. 33 und Art. 34 DS-GVO stets eine exakte Betrachtung und Bewertung des Vorfalls. Nach Ansicht des Arbeitskreises führt das reine Vorhandensein von Sicherheitslücken bzw. Schwachstellen noch nicht zur Annahme einer Datenschutzverletzung und mithin zu einer Meldepflicht: „Nur die Kenntnis einer Sicherheitslücke durch den Verantwortlichen reicht nicht aus, sondern es müssen Hinweise vorliegen, dass Risiken für die Rechte und Freiheiten von Betroffenen bestehen. Ein Angriff auf ein System, mit dem personenbezogene Daten verarbeitet werden, kann jedoch genügen […]“. So entfällt die Meldepflicht gemäß Art. 33 Abs. 1 Satz 1 Hs. 2 DS-GVO, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Der Arbeitskreis führt hierzu aus: „Da Exchange-Server in sehr unterschiedlichen Konfigurationen betrieben werden, kann nicht davon ausgegangen werden, dass nur wegen des Vorliegens einer Schwachstelle auch eine Kompromittierung stattgefunden hat.“ Und weiter: „Lässt sich aber nicht mit hinreichender Sicherheit feststellen, ob nach festgestellter Kompromittierung der Systeme auch eine konkrete Datenschutzverletzung vorliegt, so können nur wenige Hinweise auf eine Verletzung des Schutzes personenbezogener Daten eine hinreichende Konkretisierung als Grundlage für eine spätere Meldung an die zuständige Aufsichtsbehörde sein […] nur die Feststellung einer Kompromittierung kann aus unserer Sicht noch keine Meldepflicht begründen.“ Der Arbeitskreis fordert mit Blick auf die gesetzgeberische Intention auch bei Vorliegen einer Kompromittierung weitergehende Prüfungen bzw. Konkretisierungen, ob es gleichwohl zu Verletzung des Schutzes personenbezogener Daten gekommen ist. Für datenschutzrechtlich Verantwortliche ist demnach die Aufklärung, Dokumentation und Beweissicherung von möglichen Datenschutzverletzungen bei IT-Sicherheitsvorfällen unverzichtbar.


FAZIT

Was zunächst bleibt, ist der Umstand, dass die Bewertung des Vorliegens einer Datenschutzverletzung und damit einhergehend des Bestehens einer Meldepflicht nach Art. 33 DS-GVO auch in den Konstellationen der IT-Sicherheitsvorfälle stets einzelfallbezogen zu bewerten ist. Letztlich verbietet sich aufgrund der Vielzahl möglicher Angriffsszenarien, -ziele und -vektoren eine generische Bewertung von IT-Sicherheitsvorfällen im datenschutzrechtlichen Kontext. Zu sehr ist im konkreten Einzelfall hinsichtlich betroffener Daten und Personen, Anzahl der Datensätze, Eintrittswahrscheinlichkeit des Risikos sowie weitere Umstände des konkreten Vorfalls zu differenzieren. Einbezogen werden kann bei der Bewertung von möglichen Vorfällen auch die im Januar 2022 aktualisierte Richtlinie 01/2021 des Europäischen Datenschutzausschuss „on Examples regarding Personal Data Breach Notification“.

Datenschutzrechtlich Verantwortlichen ist zudem anzuraten ein strukturiertes Incident-Response-Management in Betracht zu ziehen. Wesentlicher Bestandteil ist die Etablierung von Melde- und Prozessketten für die Behandlung von IT-Sicherheits- und Datenschutzvorfällen. Zentraler Baustein für die fristgerechte Wahrnehmung der gesetzlichen Meldepflichten ist der organisationsinterne Informationsfluss an die letztlich entscheidungsbefugten Ebenen. Für den Aufbau eines erfolgversprechenden Meldeprozess bedarf es wiederrum der Schaffung eines grundlegenden Verständnisses und den Beschäftigten.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Datenschutzverletzung
  • Europäischer Datenschutzausschuss
  • IT-Sicherheitsvorfall
  • Meldepflichten
Lesen

DER DATENSCHUTZ-JAHRESRÜCKBLICK TEIL I

Das Jahr 2021 war – selbstredend nicht für uns Datenschützer – erneut im starken Rahmen durch die Einwirkungen der Coronavirus-Krankheit-2019 (COVID-2019) geprägt. Insbesondere mit Blick auf die in diesem Zusammenhang anfallenden Verarbeitungen von Gesundheitsdaten als besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DS-GVO stellen sich einige rechtliche und praktische Fragen. Hinzu treten Dauerbrenner wie der Einsatz von Dienstleistern in datenschutzrechtlichen Drittländern, die Nutzung von Microsoft 365, der datenschutzkonforme Einsatz von Cookies und vergleichbaren Diensten sowie rechtliche und praktische Handhabung von Betroffenenrechten. Darüber hinaus hat die ein oder andere Aufsichtsbehörde einen Wechsel an der Position der/des Landesdatenschutzbeauftragten vollzogen oder zumindest ist die Stelle derzeit vakant. Im nachfolgenden Beitrag werfen wir einen Blick zurück und beginnen mit den Monaten Januar bis April 2021:


JANUAR 2021

Das Jahr begann für viele Datenschützer mit Fragen rund um die Datenübermittlung in das Vereinigte Königreich. Wir haben dazu noch im Jahr 2020 berichtet. Die Datenschutzkonferenz (DSK) hatte kurz vor dem Jahreswechsel in einer Pressemitteilung veröffentlicht, dass Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DS-GVO) angesehen werden. Die Rechtslage entspannte sich ein wenig, als die Europäische Kommission zwei Angemessenheitsbeschlüsse für das Vereinigte Königreich angenommen hat. Diese Angemessenheitsbeschlüsse für das Vereinigte Königreich bieten für die Übermittlung personenbezogener Daten für verantwortliche Stellen (zunächst) Rechtssicherheit.

Am 8. Januar 2021 erklärte die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen in einer Pressemitteilung, dass eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen wurde. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche. Im gegenständlichen Fall war die Videoüberwachung aber auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden.


FEBRUAR 2021

In einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg wird bekannt gegeben, dass das das Prüfverfahren beim VfB Stuttgart 1893 e.V. und der VfB Stuttgart 1893 AG abgeschlossen sei und ein Bußgeldverfahren eröffnet werde. Geprüft wurden die Datenverarbeitungen in Verein und AG rund um die Mitgliederversammlung zur Entscheidung über die Ausgliederung der Profifußballabteilung im Jahr 2017, sowie einzelne Datentransfers an einen externen Dienstleister der VfB Stuttgart 1893 AG im Jahr 2018 und Fragen zur aktuellen Umsetzung der geltenden Rechtslage unter der DS-GVO.

Am 18. Februar 2021 hat das Landgericht Berlin das Bußgeldverfahren der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) gegen die Deutsche Wohnen SE eingestellt. Am 30.09.2019 hatte die BlnBDI gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die DS-GVO festgesetzt. Mitteilungen seitens des Landgericht Berlin gegenüber den Medien zufolge leidet der Bescheid unter gravierenden Mängeln, da ein Verfahrenshindernis vorliegt, genauer gesagt, weil Angaben zur konkreten Tathandlungen von Leitungspersonen oder gesetzlichen Vertretern fehlen. Das Landgericht folgte in seiner Entscheidung damit einer anderen Rechtsauffassung hinsichtlich der Auslegung des deutschen Ordnungswidrigkeitenrechts als die deutschen Datenschutz-Aufsichtsbehörden vertreten. In einer späteren Pressemitteilung der BlnBDI wurde bekannt, dass die Staatsanwaltschaft Berlin Rechtsmittel gegen den Beschluss des Landgerichts Berlin eingelegt hat.


MÄRZ 2021

Anfang März überschlugen sich die Meldungen zu Sicherheitslücken bei Microsoft Exchange-Mail-Servern. Mit der Pressemitteilung vom 5. März 2021 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über kritische Schachstellen, die bei den auch in Deutschland sehr weit verbreiteten Exchange-Servern auftraten und somit über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert sind. Das BSI empfiehlt in dieser Mitteilung allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden.

Datenschutzrechtlich Relevanz entfaltet dieser Vorfall insbesondere im Zusammenhang mit der Auslegung und Anwendung von Art. 33 DS-GVO und der in diesem Rahmen möglichen Meldepflicht von IT-Sicherheitsvorfällen. Die sogenannte Hafnium-Sicherheitslücke betreffend äußerten sich auch die deutschen Datenschutz-Aufsichtsbehörden zum Teil sehr unterschiedlich. Das Bayrische Landesamt für Datenschutzaufsicht und der Bayrische Landesbeauftragte für den Datenschutz gingen in einer gemeinsamen Praxishilfe vom Vorliegen einer Meldepflicht gemäß Art. 33 Abs. 1 DS-GVO nicht nur in den Fällen einer Kompromittierung, sondern auch beim verspäteten Einspielen der Sicherheitsupdates aus.  Hingegen vertrat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LdI NRW) in einer Mitteilung die Ansicht, dass nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen und keine besonders sensiblen personenbezogenen Daten in den betroffenen Systemen verarbeitet worden sein, zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt. In diesen Fällen nahm die LdI NRW eine Dokumentationspflicht gemäß Art. 33 Abs. 5 DS-GVO an. Eine Übersicht über die Äußerungen der Aufsichtsbehörden findet sich hier. Die vielen unterschiedlichen Ansichten sorgten für extreme Rechtsunsicherheit bei verantwortlichen Stellen und Auftragsverarbeitern. Die Hafnium-Sicherheitslücke zum Anlass genommen hat eine Unterarbeitsgruppe des AK Datenschutzes der Bitkom einen entsprechenden Leitfaden zur Auslegung der Art. 33 und Art. 34 DS-GVO veröffentlicht. Erforderlich ist bei der Behandlung von IT-Sicherheitsvorfällen im Rahmen der Art. 33 und Art. 34 DS-GVO stets eine exakte Betrachtung und Bewertung des Vorliegens einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO.

Mittlerweile waren auch Kontakt-Nachverfolgungs-Apps auf den Plan vieler Datenschützer getreten. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg veröffentlicht die Stellungnahme vom 2. März 2021 zur „Luca-App“. Die DSK veröffentlicht zu dieser Thematik am 26. März 2021 eine Stellungnahme zur Kontaktnachverfolgung in Zeiten der Corona-Pandemie. Dabei weißt weist sie ausdrücklich darauf hin, dass digitale Verfahren zur Verarbeitung von Kontakt- und Anwesenheitsdaten datenschutzkonform betrieben werden müssen. Eine digitale Erhebung und Speicherung kann bei entsprechender technischer Ausgestaltung durch eine geeignete dem Stand der Technik entsprechende Verschlüsselung inklusive eines geeigneten sicheren Schlüsselmanagements einen im Vergleich mit Papierformularen besseren Schutz der Kontaktdaten vor unbefugter Kenntnisnahme und Missbrauch gewährleisten.


APRIL 2021

Im April nahmen langsam die Diskussionen rund um das Thema Durchführung von Online-Prüfungen wieder zu. So äußerte sich wiederrum der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg in einer Pressemitteilung: Online-Prüfungen sollen dazu dienen, Wissen und Fähigkeiten der Studierenden abzufragen und diese nicht übermäßig zu überwachen. Digitale Formate zur Kontrolle von Prüfungen – Online-Proctoring – können massiv in die Rechte von Studierenden eingreifen. Beim Online-Proctoring werden Studierende mitunter aufgefordert, die Webcam und das Mikrofon am Gerät dauerhaft während der Prüfung einzuschalten und sicherzustellen, dass keine unerlaubten Hilfsmittel und niemand anderes im Privatraum des Studierenden sind. Zur Unterbindung von Täuschungshandlungen dürfen die Kamera- und Mikrofonfunktion nur aktiviert werden, soweit dies für das Prüfungsformat zwingend erforderlich ist. Eine darüberhinausgehende Raumüberwachung darf nicht stattfinden. Die Videoaufsicht ist im Übrigen so einzurichten, dass der Persönlichkeitsschutz und die Privatsphäre der Betroffenen „nicht mehr als zu berechtigten Kontrollzwecken erforderlich“ eingeschränkt werden.

Weiter geht es in den kommenden Wochen mit den Monaten Mai bis August 2021 sowie September bis Dezember 2021, dann unter anderem mit den Themen TTDSG, Diskussionen rund um die Erhebung von Immunisierungs- und Testdaten von Beschäftigten, dem Urteil des BGH zu Art. 15 DS-GVO, den neuen Standarddatenschutzklauseln und einem Ausblick auf den Wechsel an der Spitze im Haus der sächsischen Datenschutz-Aufsichtsbehörde.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Angemessenheitsbeschluss
  • Datenschutzkonferenz
  • Datenschutzverletzung
  • Drittlandübermittlung
  • Jahresrückblick
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (11)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar. Heute erscheint der letzte Teil dieser Reihe, welcher die Lösungen der Fälle 17 und 18 beinhaltet.


FALL 17: LÖSUNG

Viele wird der Sachverhalt erinnert haben an die Datenschutzverletzung bei der 1&1 Telecom GmbH und das anschließende Bußgeldverfahren des Bundesdatenschutzbeauftragten. Dort lag der Fall allerdings etwas anders: Eine Anruferin hatte bei der Hotline des Unternehmens Namen und Geburtsdatum ihres Ex-Mannes genannt, im Gegenzug dessen neue Funknummer mitgeteilt bekommen. Der BfDI verhängte für die (eindeutig) unzureichende Authentifizierungs-Vorgabe ein Bußgeld von 9,6 Millionen Euro, das im anschließenden Einspruchsverfahren auf 900.000 Euro reduziert wurde (Urteil des LG Bonn vom – im Ernst! – 11.11.2020, Az. 29 OWi 1/20).

Der Fall 17 mag daraus abgeleitet sein, leider mit Lücken bei den Angaben zum Sachverhalt: Zur Abschätzung, welche Risiken aus der Datenschutzverletzung resultieren könnten, fehlen wichtige Informationen. Vor allem ist unklar, welche Daten die Telefonrechnung dem unbefugten Dritten offenbart hat. Da dieser Dritte für die eigene Legitimation gegenüber dem TK-Unternehmen Steuernummer und Postanschrift der betroffenen Person nutzte, waren ihm solche Daten offenbar schon bekannt.

Falls die versendete Rechnung außer den (bekannten) Adressdaten der betroffenen Person und den (datenschutzrechtlich irrelevanten) Daten des TK-Unternehmens nur den Rechnungsbetrag enthielt, wäre das Missbrauchsrisiko sehr gering. Wenn zusätzlich z.B. (dem Angreifer zuvor nicht bekannte) Telefon- und Vertragsnummern oder sogar Bankverbindungsdaten und Abrechnungsdaten für Einzelgespräche verschickt wurden, ergibt sich eindeutig ein anderes Bild (und ein viel höheres Missbrauchsrisiko).

Vom letztgenannten Szenario scheint der EDSA ausgegangen zu sein (ohne dies im Sachverhalt klarzustellen) und sieht offenbar deshalb in seiner Richtlinie Meldepflichten sowohl gegenüber der Aufsichtsbehörde, als auch gegenüber der betroffenen Person. In der Variante „Übermittlung lediglich eines Monats-Rechnungsbetrages an einen unbefugten Dritten“ wäre die Ablehnung beider Meldepflichten sehr gut vertretbar.

Die Begründung der EDSA-Richtlinie für die Annahme der Meldepflichten (Textziffer 124) ist nur bei Unterstellung „reichhaltiger Rechnungsdaten“ verständlich. Argumentiert wird dort mit hohen Risiken, weil sich aus den Rechnungsdaten Informationen über das Privatleben der betroffenen Person ergeben könnten, z.B. Gewohnheiten und Kontakte (dazu nötig: Verbindungsdaten zu Einzelgesprächen). Der EDSA behauptet sogar Risiken für die körperliche Unversehrtheit („risk to physical integrity“), obwohl laut Sachverhalt der Angreifer bereits vor der Datenschutzverletzung die Adressdaten der betroffenen Person kannte (und im Call-Center verwendete). Bei Neuauflage der EDSA-Richtlinie sollte Fall 17 also „nachgearbeitet“ werden.

Immerhin findet sich jedoch ein wichtiger Hinweis auf einen meist einfachen und zuverlässigen Weg zur Authentifizierung: Bei Änderung von Kontaktdaten (z.B. der E-Mail-Adresse) sollte stets eine Bestätigung über die bisherigen Kommunikationskanäle (durch Rückfrage z.B. auf die alte E-Mail-Adresse) eingeholt werden.


FALL 18: LÖSUNG

Bei der Fall-Analyse beunruhigt vor allem, dass der Verantwortliche auch im Nachhinein den Zugang des Angreifers und dessen Handlungen im IT-System nur unvollständig aufklären konnte. Neben dem Aspekt der „Vertraulichkeit“ kann der Vorfall also auch „Integrität/Richtigkeit“ und „Verfügbarkeit“ der Daten betreffen. Er umfasst jedenfalls auch für die 89 Mitarbeiter, bei denen „nur“ Namen und Monatseinkommen ausgespäht wurden, Daten mit erhöhtem Schutzbedarf und erhöhtem Missbrauchsrisiko. Meldepflichten bestehen deshalb sowohl gegenüber der Aufsichtsbehörde, als auch gegenüber (allen) Betroffenen.

Der EDSA nennt (in Textziffern 130 und 131) eine ganze Reihe möglicher technischer Maßnahmen zur Wiederherstellung und künftigen Sicherung datenschutzgerechter Abläufe (unter anderem die Einschränkung oder Verhinderung von Regeln zur automatisierten Weiterleitung), betont aber, dass letztlich stets die Umstände des Einzelfalles geprüft und angemessen behandelt werden müssen.


FAZIT

Das wäre dann auch ein schöner Schlusssatz: Entscheiden Sie über die notwendigen Maßnahmen immer unter angemessener Berücksichtigung aller relevanten Umstände des vorliegenden Einzelfalles! Immer richtig, nur in der Praxis nicht sehr hilfreich. Dennoch Dank an den Europäischen-Datenschutzausschuss, weil er mit dieser Richtlinie für den Bereich der Meldepflichten jedenfalls etwas mehr Datenschutz-Klarheit gestiftet hat. Und Dank an Sie für´s Mitmachen!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Social Engineering
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (10)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar. Vorletzter Teil der Serie und ein letztes Mal Hausaufgaben: Die EDSA-Richtlinien 01/2021 zu Meldepflichten bei Datenschutz- Verletzungen ist fast „durchgearbeitet“!


FALL 13: LÖSUNG

Die beiden betroffenen Kunden haben jeweils Name und Anschrift des Anderen (wegen der beigefügten Packzettel) erfahren, können außerdem detektivisch auf Schuh- und Fußgrößen sowie modische Vorlieben des anderen Kunden (anhand des fehlgelieferten Schuhmodells) rückschließen. In Fällen dieser Art hätte es im „Datenschutz-Panik-Jahr“ 2018 wahrscheinlich hitzige Diskussionen gegeben, ob (wegen der Schuh- und Fußgröße) biometrische Daten vorliegen. Der EDSA verliert in seiner aktuellen Richtlinie dazu kein Wort, notiert vielmehr allgemein: „Im konkret beschriebenen Fall ist das Risiko gering, weil keine besonderen Kategorien personenbezogener Daten oder Daten mit hohen Missbrauchsrisiken betroffen sind …“ (Rn. 107).

Mit dieser Begründung, dem Fehlen konkreter Nachteile für die Betroffenen und deren geringer Zahl (zwei Personen) wird begründet, dass Meldepflichten weder gegenüber der Aufsichtsbehörde, noch gegenüber den Betroffenen bestehen. Der Verantwortliche solle „für kostenlose Rücksendung der Lieferung und der beigefügten Rechnungen“ sorgen, außerdem die Empfänger auffordern, alle eventuellen Kopien der fehlgeleiteten Rechnungen/Packzettel zu vernichten (Rn. 108). Diese Kommunikation mit den Betroffenen dient der Schadensbeseitigung (ergibt sich also nicht aus Art. 34 DS-GVO).


FALL 14: LÖSUNG

Die (erhebliche) Datenschutz-Verletzung betrifft allein den Aspekt der Vertraulichkeit (Offenlegung von Datensätzen zu mehr als 60.000 Personen an mehr als 60.000 unbefugte Empfänger). Datenintegrität und -verfügbarkeit sind nicht beeinträchtigt.

Der Verantwortliche kann zehntausende Fehl-Empfänger zwar um Löschung der Nachricht bitten, diese aber nicht effektiv kontrollieren. Nach der Lebenserfahrung ist davon auszugehen, dass nicht alle Empfänger der Lösch-Bitte nachkommen. Deshalb verbleibt – mit Blick auf die Inhalte der Datensätze einschließlich Sozialversicherungsnummer – ein erhebliches Missbrauchsrisiko.

Neben der internen Dokumentation sind Aufsichtsbehörde und betroffene Personen über den Vorfall zu informieren.


FALL 15: LÖSUNG

Auch hier betrifft die Datenschutz-Verletzung (wie typischerweise bei Fehl-Adressierungs-Fällen) die Dimension der Vertraulichkeit, nicht die Aspekte der Datenverfügbarkeit und -integrität.

Der EDSA befasst sich (Rn. 115) eingehender mit der Frage, ob die Antworten zu Essensvorlieben (Laktose-Intoleranz) als besondere Kategorie personenbezogener Daten dazu führen können, dass aus der Datenschutz-Verletzung hohe Risiken für betroffene Personen entstehen. Er verneint dies im Ergebnis, weil konkrete Missbrauchs-Szenarien bei Kenntnis der Laktose-Intoleranz nicht erkennbar seien. Betont wird, dass Laktose-Intoleranz „im Gegensatz zu anderen Essensvorlieben … nicht mit religiösen … Anschauungen“ verbunden ist.

Im Ergebnis sieht der EDSA – für mich überraschend – weder Meldepflichten an die Aufsichtsbehörde, noch gegenüber den betroffenen Personen. Bei Offenlegung von Namen, E-Mail-Adressen und Essens-Unverträglichkeiten gegenüber 15 unberechtigten Dritten (Teilnehmern früherer Sprachkurse) glaube ich nicht, dass per se von zuverlässiger Löschung der Nachricht durch sämtliche Fehl-Adressaten ausgegangen werden kann. Außerdem ist (gerade mit Blick auf das branchenspezifische Kursthema) recht wahrscheinlich, einer der Fehl-Adressaten unter Umständen Kontakt mit betroffenen Personen aufnimmt, die dann überrascht wird, weil sie keine Information erhielt. Mir scheint deshalb – abweichend vom EDSA-Vorschlag – eine Meldung des Vorfalls an die Aufsichtsbehörde plausibel und eine Nachricht an die Betroffenen (nicht nach Art. 34 DSGVO geboten, aber) fair und empfehlenswert.


FALL 16: LÖSUNG

Datenverfügbarkeit -und -integrität sind wiederum nicht betroffen. Das Versicherungsschreiben für (lediglich) einen Versicherungsnehmer wird von (lediglich) einem unbefugten Versicherungsnehmer gesehen.

Der Vorfall kann nur zur Kenntnis des Verantwortlichen gelangen, wenn der unbefugte Dritte die Fehlsendung mitteilt. Ansonsten würde sich allenfalls der betroffene Versicherungsnehmer melden, weil seine Vertragsinformation ausbleibt. Für die Versicherung wäre dann aber eher ein Briefverlust anzunehmen, als die versehentliche Mitversendung. Erst recht wäre für die Versicherung nicht aufklärbar, mit welchem anderen Brief das Schreiben fehlversendet war. Eine solche Rückmeldung des unbefugten Empfängers deutet bereits für sich genommen auf dessen Vertrauenswürdigkeit und spricht gegen ein nennenswertes Risiko aus der Datenschutz-Verletzung.

Der EDSA erwähnt diesen Umstand bei seiner Fallbetrachtung nicht und lässt völlig offen, wie der Vorfall zur Kenntnis des Verantwortlichen gelangt ist. Die Ausführungen zum Risiko sind dann sehr theoretisch (Rn. 119) und befassen sich – ohne Eingehen auf den konkreten Fall – mit der Möglichkeit, dass entsprechende Schreiben vielleicht aus sehr hohen Versicherungsprämien einen Rückschluss auf frühere Unfälle zulassen.

Im Ergebnis wird vom EDSA eine Meldepflicht nach Art. 33 DS-GVO (nicht jedoch nach Art. 34 DS-GVO) angenommen. Dies scheint mir – gerade auch im Vergleich mit dem EDSA-Vorschlag zu Fall Nr. 15 – unstimmig. Dass Kfz-Kennzeichen, Jahreslaufleistung und Versicherungsprämie im Vergleich zu Laktose-Intoleranz ein höheres Missbrauchsrisiko aufweisen, ist nicht erkennbar. Wenn bei versehentlicher Offenlegung an 15 unbefugte Personen (Fall 15) keine Meldepflicht gegenüber der Aufsichtsbehörde angenommen wird, ist die Offenlegung gegenüber einer, offenbar selbst vertrauenswürdig agierenden (die Datenpanne mitteilenden) Person (Fall 16) doch wohl deutlich risikoärmer.

Abschließend wird vom EDSA für E-Mail-Sendungen (Rn. 123) u.a. empfohlen:
– bei Massenversendung die Adressaten im Blind-Copy-Feld zu führen,
– voreingestellte Adressgruppen regelmäßig zu prüfen und zu aktualisieren,
– gegebenenfalls die verzögerte Nachrichtenaussendung zu aktivieren, um Korrekturen bei sofortiger Fehler-Entdeckung zu ermöglichen,
– die Funktion „Auto-Vervollständigung“ beim Ausfüllen der E-Mail-Adressfelder zu deaktivieren.

Im letzten Abschnitt befasst sich der EDSA unter „Sonstiges“ mit Social Engineering, also aus Sicht der Informationssicherheit mit dem „Menschen als Schwachstelle“. Dazu werden zwei Fälle behandelt:


FALL 17: IDENTITÄTSDIEBSTAHL

Das Callcenter eines Telekommunikationsunternehmens erhält einen Telefonanruf von jemandem, der sich als Kunde ausgibt und darum bittet, die E-Mail-Adresse für Rechnungsinformationen zu ändern. Der Mitarbeiter des Kontaktcenters überprüft die Identität des Kunden nach den Vorgaben des Unternehmens, indem er persönliche Daten abfragt. Der Anrufer gibt korrekt die Steuernummer und die Postanschrift des Kunden an. Danach erfolgen im Callcenter die gewünschten Änderungen. Rechnungen werden nun an die neue E-Mail-Adresse gesendet. Das Verfahren sieht keine Benachrichtigung des früheren E-Mail-Kontakts vor. Im Folgemonat kontaktiert der „echte“ Kunde das Unternehmen und erkundigt sich, warum er keine Rechnungen an seine E-Mail-Adresse erhält. Das Unternehmen bemerkt den Fehler und macht die Änderung rückgängig.


FALL 18: E-MAIL-EXPORT

Ein Handelsunternehmen entdeckt 3 Monate nach der Konfiguration, dass einige E-Mail-Konten verändert und Regeln erstellt wurden, so dass jede E-Mail, die bestimmte Ausdrücke enthält (z.B. „Rechnung“, „Zahlung“, „Banküberweisung“, „Kreditkartenauthentifizierung“, „Bankverbindung“) in einen unbenutzten Ordner verschoben und an eine externe E-Mail-Adresse weitergeleitet wird. Außerdem hat der Angreifer die Bankdaten eines Lieferanten in seine eigenen geändert und bereits mehrere gefälschte Rechnungen verschickt, die die neue Bankverbindung enthielten. Das Unternehmen kann nicht feststellen, wie sich der Angreifer Zugang zu den E-Mail-Konten verschaffte, vermutet aber eine infizierte E-Mail. Durch die schlagwortbasierte Weiterleitung von E-Mails erhielt der Angreifer die Namen von 99 Mitarbeitern; Namen und Monatsvergütung von 89 Mitarbeitern; Name, Familienstand, Anzahl der Kinder, Lohn, Arbeitszeiten und weitere Abrechnungsinformationen von 10 ausgeschiedenen Mitarbeitern. Der für die Verarbeitung Verantwortliche benachrichtigt nur die zuletzt genannten 10 früheren Mitarbeiter.

Bis zur „Auflösung“ im Schlussteil der Serie Ihnen allen einen schönen Sommer!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Fehlversendung
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (9)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar.


FALL 10: LÖSUNG

Erkennbar hat der EDSA seine Beispielsfälle wieder in der Reihenfolge „vorbildlich“ bis „katastrophal“ sortiert.

Bei Fall 10 führt ein – aus Sicht des Verantwortlichen unvermeidbares – Restrisiko (Einbruch) wegen der sehr guten Sicherheitsvorkehrungen im Ergebnis nicht zu nennenswerten Datenschutz-Problemen. Verfügbarkeit: Die auf den gestohlenen Laptops vorhandenen Daten sind dank Backup beim Verantwortlichen weiter nutzbar. Vertraulichkeit: Durch Verschlüsselung, Passwortschutz und Fernlöschung sind Zugriffe unbefugter Dritter auf die Daten zuverlässig verhindert. Echtheit / Unverfälschtheit: Die Backup-Daten sind von dritter Seite nicht manipuliert.

Der Vorfall ist (natürlich) zu dokumentieren; es besteht aber keine Meldepflicht nach Art. 33 oder 34 DS-GVO.


FALL 11: LÖSUNG

Hier gibt es „Entwarnung“ nur bezüglich Datenintegrität und -verfügbarkeit – dank des vorhandenen täglichen Backups.

Hinsichtlich Vertraulichkeit zeigt der Fall die typischen Gefahren mobiler Datenträger mit großen Speicherkapazitäten: Für mehr als 100.000 betroffene Personen sind Datensätze im Zugriff unbefugter Dritter, wobei nicht einmal der Umfang dieser Datensätze genau bestimmbar ist (weil sich nicht rekonstruieren lässt, welche Daten auf dem gestohlenen Notebook gespeichert waren). Naheliegend leitet der EDSA aus der großen Zahl der Datensätze und ihrem vergleichsweise jeweils großen Umfang (Namen und Vornamen, Geschlecht und Adresse, Geburtsdaten) die Gefahr des Identitätsdiebstahls ab, schließt daher auf ein großes Risiko und bejaht eine Meldepflicht sowohl nach Art. 33 DS-GVO als auch nach Art. 34 DS-GVO.


FALL 12: LÖSUNG

Alle drei Aspekte einer Datenschutzverletzung sind geradezu beispielhaft „umgesetzt“:
– Die gestohlenen Daten können mangels Backups beim Verantwortlichen nicht wiederhergestellt (nur: soweit möglich neu erhoben) werden.
– Sie befinden sich vollständig in den Händen unbefugter Dritter.
– Dabei besteht das Potenzial der Datennutzung (mit oder ohne Daten-Änderungen).

Für die Betroffenen handelt es sich um eine echte Katastrophe. Eminent wichtige, hochpersönliche Daten, aus deren Bekanntwerden existenzielle Probleme z.B. im familiären und beruflichen Umfeld entstehen können, sind außer Kontrolle geraten. Darüber hinaus ist auch die weitere bestmögliche medizinische Behandlung durch den Datenverlust gefährdet.

Es bestehen Meldepflichten sowohl nach Art. 33 DS-GVO gegenüber der Aufsichtsbehörde als auch nach Art. 34 DS-GVO gegenüber den Betroffenen.

Ein „Zusatzpunkt“ bei der Lösung von Fall 12 geht an alle, die kurz überlegt haben, ob beim handschriftlichen „Logbuch“ überhaupt der Anwendungsbereich der DS-GVO eröffnet ist! Art. 2 Abs. 1 DS-GVO beantwortet die Frage mit „Ja“, weil ein „Dateisystem“ schon vorliegt bei der geordneten Speicherung von Informationen [hier: nach Tagen und / oder Patienten].

Die nächsten vier Fälle der EDSA-Richtlinie behandeln fehladressierte Nachrichten:


FALL 13: VERSANDFEHLER

Zwei Bestellungen für Schuhe werden von einem Versandunternehmen abgefertigt. Durch menschliches Versagen werden die Adressen verwechselt, so dass Schuhe und zugehörige Packscheine die jeweils falsche Person erreichen. Die beiden Kunden erhalten also die Bestellungen des jeweils anderen einschließlich der Packscheine, auf denen sich persönliche Adressdaten befinden. Nach Bekanntwerden des Fehlers ruft der Verantwortliche die Lieferungen zurück und schickt sie an die richtigen Empfänger.


FALL 14: SENSIBLE PERSONENBEZOGENE DATEN VERSEHENTLICH PER E-MAIL VERSCHICKT

Eine Arbeitsbehörde schickt eine E-Mail-Nachricht – über bevorstehende Schulungen – an Personen, die in ihrem System als Arbeitssuchende registriert waren. Versehentlich wird dieser E-Mail ein Dokument angehängt, das persönliche Daten aller (mehr als 60.000) kontaktierten Arbeitssuchenden enthält (Name, E-Mail-Adresse, Postanschrift, Sozialversicherungsnummer). Daraufhin bittet das Amt alle Empfänger, die Nachricht zu löschen und die darin enthaltenen Informationen nicht zu verwenden.


FALL 15: PERSONENBEZOGENE DATEN VERSEHENTLICH PER E-MAIL VERSCHICKT

Eine Teilnehmerliste für einen Kurs in Rechtsenglisch, der 5 Tage lang in einem Hotel stattfindet, wird versehentlich an 15 ehemalige Teilnehmer des Kurses statt an das Hotel geschickt. Die Liste enthält Namen, E-Mail-Adressen und Essensvorlieben der 15 Teilnehmer. Nur zwei Teilnehmer haben letztere ausgefüllt und angegeben, dass sie laktoseintolerant sind. Der Verantwortliche entdeckt den Fehler sofort nach Versenden der Liste, informiert die Empfänger über den Fehler und bittet sie, die Liste zu löschen.


FALL 16: KUVERTIER-FEHLER

Ein Versicherungskonzern bietet Kfz-Versicherungen an. Dazu verschickt er regelmäßig angepasste Beitrags-Policen per Post. Der Brief enthält neben dem Namen und der Adresse des Versicherungsnehmers das Kfz-Kennzeichen, die Versicherungstarife des laufenden und des nächsten Versicherungsjahres, die ungefähre Jahreskilometerleistung und das Geburtsdatum des Versicherungsnehmers. Gesundheitsdaten gemäß Artikel 9 DS-GVO, Zahlungsdaten (Bankverbindung), Wirtschafts- und Finanzdaten sind nicht enthalten. Die Briefe werden durch Kuvertiermaschinen verpackt. Aufgrund eines mechanischen Fehlers gelangen zwei Briefe für unterschiedliche Versicherungsnehmer in einen Umschlag und werden per Briefpost an einen Versicherungsnehmer versandt.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Verlust
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (8)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar.


FALL 8: LÖSUNG

Der EDSA betont, dass die entwendeten Daten (Adressen) grundsätzlich nicht sensibel sind und für die Betroffenen keine hohen Risiken entstehen. Je nach Einzelfall kann sich dies anders verhalten. So war die Datenpanne bei LEDGER auch für jene Kunden problematisch, bei denen „nur“ Adressdaten in unbefugte Hände gerieten. Wegen des betroffenen Produkts – Bitcoin-Valets – ist für Angreifer erkennbar, dass tendenziell die Wohnanschriften wohlhabender Personen erfasst sind.

Zugunsten des Verantwortlichen vermerkt der EDSA außerdem, dass der Angreifer (ehemaliger Mitarbeiter) die Adressdaten offenbar „nur“ für Werbezwecke nutzen wolle, allerdings wird auch angemerkt, dass insoweit ein Restrisiko weitergehender Missbräuche verbleibt. Die Daten sind „außer Kontrolle“. Ganz lebensnah wird vom EDSA festgestellt, bei Versuchen, sie wieder unter Kontrolle zu bringen – z.B. durch Aufforderungen oder gerichtliche Verfahren gegen den ehemaligen Mitarbeiter – sei der Erfolg „bestenfalls zweifelhaft“, Rdnr. 75 EDSA-Richtlinie.

Im konkreten Fall verbleiben keine hohen, aber doch Risiken. Folglich: Dokumentation notwendig, Meldung nach Art. 33 DS-GVO notwendig, Meldung nach Art. 34 DS-GVO entbehrlich (EDSA-Richtlinie, Rdnr. 77: Mitteilung an die Betroffenen vielleicht dennoch aus Imagegründen sinnvoll für den Verantwortlichen). Als mögliche Schutzvorkehrung wird empfohlen, Vertraulichkeitsklauseln in Arbeitsverträge aufzunehmen und gekündigten Mitarbeitern Zugriffsrechte zu entziehen. Beide Maßnahmen sind natürlich nicht immer wirksam. Das ist aber kein Grund, auf sie zu verzichten.


FALL 9: LÖSUNG

Fall Nr. 9 behandelt einen „Klassiker“ aus der Praxis: Personenbezogene Daten werden von Verantwortlichen versehentlich unbefugten Dritten offengelegt. In diese Fallgruppe gehören nicht nur (wie im Beispiel) falsch gewählte Dateianhänge und fehlerhafte Rechtevergaben, sondern auch die in der Praxis häufigen Fehladressierungen (bei traditionellen Briefen ebenso wie bei E-Mail und Telefax). Der EDSA bestätigt in seiner Falllösung, dass auch aus seiner Sicht insoweit gilt: Für das mit der Datenschutzverletzung entstehende Risiko ist entscheidend, welchen Personen die Daten versehentlich offengelegt wurden. Handelt es sich um vertrauenswürdige, dem Verantwortlichen gegenüber kooperative Dritte? Oder sind es völlig Unbekannte, deren Verhalten der Verantwortliche schwer beziehungsweise gar nicht prognostizieren kann?

Der Vorgang betrifft nicht die Integrität und Verfügbarkeit, sondern „nur“ die Vertraulichkeit der Daten. Wenn eine Weiterverwendung der Daten durch den unbeabsichtigten Empfänger mit guten Gründen ausgeschlossen werden kann, bestehen nicht nur keine hohen Risiken (Art. 34 DS-GVO), sondern – auch nach Ansicht des EDSA – gar keine Risiken (folglich auch keine Meldepflicht gemäß Art. 33 DS-GVO). Ist das Verhalten des Datenempfängers nicht vorhersehbar, so wird jedenfalls eine Meldung nach Art. 33 DS-GVO notwendig sein. Reagiert dieser Empfänger auf Lösch-Anforderungen des Verantwortlichen nicht oder gibt es sonstige Gründe, am rechtskonformen Verhalten des Empfängers zu zweifeln, wird auch eine Information der Betroffenen nach Art. 34 DS-GVO stattfinden müssen. Lösung im konkreten Fall: interne Dokumentation des Vorgangs, keine Meldung an Aufsichtsbehörde oder Betroffene.

Die EDSA-Richtlinie verlässt damit den Bereich der Datenschutz-Verletzungen durch vorsätzliches oder fahrlässiges Verhalten von Beschäftigten und gibt (in Rdnr. 84) noch diesbezügliche Präventions-Empfehlungen. Neben sehr allgemeinen Ratschlägen („Einführung robuster und effektiver Datenschutzregeln, -verfahren und -systeme“), finden sich bekannte und bewährte Vorgaben:
– differenzierte Rechtevergabe,
– unverzüglicher Rechteentzug bei Ausscheiden von Beschäftigten,
– Prüfung unüblicher/auffälliger Datenflüsse,
– Clean-Desk-Policy,
– Bildschirmsperren.

Im nächsten Schritt widmen wir uns mit dem EDSA gestohlenen elektronischen und Papier-Dokumenten.


FALL 10: GESTOHLENE GERÄTE MIT VERSCHLÜSSELTEN PERSÖNLICHEN DATEN

Bei einem Einbruch in eine Kindertagesstätte wurden zwei Tablets gestohlen. Die Tablets enthielten eine App mit Daten der betreuten Kinder (Name, Geburtsdatum, Bildung). Die Daten auf beiden Tablets (zum Zeitpunkt des Einbruchs ausgeschaltet) waren verschlüsselt, die App mit einem starken Passwort geschützt. Ein Backup der Daten war verfügbar. Per Fernzugriff wurde Löschbefehl für die Daten auf den Tablets erteilt.


FALL 11: GESTOHLENES GERÄT MIT UNVERSCHLÜSSELTEN DATEN

Das Notebook des Mitarbeiters eines Dienstleistungsunternehmens wurde gestohlen. Es enthielt Namen, Vornamen, Geschlecht, Adressen und Geburtsdaten von mehr als 100.000 Kunden. Es war nicht zu klären, ob auch andere Kategorien von persönlichen Daten betroffen waren. Der Zugriff auf die Festplatte des Notebooks war nicht durch ein Passwort geschützt. Persönliche Daten konnten aus täglich verfügbaren Backups wiederhergestellt werden.


FALL 12: GESTOHLENE PAPIERAKTEN MIT SENSIBLEN DATEN

Aus einer Reha-Einrichtung für Drogenabhängige wurde ein offen „herumliegendes“ Papier-„Logbuch“ gestohlen. Das Buch enthielt Identitäts- und Gesundheitsdaten der Patienten, die in die Reha-Einrichtung aufgenommen wurden. Die Daten waren nur auf Papier gespeichert und den behandelnden Ärzten stand keine Sicherungskopie zur Verfügung.

Abschließend an dieser Stelle eine Ermunterung zu Feedback und Rückfragen: Ist die EDSA-Richtlinie aus Ihrer Sicht für die Praxis hilfreich? Welche Punkte fehlen oder welchen Positionen würden Sie widersprechen? Ihnen allen einen guten Start in den Sommer!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigte
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (7)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar.


FALL 6: LÖSUNG

Zunächst zu Fall 6: Die erste der drei Standard-Fragen (Dokumentation? Meldung nach Art. 33 DSGVO? Meldung nach Art. 34 DSGVO?) ist am schnellsten beantwortet: Der Vorfall muss natürlich dokumentiert werden.

Hinsichtlich der Meldepflichten nach Artt. 33 und 34 DS-GVO gilt die Grundaussage der Datenschutz-Aufsichtsbehörden, dass bei Datenverschlüsselung auf aktuellem Stand der Technik selbst ein Abhandenkommen der Daten kein Risiko für Betroffene begründet. Damit scheiden im vorliegenden Fall Meldepflichten sowohl gegenüber den Aufsichtsbehörden als auch (erst recht) gegenüber den Betroffenen aus.

Übrigens: Wie bei Grundsätzen meist, gibt es auch von diesem Grundsatz Ausnahmen. Falls „auf aktuellem Stand der Technik“ verschlüsselte Daten abhandenkommen, aber damit gerechnet werden muss, dass die Daten immer noch „interessant“ und missbrauchbar sind, wenn Jahre später durch technischen Fortschritt die Entschlüsselung für die Angreifer möglich sein wird, ergeben sich durchaus Risiken für künftigen Missbrauch und folglich – in solchen Ausnahmefällen – unter Umständen auch Meldepflichten. Nötig sind also zwei Prognosen: Wann wird die heute „sichere“ Verschlüsselung überwindbar? Und geht von der unbefugten Datennutzung dann noch Gefahr aus?

Ungeachtet nicht bestehender Meldepflichten hat auch im geschilderten Fall der Verantwortliche natürlich die vom Angreifer ausgenutzten Schwachstellen zu beseitigen. Die nach der Fallschilderung freiwillig erfolgte Information an Betroffene mit der Aufforderung zur Änderung des Passwortes wird vom EDSA als – obwohl nicht gesetzlich geschuldet – „guter Praxis entsprechend“ ausdrücklich gelobt (Richtlinie, Textziffern 59 und 62).


FALL 7: LÖSUNG

Bei Fall 7 wird natürlich ebenfalls eine interne Dokumentation benötigt. Die Datenschutzverletzung betrifft den Aspekt der Vertraulichkeit. Sehr nachvollziehbar leitet der EDSA im konkreten Fall die besondere Qualität des Angriffs und das besondere Risiko für die Betroffenen aus den vom Angreifer „erbeuteten“ bank- und vermögensrelevanten Informationen ab (Steuernummer, Benutzerkennung, für die Gruppe von etwa 2000 Bankkonten außerdem sogar Zugangspasswort). Auch bei der sehr großen Betroffenengruppe (ca. 100.000 Personen), von denen der Angreifer das Passwort nicht „erraten“ konnte, wurde ein umfangreicher Datensatz offenbart. Die Zusammengehörigkeit der verschiedenen Daten ermöglicht oder erleichtert künftige Attacken gegen diese Betroffenen bis hin zum Identitätsdiebstahl (Name und Vorname, Geschlecht, Geburtsdatum und -Ort, Steuernummer, Benutzerkennung bei der konkreten Bank).

Aus dem Risiko für die Betroffenen ergibt sich deshalb sowohl eine Meldepflicht an die Aufsichtsbehörde, als auch gegenüber dem Betroffenen und zwar auch gegenüber den bisher nicht informierten ca. 100.000 Betroffenen, bei denen der Bankzugang nicht offenbart wurde! Generell empfiehlt der EDSA (Textziffer 70 der Richtlinie) eine ganze Reihe von Schutzmaßnahmen gegen Hacker-Angriffe, die bei tatsächlichen Attacken (unabhängig von deren Erfolg) jeweils überprüft und gegebenfalls angepasst / aktualisiert werden sollten. Auch erfolglose Hacker-Angriffe sind ja jedenfalls ein Zeichen dafür, dass die IT-Systeme des Verantwortlichen für Angreifer „Interesse besitzen“.

Zu den Maßnahmen gehören:
– Verschlüsselung und Schlüssel-Management nach „Stand der Technik“, möglichst kein Passwort-Transfer zu den jeweiligen Anwendungen / Datenbanken, sondern Authentifikation z.B. durch Hashwert-Abgleich,
– Verwendung aktueller Soft- und Firmware mit Protokollierung der Update-Zeitpunkte,
– 2-Faktor-Authentifikation,
– Standardisierung der Nutzerzugriffe (Verwendung von White-Listen, also Limitierung des Nutzungsumfangs, soweit praktikabel), außerdem Beschränkung der Zahl der Authentifikations-Versuche,
– Firewall- und Penetrations-Tests,
– Regelmäßige Backups und Rücksicherungs-Versuche.

Damit verlassen wir zunächst den Bereich der Angriffe „von außen“ und befassen uns mit Attacken „von innen“. Für Datenschutz-Verletzungen durch Personen „aus dem Lager des Verantwortlichen“ behandelt der EDSA in den Fällen 8 und 9 der Richtlinie zwei grundverschiedene Konstellationen, nämlich einerseits den absichtlichen Angriff eines „bösen“ Internen, andererseits das Nutzer-Versehen, also die „klassische“, fahrlässige Datenverarbeitungs-Panne eines Mitarbeiters.


FALL 8: EXFILTRATION VON GESCHÄFTSDATEN DURCH EINEN EHEMALIGEN MITARBEITER

Der Mitarbeiter eines Unternehmens kopiert während seiner Kündigungsfrist Geschäftsdaten aus der firmeneigenen Datenbank, zu der er zugriffsberechtigt ist und die er zur Erfüllung seiner Arbeitsaufgaben benötigt. Monate später nutzt er die so gewonnenen Daten (vor allem Adressdaten), um die Kunden des Unternehmens zu kontaktieren und für sein neues Geschäft zu werben.

und – tatsächlich ein „Klassiker“ –


FALL 9: FEHLERHAFTE RECHTEVERGABE

Ein Versicherungsvertreter bemerkt, dass er – durch fehlerhafte Einstellungen einer per E-Mail erhaltenen Excel-Datei – auf Informationen von zwei Dutzend Kunden zugreifen kann, die nicht zu seinem Bereich gehören. Er war der einzige Empfänger der E-Mail. Die Vereinbarung zwischen dem für die Datenverarbeitung Verantwortlichen und dem Versicherungsvertreter verpflichtet den Vertreter zur Vertraulichkeit und zur Meldung von Datenpannen an den Verantwortlichen. Der Vertreter weist auf den Fehler hin und der Verantwortliche sendet ihm eine korrigierte Datei-Fassung mit der Bitte, die vorherige Nachricht zu löschen. Nach der internen Regelung muss der Vertreter die Löschung in einer schriftlichen Erklärung zu bestätigen; auch dies setzt der Vertreter korrekt um. Betroffen waren keine besonderen Kategorien von personenbezogenen Daten, sondern Kontaktdaten und Daten über die Versicherung selbst (Versicherungsart, Betrag).

Ihnen alle eine angriffs- und pannenfreie Woche!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Hacking
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (6)

Ergebnis zu Fall 5 aus Sicht des EDSA vorab und Erläuterung anschließend: Der Vorgang ist intern zu dokumentieren. Außerdem ist jedoch auch die Meldung an die Aufsichtsbehörde und sogar die Mitteilung an die möglicherweise Betroffenen notwendig. Im Detail:


FALL 5: LÖSUNG

Neben der selbstverständlichen internen Dokumentation ist sicher auch die Bejahung einer Meldepflicht an die Aufsichtsbehörde nach Art. 33 DS-GVO nachvollziehbar: Der Vorfall hat zwar die Datenverfügbarkeit für den Verantwortlichen nicht berührt und die Daten auch nicht verfälscht (die korrekten Bewerbungsdaten blieben für den Verantwortlichen ja weiter erhalten und nutzbar). Die Datenschutz-Vorgaben zur Vertraulichkeit (Schutz personenbezogener Daten gegen Zugriff unbefugter Dritter) sind jedoch ganz klar und sehr erheblich verletzt. Auch Risiken für betroffene Personen sind weder komplett auszuschließen, noch vernachlässigbar klein.

Weniger eindeutig ist die Entscheidung zu Art. 34 DS-GVO (Benachrichtigung der Betroffenen selbst): Der EDSA folgert eine entsprechende Benachrichtigungspflicht (in Rn. 55 der Richtlinie) daraus, dass die konkrete Datenschutzverletzung „wahrscheinlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen begründet“. Dies ist noch kein Argument, sondern nur eine Wiederholung des Wortlauts von Art. 34 DS-GVO. Etwas mehr „Substanz“ findet sich in Rn. 53: „Obwohl keine besonderen Kategorien personenbezogener Daten betroffen waren, enthalten die offenbarten Daten wesentliche Informationen über die Personen aus den Online-Formularen und könnten in verschiedener Weise missbraucht werden (Zusendung unerwünschter Werbung, Identitätsdiebstahl etc.)“.

Die „Zusendung unerwünschter Werbung“ stellt wohl kaum ein „hohes Risiko für die Rechte und Freiheiten“ dar. Identitätsdiebstahl allerdings kann erhebliche Nachteile und Schäden verursachen. Wenn die konkret betroffenen Datensätze dem Angreifer wirklich solche Wege öffnen, ist die Bejahung einer Informationspflicht der Betroffenen gemäß Art. 34 DS-GVO nachvollziehbar. Leider hat der EDSA bei der Fall-Schilderung die konkreten Datenarten nicht mitgeteilt, so dass seine Schlussfolgerung in diesem Punkt nicht prüfbar ist. Etwas pointierter: Der Sachverhalts-Bericht des EDSA zu Fall 5 genügt nicht den Anforderungen aus Art. 33 Abs. 3 und Art. 34 Abs. 2 DS-GVO.

Damit weiter zu Fall Nr. 6 und Nr. 7 im „Doppelpack“:


FALL 6: UNBEFUGTER ZUGRIFF AUF GEHASHTE PASSWÖRTER

Eine SQL-Injection-Schwachstelle wurde ausgenutzt, um Zugriff auf die Datenbank eines Web-Servers zu erlangen. Die in der Datenbank gespeicherten 1.200 Passwörter (Zugangs-Kennungen für die Nutzer eines Internetportals mit Koch-Rezepten) wurden mit einem starken Algorithmus gehasht; der Schutz wurde nicht kompromittiert. Der für die Verarbeitung Verantwortliche hat die betroffenen Personen sicherheitshalber per E-Mail über die Sicherheitsverletzung informiert und aufgefordert, ihre Passwörter zu ändern, insbesondere wenn das gleiche Passwort auch für andere Dienste verwendet wird.


FALL 7: ANGRIFF AUF ONLINE-BANKING-ANGEBOT

Beim Angriff auf ein Online-Banking-Portal wurden für ca. 100.000 Personen Informationen (teils Vorname, Nachname, Geschlecht, Geburtsdatum und -ort, Steuernummer, Benutzerkennung) an den Angreifer weitergegeben. Außerdem loggte sich der Angreifer erfolgreich in etwa 2.000 Konten, die ein Trivialpasswort verwendeten. Die Bank konnte alle unrechtmäßigen Anmeldeversuche identifizieren. Während des Angriffs erfolgten keine Transaktionen von diesen Konten. Die Bank reagierte durch Abschalten der Website und erzwungenes Zurücksetzen der Passwörter der kompromittierten Konten. Nur die Benutzer mit den kompromittierten Konten wurden informiert.

Ihre Meinung?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Hacking
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (5)

Fall 4 aus dem Beispiels-Set des Europäischen Datenschutz-Ausschusses (EDSA) dürfte als Lehrbuch- und Übungsfall keine Probleme bereitet haben. Im wahren Leben würde er natürlich enorme Arbeit verursachen.


FALL 4: LÖSUNG

Sowohl die Vertraulichkeit der Daten wurde durch die Datenschutzverletzung aufgehoben (Datenexport durch einen unbekannten, unbefugten Dritten), als auch Integrität und Verfügbarkeit gestört (Änderung der Daten durch unbefugte Verschlüsselung, infolge ebenfalls betroffener Backup-Dateien endgültiger Datenverlust beim Verantwortlichen). Angesichts der betroffenen Datenkategorien (Ausweisnummern, Finanzdaten / Kreditkartendaten) müssen die Betroffenen Kenntnis vom Datenabfluss erhalten, dies schon wegen der für den Angreifer eröffneten Missbrauchsmöglichkeiten. Im Ergebnis also tatsächlich „das volle Programm“: Interne Dokumentation, Meldung an die Aufsichtsbehörde und Benachrichtigung der Betroffenen.

Bevor die EDSA-Richtlinie an dieser Stelle die „Fallgruppe Ransomware“ verlässt, gibt sie (in Textziffer 49 der Richtlinie) Empfehlungen für einen bestmöglichen Schutz gegen Ransomware-Attacken. Auch wenn Verantwortliche nicht alle Maßnahmen vollständig umsetzen, gilt – wie im Datenschutz so häufig: Verantwortliche sollten sich „bewegen“, also Schritt für Schritt Sicherheit erhöhen und bei ihrer Kosten/Nutzen-Betrachtung das Risiko von Cyber-Attacken nicht geringschätzen. Empfehlungen des EDSA sind unter anderem:
– Firmware, Betriebssystem und Anwendungssoftware auf Servern, Clients und sämtlichen Netzwerkkomponenten aktuell halten.
– Geeignete Teile des Netzwerks segmentieren oder isolieren, um die Verbreitung von Malware zu behindern.
– Back-up-Verfahren einführen und regelmäßig testen, einschließlich mittel- und langfristiger Backups auf separaten (vom Netzwerk getrennten) Speichermedien.
– Verwendung aktueller Software zur Malware-Erkennung.
– Einrichtung einer aktuellen, effektiven Firewall und Sicherstellung, dass die gesamte Netzwerk-Kommunikation mit dem Internet über diese Firewall verläuft (einschließlich des Zugriffs z.B. im Home-Office beschäftigter Mitarbeiter).
– Schulung der Mitarbeiter zur Erkennung und Vermeidung von Malware.
– Sorgfältige Analyse des Schadcodes im Falle einer tatsächlichen Attacke. Der EDSA verweist hier auch auf die Software des Projekts „no more ransom“: nomoreransom.org.
– Vollständige Protokollierung auf einem zentralen Logserver mit Zeitstempeln der Einträge.
– Zuverlässige Verschlüsselung oder Authentifizierung insbesondere für administrative Zugriffe.
– Regelmäßige Pen-Tests.
– Bildung eines Notfall-Teams beim Verantwortlichen oder Anschluss an organisationsübergreifende entsprechende Strukturen für IT-Sicherheits-Vorfälle.
– „Lernen aus Fehlern“: Anpassung der Schutzmaßnahmen nach Sicherheitsvorfällen.

Damit verlassen wir in Begleitung des EDSA den Bereich der Ransomware-Attacken und befassen uns für die nächsten drei Fälle mit Hacking aus Datenschutz-Sicht: unbefugtem Datenzugriff/Datenexport durch Dritte.


FALL 5: ZUGRIFF AUF BEWERBUNGSDATEN VON EINER INTERNETSEITE

Auf der Internetseite einer Personalvermittlung wurde Schadcode installiert, der unbefugten Dritten ermöglichte, auf dem Webserver gespeicherte Online-Bewerbungsdaten abzurufen. Der Vorfall wurde einen Monat später bemerkt. 213 Bewerbungen waren möglicherweise betroffen; besondere Kategorien personenbezogener Daten nicht involviert.

Ihre Meinung?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (4)

Fall 3 bewegte sich wieder im Bereich „Ransomware“ (Emotet und Co.). Dies wird auch für Fall 4 zutreffen, bevor wir uns gemeinsam mit dem EDSA ab Fall 5 anderen Bereichen zuwenden. Die Abhandlung von vier Beispielsfällen zu Ransomware-Attacken in der EDSA-Richtlinie ist gut begründbar, nachdem in den letzten Monaten und Jahren gerade dieser Bereich für ein relativ hohes Aufkommen an Datenschutzverletzungen gesorgt hat.

Durch den Vergleich der verschiedenen Fallvarianten verdeutlicht der EDSA außerdem, in welchen Konstellationen eine verantwortliche Stelle trotz Attacken relativ risiko- und störungsfrei bleibt. Zu den klaren Empfehlungen insoweit gehört sicher:
– möglichst vollständige Protokollierung von Datenexporten,
– Abschottung und Verinselung von IT-Systemen, sofern ohne Einbußen an Funktionalität möglich,
– Verschlüsselung von Daten nach aktuellem Stand der Technik, wenn ohne Funktionseinbuße durchführbar (z.B. bei Backup-Daten),
– zeitnahe und vollständige Backups, die gegen übergreifende Ransomware abgeschottet sind.


FALL 3: LÖSUNG

Vertraulichkeit: Die Analyse des Datenschutz-Vorfalls ergab keine unbefugten Daten-Exporte. Insoweit kann auf die Überlegungen bei Fall 2 zurückgegriffen werden: Für eine genaue Risiko-Abschätzung ist enorm wichtig, wie lückenlos das betroffene System Datenabflüsse protokolliert und wie zuverlässig ausgeschlossen werden kann, dass der Angreifer spätere Datenabflüsse angelegt/vorbereitet hat. In Fall 3 besteht der wichtigste Unterschied zu Fall 2 auch bezüglich Vertraulichkeit bei Quantität und Qualität der betroffenen Daten: Die Attacke erfasste tausende Patienten und Beschäftigte, außerdem hochsensible Datenkategorien (Gesundheitsdaten). Schon relativ geringe verbleibende Restrisiken hinsichtlich eines Vertraulichkeit-Bruches dürften deshalb eine Meldepflicht gegenüber der Aufsichtsbehörde begründen. So sieht das auch der Europäische Datenschutz-Ausschuss in Textziffer 37 und 39 seiner Richtlinie.

Integrität: Auch hier gelten die Überlegungen zu Fall 2, erneut gewissermaßen betrachtet durch ein „Vergrößerungsglas“ angesichts Quantität und Qualität der betroffenen Daten. Eine komplette Datenwiederherstellung war nicht möglich. Im Bereich „Daten-Integrität“ ergibt sich deshalb ebenso eine Meldepflicht gemäß Art. 33 DS-GVO.

Verfügbarkeit: Die Wiederherstellung der Daten (soweit Backups vorhanden waren) gelang trotz des größeren Datenvolumens zwar schneller als in Fall 2 (zwei anstelle fünf Arbeitstage). Wegen des betroffenen Verarbeitungs-Bereiches und der hundertfach größeren Zahl betroffener Personen sind die verbleibenden Risiken und Schäden dennoch erheblich höher als in Fall 2: Behandlungen von Patienten verzögerten sich, geplante ärztliche Maßnahmen mussten verschoben werden, das allgemeine Behandlungsniveau hat sich jedenfalls für die genannten zwei Tage reduziert.

Gerade mit Blick auf diese hohen Risiken/Schäden der Datenschutz-Attacke im Bereich der Datenverfügbarkeit ist auch eine Meldepflicht gegenüber den Betroffenen nach Art. 34 DS-GVO bei Fall 3 zu bejahen. Die betroffenen Beschäftigten und Patienten müssen also unverzüglich „in klarer und einfacher Sprache“ über die Art der Datenschutz-Pflichtverletzung benachrichtigt werden und außerdem die Informationen nach Art. 33 Abs. 3 lit. b, c und d DS-GVO erhalten (Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, Beschreibung der wahrscheinlichen Folgen des Vorfalls, Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Schutzmaßnahmen).

An dieser Stelle sei angemerkt: In der Praxis wird die Information betroffener Personen häufig allein dann erwogen, wenn die Betroffenen durch eigene Maßnahmen Risiken aus dem Datenschutz-Vorfall beseitigen oder mindern können (Beispiel: Aufruf an Nutzer, „geleakte“ Zugangsdaten für E-Mail Accounts zu verändern, die kompromittierten Accounts nicht mehr zu nutzen).

Art. 34 DS-GVO ist jedoch ganz klar nicht nur eine Vorschrift für den „Aufruf zur Selbsthilfe“. Der Verantwortliche muss betroffene Personen bei hohen Risiken einer Datenschutz-Verletzung auch benachrichtigen, wenn er ihnen keine geeigneten Schutzmaßnahmen vorschlagen kann. Dies folgt dem Datenschutz-Grundprinzip, dass betroffene Personen nicht als Datenobjekte behandelt werden dürfen, sondern über den Verbleib ihrer Daten ausreichend informiert werden müssen. Für das informationelle Selbstbestimmungsrecht ist natürlich auch wichtig, dass betroffene Personen wissen, ob und unter welchen Umständen ihre Daten (und welche genau) „verlorengingen“, sich also vielleicht in den Händen unbefugter Dritter befinden.

Die Fall-Lösung lautet deshalb:
(1) Dokumentation des Vorfalls: natürlich ja.
(2) Meldungen die Aufsichtsbehörde: ja.
(3) Meldung an die Betroffenen: ja.

Der EDSA befürwortet in seiner Richtlinie ausdrücklich auch eine Information an betroffene Personen, deren Behandlung im Krankenhaus längst abgeschlossen ist. Der Ausschuss verweist dafür auf die Möglichkeiten „öffentlicher Kommunikation oder entsprechender Maßnahmen, durch die Betroffenen in Vergleich bei fiktiver Weise informiert werden“ (Textziffer 39 EDSA-Richtlinie). Wenn Möglichkeiten zur individuellen Benachrichtigung (z.B. auf dem Postwege) fehlen, weil Kontaktdaten zu langjährig ausgeschiedenen Patienten/Beschäftigten nicht verfügbar sind, bedeutet die „öffentliche Benachrichtigung“ für den Verantwortlichen unter Umständen einen erheblichen Imageschaden und Wettbewerbsnachteil.

Auch dies kann und sollte Verantwortliche zu entsprechenden Sicherheits-Vorkehrungen motivieren (z.B. Abweisung veralteter MS-Office-Dateien in E-Mail-Anhängen). Natürlich gilt wie immer: Vollständiger Schutz und Risikoausschluss ist nicht erreichbar. Damit auf zur „letzten Ransomware-Attacke“.


FALL 4: RANSOMWARE OHNE BACKUP UND MIT DATENABFLUSS

Der Server eines öffentlichen Verkehrsunternehmens wurde einem Ransomware-Angriff ausgesetzt und seine Daten wurden verschlüsselt. Nach den Erkenntnissen der internen Untersuchung hat der Täter die Daten nicht nur verschlüsselt, sondern auch exportiert. Betroffen sind Daten von Kunden und Beschäftigten (mehrere tausend Personen). Neben grundlegenden Identitätsdaten waren auch Ausweisnummern und Finanzdaten wie Kreditkartendaten von der Sicherheitsverletzung betroffen. Es existiert eine Backup-Datenbank, die aber ebenfalls vom Angreifer verschlüsselt wurde.

Als vierte Variante im „Ransomware-Zyklus“ nun also der worst case und Albtraum Verantwortlicher, Betroffener sowie Datenschutzbeauftragter. Ergibt sich daraus bei den Meldepflichten „das volle Programm“? Prüfen Sie, notieren Sie Ihre Meinung und … bis bald!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen