DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (5)

Fall 4 aus dem Beispiels-Set des Europäischen Datenschutz-Ausschusses (EDSA) dürfte als Lehrbuch- und Übungsfall keine Probleme bereitet haben. Im wahren Leben würde er natürlich enorme Arbeit verursachen.


FALL 4: LÖSUNG

Sowohl die Vertraulichkeit der Daten wurde durch die Datenschutzverletzung aufgehoben (Datenexport durch einen unbekannten, unbefugten Dritten), als auch Integrität und Verfügbarkeit gestört (Änderung der Daten durch unbefugte Verschlüsselung, infolge ebenfalls betroffener Backup-Dateien endgültiger Datenverlust beim Verantwortlichen). Angesichts der betroffenen Datenkategorien (Ausweisnummern, Finanzdaten / Kreditkartendaten) müssen die Betroffenen Kenntnis vom Datenabfluss erhalten, dies schon wegen der für den Angreifer eröffneten Missbrauchsmöglichkeiten. Im Ergebnis also tatsächlich „das volle Programm“: Interne Dokumentation, Meldung an die Aufsichtsbehörde und Benachrichtigung der Betroffenen.

Bevor die EDSA-Richtlinie an dieser Stelle die „Fallgruppe Ransomware“ verlässt, gibt sie (in Textziffer 49 der Richtlinie) Empfehlungen für einen bestmöglichen Schutz gegen Ransomware-Attacken. Auch wenn Verantwortliche nicht alle Maßnahmen vollständig umsetzen, gilt – wie im Datenschutz so häufig: Verantwortliche sollten sich „bewegen“, also Schritt für Schritt Sicherheit erhöhen und bei ihrer Kosten/Nutzen-Betrachtung das Risiko von Cyber-Attacken nicht geringschätzen. Empfehlungen des EDSA sind unter anderem:
– Firmware, Betriebssystem und Anwendungssoftware auf Servern, Clients und sämtlichen Netzwerkkomponenten aktuell halten.
– Geeignete Teile des Netzwerks segmentieren oder isolieren, um die Verbreitung von Malware zu behindern.
– Back-up-Verfahren einführen und regelmäßig testen, einschließlich mittel- und langfristiger Backups auf separaten (vom Netzwerk getrennten) Speichermedien.
– Verwendung aktueller Software zur Malware-Erkennung.
– Einrichtung einer aktuellen, effektiven Firewall und Sicherstellung, dass die gesamte Netzwerk-Kommunikation mit dem Internet über diese Firewall verläuft (einschließlich des Zugriffs z.B. im Home-Office beschäftigter Mitarbeiter).
– Schulung der Mitarbeiter zur Erkennung und Vermeidung von Malware.
– Sorgfältige Analyse des Schadcodes im Falle einer tatsächlichen Attacke. Der EDSA verweist hier auch auf die Software des Projekts „no more ransom“: nomoreransom.org.
– Vollständige Protokollierung auf einem zentralen Logserver mit Zeitstempeln der Einträge.
– Zuverlässige Verschlüsselung oder Authentifizierung insbesondere für administrative Zugriffe.
– Regelmäßige Pen-Tests.
– Bildung eines Notfall-Teams beim Verantwortlichen oder Anschluss an organisationsübergreifende entsprechende Strukturen für IT-Sicherheits-Vorfälle.
– „Lernen aus Fehlern“: Anpassung der Schutzmaßnahmen nach Sicherheitsvorfällen.

Damit verlassen wir in Begleitung des EDSA den Bereich der Ransomware-Attacken und befassen uns für die nächsten drei Fälle mit Hacking aus Datenschutz-Sicht: unbefugtem Datenzugriff/Datenexport durch Dritte.


FALL 5: ZUGRIFF AUF BEWERBUNGSDATEN VON EINER INTERNETSEITE

Auf der Internetseite einer Personalvermittlung wurde Schadcode installiert, der unbefugten Dritten ermöglichte, auf dem Webserver gespeicherte Online-Bewerbungsdaten abzurufen. Der Vorfall wurde einen Monat später bemerkt. 213 Bewerbungen waren möglicherweise betroffen; besondere Kategorien personenbezogener Daten nicht involviert.

Ihre Meinung?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (4)

Fall 3 bewegte sich wieder im Bereich „Ransomware“ (Emotet und Co.). Dies wird auch für Fall 4 zutreffen, bevor wir uns gemeinsam mit dem EDSA ab Fall 5 anderen Bereichen zuwenden. Die Abhandlung von vier Beispielsfällen zu Ransomware-Attacken in der EDSA-Richtlinie ist gut begründbar, nachdem in den letzten Monaten und Jahren gerade dieser Bereich für ein relativ hohes Aufkommen an Datenschutzverletzungen gesorgt hat.

Durch den Vergleich der verschiedenen Fallvarianten verdeutlicht der EDSA außerdem, in welchen Konstellationen eine verantwortliche Stelle trotz Attacken relativ risiko- und störungsfrei bleibt. Zu den klaren Empfehlungen insoweit gehört sicher:
– möglichst vollständige Protokollierung von Datenexporten,
– Abschottung und Verinselung von IT-Systemen, sofern ohne Einbußen an Funktionalität möglich,
– Verschlüsselung von Daten nach aktuellem Stand der Technik, wenn ohne Funktionseinbuße durchführbar (z.B. bei Backup-Daten),
– zeitnahe und vollständige Backups, die gegen übergreifende Ransomware abgeschottet sind.


FALL 3: LÖSUNG

Vertraulichkeit: Die Analyse des Datenschutz-Vorfalls ergab keine unbefugten Daten-Exporte. Insoweit kann auf die Überlegungen bei Fall 2 zurückgegriffen werden: Für eine genaue Risiko-Abschätzung ist enorm wichtig, wie lückenlos das betroffene System Datenabflüsse protokolliert und wie zuverlässig ausgeschlossen werden kann, dass der Angreifer spätere Datenabflüsse angelegt/vorbereitet hat. In Fall 3 besteht der wichtigste Unterschied zu Fall 2 auch bezüglich Vertraulichkeit bei Quantität und Qualität der betroffenen Daten: Die Attacke erfasste tausende Patienten und Beschäftigte, außerdem hochsensible Datenkategorien (Gesundheitsdaten). Schon relativ geringe verbleibende Restrisiken hinsichtlich eines Vertraulichkeit-Bruches dürften deshalb eine Meldepflicht gegenüber der Aufsichtsbehörde begründen. So sieht das auch der Europäische Datenschutz-Ausschuss in Textziffer 37 und 39 seiner Richtlinie.

Integrität: Auch hier gelten die Überlegungen zu Fall 2, erneut gewissermaßen betrachtet durch ein „Vergrößerungsglas“ angesichts Quantität und Qualität der betroffenen Daten. Eine komplette Datenwiederherstellung war nicht möglich. Im Bereich „Daten-Integrität“ ergibt sich deshalb ebenso eine Meldepflicht gemäß Art. 33 DS-GVO.

Verfügbarkeit: Die Wiederherstellung der Daten (soweit Backups vorhanden waren) gelang trotz des größeren Datenvolumens zwar schneller als in Fall 2 (zwei anstelle fünf Arbeitstage). Wegen des betroffenen Verarbeitungs-Bereiches und der hundertfach größeren Zahl betroffener Personen sind die verbleibenden Risiken und Schäden dennoch erheblich höher als in Fall 2: Behandlungen von Patienten verzögerten sich, geplante ärztliche Maßnahmen mussten verschoben werden, das allgemeine Behandlungsniveau hat sich jedenfalls für die genannten zwei Tage reduziert.

Gerade mit Blick auf diese hohen Risiken/Schäden der Datenschutz-Attacke im Bereich der Datenverfügbarkeit ist auch eine Meldepflicht gegenüber den Betroffenen nach Art. 34 DS-GVO bei Fall 3 zu bejahen. Die betroffenen Beschäftigten und Patienten müssen also unverzüglich „in klarer und einfacher Sprache“ über die Art der Datenschutz-Pflichtverletzung benachrichtigt werden und außerdem die Informationen nach Art. 33 Abs. 3 lit. b, c und d DS-GVO erhalten (Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, Beschreibung der wahrscheinlichen Folgen des Vorfalls, Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Schutzmaßnahmen).

An dieser Stelle sei angemerkt: In der Praxis wird die Information betroffener Personen häufig allein dann erwogen, wenn die Betroffenen durch eigene Maßnahmen Risiken aus dem Datenschutz-Vorfall beseitigen oder mindern können (Beispiel: Aufruf an Nutzer, „geleakte“ Zugangsdaten für E-Mail Accounts zu verändern, die kompromittierten Accounts nicht mehr zu nutzen).

Art. 34 DS-GVO ist jedoch ganz klar nicht nur eine Vorschrift für den „Aufruf zur Selbsthilfe“. Der Verantwortliche muss betroffene Personen bei hohen Risiken einer Datenschutz-Verletzung auch benachrichtigen, wenn er ihnen keine geeigneten Schutzmaßnahmen vorschlagen kann. Dies folgt dem Datenschutz-Grundprinzip, dass betroffene Personen nicht als Datenobjekte behandelt werden dürfen, sondern über den Verbleib ihrer Daten ausreichend informiert werden müssen. Für das informationelle Selbstbestimmungsrecht ist natürlich auch wichtig, dass betroffene Personen wissen, ob und unter welchen Umständen ihre Daten (und welche genau) „verlorengingen“, sich also vielleicht in den Händen unbefugter Dritter befinden.

Die Fall-Lösung lautet deshalb:
(1) Dokumentation des Vorfalls: natürlich ja.
(2) Meldungen die Aufsichtsbehörde: ja.
(3) Meldung an die Betroffenen: ja.

Der EDSA befürwortet in seiner Richtlinie ausdrücklich auch eine Information an betroffene Personen, deren Behandlung im Krankenhaus längst abgeschlossen ist. Der Ausschuss verweist dafür auf die Möglichkeiten „öffentlicher Kommunikation oder entsprechender Maßnahmen, durch die Betroffenen in Vergleich bei fiktiver Weise informiert werden“ (Textziffer 39 EDSA-Richtlinie). Wenn Möglichkeiten zur individuellen Benachrichtigung (z.B. auf dem Postwege) fehlen, weil Kontaktdaten zu langjährig ausgeschiedenen Patienten/Beschäftigten nicht verfügbar sind, bedeutet die „öffentliche Benachrichtigung“ für den Verantwortlichen unter Umständen einen erheblichen Imageschaden und Wettbewerbsnachteil.

Auch dies kann und sollte Verantwortliche zu entsprechenden Sicherheits-Vorkehrungen motivieren (z.B. Abweisung veralteter MS-Office-Dateien in E-Mail-Anhängen). Natürlich gilt wie immer: Vollständiger Schutz und Risikoausschluss ist nicht erreichbar. Damit auf zur „letzten Ransomware-Attacke“.


FALL 4: RANSOMWARE OHNE BACKUP UND MIT DATENABFLUSS

Der Server eines öffentlichen Verkehrsunternehmens wurde einem Ransomware-Angriff ausgesetzt und seine Daten wurden verschlüsselt. Nach den Erkenntnissen der internen Untersuchung hat der Täter die Daten nicht nur verschlüsselt, sondern auch exportiert. Betroffen sind Daten von Kunden und Beschäftigten (mehrere tausend Personen). Neben grundlegenden Identitätsdaten waren auch Ausweisnummern und Finanzdaten wie Kreditkartendaten von der Sicherheitsverletzung betroffen. Es existiert eine Backup-Datenbank, die aber ebenfalls vom Angreifer verschlüsselt wurde.

Als vierte Variante im „Ransomware-Zyklus“ nun also der worst case und Albtraum Verantwortlicher, Betroffener sowie Datenschutzbeauftragter. Ergibt sich daraus bei den Meldepflichten „das volle Programm“? Prüfen Sie, notieren Sie Ihre Meinung und … bis bald!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (3)

Auf zur Lösung von Fall 2! Sie ist nicht sehr schwer, zumal Fall 1 im Vergleich verdeutlichte, wo die Probleme liegen könnten. Und bei der Überschrift zu Fall 2 haben wir, ebenfalls wie der Europäische Datenschutzausschuss, zusätzlich „mit der Zaunslatte gewinkt“: Das fehlende Back-up. Aber gehen wir Schritt für Schritt vor, um nichts zu übersehen:


FALL 2: LÖSUNG

Vertraulichkeit: Die Untersuchungen zum Vorfall haben ergeben, dass im betroffenen Zeitraum keine Datenabflüsse nach außen erfolgten. Dies ist eine gute Nachricht, erlaubt aber noch keine vollständige „Entwarnung“. Im Einzelfall (dies mahnt auch der EDSA in Textziff. 28 der Richtlinie an) muss genauer geprüft werden, ob die vorhandenen Protokolle wirklich alle Datenexporte zuverlässig ausschließen oder vielleicht bestimmte Exportwege gar nicht abdecken. Nur wenn tatsächlich sicher ausgeschlossen werden kann, dass (1) Daten unbefugt die Verarbeitungssysteme des Verantwortlichen verließen und / oder (2) der Angreifer sich im System des Verantwortlichen „eingenistet hat“ und bei späterer Gelegenheit Datenexporte möglich sind, wäre „Vertraulichkeit“ vom geschilderten Eingriff nicht verletzt.

Der Unterschied zu Fall 1 – und der Nachteil für den Verantwortlichen in Fall 2 – liegt bei dem Thema „Vertraulichkeit“, genauer in der Fall 1 gegebenen bzw. in Fall 2 fehlenden Datenverschlüsselung durch den Verantwortlichen. Anders als bei der Datenspeicherung ist für aktive EDV-Systeme eine Datenverschlüsselung häufig nicht möglich, weil die Verarbeitung dann übermäßig erschwert oder ausgeschlossen wäre. Seit vielen Jahren ist dieser Bereich ein Arbeitsfeld der Kryptografen, das sicher noch für viele weitere Jahre erhalten bleibt. Die in Fall 2 geschilderte Situation entspricht daher dem täglichen Normalzustand der meisten EDV-Systeme. Für diesen häufig anzutreffenden Fall ist bei Angriffen Dritter die möglichst vollständige Protokollierung von Datenabflüssen enorm wichtig, um das Risiko eines Vertraulichkeitsbruchs einschätzen zu können. Verbleiben insoweit Unsicherheiten, ist vom möglichen Zugriff Dritter, also dem worst-case-Szenario, auszugehen (so auch EDSA-Richtlinie Textziffer 30).

Integrität der Daten: Die vom Angreifer unbefugt verschlüsselten Daten wurden verändert, entsprechen also nicht mehr dem ursprünglichen, korrekten Zustand. Sie liegen – mangels vollständiger Backups – auch nicht als Duplikate in unveränderter, einsatzfähiger Art vor. Allerdings existieren (nach dem Sachverhalt: einwandfreie) Unterlagen in Papierform, wenn auch nicht für den gesamten Datenbestand. Die Daten sind also entweder korrekt vorhanden oder jedenfalls (soweit Papierdaten fehlen) klar als „unbefugt verändert“ erkennbar. Es besteht folglich nicht das Risiko einer künftigen Verarbeitung unbefugt/unabsichtlich verfälschter Daten.

Verfügbarkeit: Die Datenschutzverletzung führte nach dem Sachverhalt eindeutig zu einer Störung der Verfügbarkeit. Zum einen ist die Wiederherstellung der Daten teilweise (wenn auch für einen geringen Teil) überhaupt nicht möglich gewesen. Zum anderen war für die Datenwiederherstellung (im überwiegenden Teil) eine erneute Digitalisierung unter Nutzung der Papier-Unterlagen notwendig, die immerhin fünf Arbeitstage beanspruchte und Verzögerungen bei Kundenaufträgen verursacht hat.

Damit hat die Datenschutzverletzung nicht nur Risiken begründet, sondern sogar konkrete Schäden tatsächlich eintreten lassen. Eine Meldung nach Art. 33 DS-GVO ist folglich nötig. Hohe Risiken für die Rechte und Freiheiten natürlicher Personen ergeben sich demgegenüber aus dem Sachverhalt nicht. Der Umfang der Datenschutzverletzung ist quantitativ (Daten von „ein paar Dutzend Personen“) und qualitativ (keine Daten besonderer Kategorien) begrenzt. Eingetretene Schäden beschränken sich auf geringfügige Lieferverzögerungen. Meldepflichten nach Art. 34 DS-GVO entstehen deshalb nicht.

Gesamtergebnis also:
(1) Dokumentation ja.
(2) Meldung an die Aufsichtsbehörde ja.
(3) Meldung an Betroffene nein.


FALL 3: RANSOMWARE-ATTACKE AUF EIN KRANKENHAUS BEI VORHANDENEM BACKUP UND OHNE DATENABFLUSS

Das Informationssystem eines Krankenhauses/Gesundheitszentrums war einem Ransomware-Angriff ausgesetzt und ein erheblicher Teil der Daten wurde vom Angreifer verschlüsselt. Das Unternehmen nutzt die Expertise einer externen Cybersecurity-Firma, um sein Netzwerk zu überwachen. Protokolle zur Verfolgung aller Datenströme, die das Unternehmen verlassen, einschließlich ausgehender E-Mails, sind verfügbar. Der Täter hat die Daten nur verschlüsselt, ohne zu exportieren. Die Protokolle zeigen keinen Datenfluss nach außen im Zeitraum des Angriffs. Die von der Verletzung betroffenen personenbezogenen Daten beziehen sich auf tausende Personen (Beschäftigte und Patienten). Backups waren in elektronischer Form verfügbar. Der größte Teil der Daten wurde wiederhergestellt. Dieser Vorgang dauerte jedoch 2 Arbeitstage und führte zu erheblichen Verzögerungen bei der Behandlung der Patienten mit abgesagten/verschobenen Operationen und zu einer Senkung des Serviceniveaus aufgrund der Nichtverfügbarkeit der Systeme.

Was meinen Sie? Interne Dokumentation: sicher. Meldung zur Aufsichtsbehörde? Mitteilung an die betroffenen Beschäftigten und Patienten?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (2)

Wie angekündigt wird Fall 1 aufgelöst, bevor wir uns dem nächsten Fall zuwenden. Entscheidend sind die schon genannten drei Kriterien:
(1) Wurden die Daten unbefugten Dritten zugänglich?
(2) Kam es zu einer unbeabsichtigten und/oder unbefugten Datenänderung?
(3) Gingen Daten verloren?

(Falls Jemand die von Informatik-Studenten seit Jahrzehnten benutzte Merkhilfe noch nicht kennt: Die drei englischen Schlagworte – confidentiality, integrity, availability – ergeben die im Datenschutz sinnfällige Abkürzung CIA.)


FALL 1: LÖSUNG

Confidentiality / Vertraulichkeit ist im Fall 1 nicht betroffen. Der Verantwortliche hatte die durch Ransomware unbefugt verschlüsselten Daten ja bereits zuvor selbst verschlüsselt. Diese Verschlüsselung des Verantwortlichen war auch gemäß dem aktuellen Stand der Technik erfolgt und von der Cyber-Attacke nicht betroffen. Der Angreifer hatte die zur Entschlüsselung notwendigen Kenntnisse also nicht erhalten.

Damit waren dem Angreifer allenfalls Daten zugänglich geworden, die er nicht entschlüsseln und auswerten konnte. Wer genauer überlegt, erhält einen „Zusatzpunkt“ für die Erkenntnis, dass mit dem technischen Fortschritt natürlich in den nächsten Jahren und Jahrzehnten eine Entschlüsselung der „nach heutigem Stand der Technik“ sicher verschlüsselten Daten doch möglich werden könnte. Der EDSA erwähnt dies in seiner Richtlinie beiläufig (Textziff. 20 am Ende), sieht in diesem Umstand aber kein beachtliches Risiko. Bei personenbezogenen Daten, die auch nach 10 oder 15 Jahren noch erhebliche Risiken für Betroffene verursachen können, wäre dies vielleicht anders zu beurteilen – Beispiel: Geschlechtsumwandlungen, schwere chronische Krankheiten, schwere Straftaten.

Integrity / „Echtheit“ stellt wohl ebenfalls kein Problem dar: Zwar hat der Angreifer die Daten seinerseits unbefugt (nochmals) verschlüsselt. Der Verantwortliche verfügt aber dank seines Back-up-Systems über einwandfreie, unveränderte Daten-Duplikate. Die Gefahr unerwünschter und unbemerkter Datenänderung kann also abgewehrt werden.

Availability / Verfügbarkeit: Das Einspielen der korrekten Daten vom Back-up- in das Arbeits-System erfolgte binnen „weniger Stunden nach dem Angriff“, die Attacke hatte „keine Auswirkungen auf den täglichen Betrieb“. Sie bewirkte insbesondere „keine Verzögerungen bei der Bezahlung von Mitarbeitern oder der Bearbeitung von Kundenanfragen“. Mit anderen Worten: Die Daten waren zwar kurzzeitig (für einige Stunden) nicht im Arbeits-System des Unternehmens verfügbar. Dieser temporäre Ausfall wirkte sich jedoch auf die Datenverarbeitung beim Verantwortlichen nicht aus.

Im Ergebnis kommt der EDSA – sehr gut nachvollziehbar – zum Antwortmuster „Ja/Nein/Nein“, also:
(1) Interne Dokumentation des Vorfalls nötig.
(2) Keine Meldung an die Aufsichtsbehörde.
(3) Keine Meldung an die Betroffenen.

Hier noch ein Hinweis für die weiteren Fälle, vor allem aber für die Datenschutz-Praxis: Wenn bei Datenschutz-Vorfällen geprüft wird, ob eine Meldepflicht gegenüber der Aufsichtsbehörde (und eventuell gegenüber Betroffenen) besteht, ist dies immer intern zu dokumentieren. Das folgt für den Verantwortlichen schon aus seiner allgemeinen Nachweispflicht und weil er (sollte sich ein Vorfall „weiterentwickeln“, z.B. durch Beschwerden von Betroffenen oder anschließende Attacken) die nach der Datenschutz-Verletzung getroffenen Ermittlungen und Maßnahmen konkret aufzeigen muss.


FALL 2: RANSOMWARE OHNE AUSREICHENDES BACKUP

Einer der von einem landwirtschaftlichen Unternehmen genutzten Computer war einem Ransomware-Angriff ausgesetzt und seine Daten wurden vom Angreifer verschlüsselt. Das Unternehmen nutzt die Expertise eines externen Cybersecurity-Unternehmens zur Analyse des Vorfalls. Protokolle, die alle Datenströme, die das Unternehmen verlassen, nachverfolgen (einschließlich ausgehender E-Mails) sind verfügbar. Nach der Analyse der Protokolle und anderer Daten ergab die interne Untersuchung, dass der Täter die Daten nur verschlüsselt hat, ohne sie zu exportieren. Die Protokolle zeigen keinen Datenfluss nach außen im Zeitrahmen des Angriffs. Die von der Verletzung betroffenen personenbezogenen Daten betreffen die Mitarbeiter und Kunden des Unternehmens, insgesamt ein paar Dutzend Personen. Keine Daten besonderer Kategorien waren betroffen. Es war kein Backup in elektronischer Form vorhanden. Die meisten Daten wurden aus Papier-Akten wiederhergestellt. Die Wiederherstellung der Daten dauerte 5 Arbeitstage und führte zu geringen Verzögerungen bei der Auslieferung von Aufträgen an Kunden.

Das nötige „Rüstzeug“ (C? I? A?) befindet sich bei Ihnen. Weiterhin gilt die Devise: Selbst lösen ist besser, als in der Richtlinie spicken! Bis zur Auflösung in einigen Tagen – alles Gute!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (1)

Der Europäische Datenschutzausschuss hat als Richtlinie 01/2021 einen Text mit „examples regarding data breach notification“ am 14. Januar 2021 veröffentlicht und um Stellungnahmen gebeten. Wer den Text noch nicht kennt, findet den Link am Ende dieses Beitrags. Aber Achtung – wir haben einen anderen Vorschlag: Finden Sie doch einmal mit unserer Hilfe heraus, wie gut sich Ihre Auffassungen zu Art. 33, 34 DS-GVO mit den Ansichten des EDSA decken. In Form einer kleinen Serie werden wir hier im Blog weitere Beispielsfälle aus der EDSA-Richtlinie darstellen und für die Behandlung und Einordnung der Datenschutz-Verletzung maßgebliche Punkte besprechen. Anschließend können Sie den Fall lösen.

Im nächsten Teil unserer Serie erfahren Sie gleich zu Beginn, ob Sie richtig lagen – also, ob die Aufsichtsbehörden auch zu Ihrem Ergebnis kamen. Alle schulungserfahrenen Datenschutzschützer wissen: Auf diesem Weg liegt der Lernerfolg sicher höher, als bei schnellem Durchlesen der Richtlinie. Und damit Start und Bühne frei für Beispielsfall Nr. 1!

Hinweis: Die Richtlinie ist vom EDSA derzeit nur in englischer Sprache veröffentlicht. Wir verwenden unsere Arbeitsübersetzung.


FALL 1: RANSOMWARE MIT KORREKTEM BACKUP UND OHNE DATENABFLUSS

Die Computersysteme eines kleinen Fertigungsunternehmens wurden einem Ransomware-Angriff ausgesetzt. Der Angreifer hat auf diesen Systemen gespeicherte Daten verschlüsselt. Alle betroffenen Daten waren durch den Verantwortlichen mit einem modernen Verschlüsselungsalgorithmus gesichert. Der Schlüssel wurde bei dem Angriff nicht kompromittiert, das heißt der Angreifer konnte weder auf ihn zugreifen noch ihn indirekt verwenden. Folglich hatte der Angreifer nur Zugriff auf verschlüsselte persönliche Daten.

Das Unternehmen nutzt die Expertise eines externen Cybersecurity-Unternehmens, um den Vorfall zu untersuchen. Protokolle für alle Datenströme, die das Unternehmen verlassen haben (einschließlich ausgehender E-Mails), sind verfügbar. Die Protokolle zeigen keinen Datenfluss nach außen im Zeitraum des Angriffs. Die von der Verletzung betroffenen personenbezogenen Daten betreffen Kunden und Mitarbeiter des Unternehmens, insgesamt einige Dutzend Personen. Ein Backup war sofort verfügbar, und die Daten wurden wenige Stunden nach dem Angriff wiederhergestellt. Die Verletzung hatte keine Auswirkungen auf den täglichen Betrieb. Es gab keine Verzögerungen bei der Bezahlung von Mitarbeitern oder der Bearbeitung von Kundenanfragen.

Drei Fragen stellt und beantwortet der EDSA in der Richtlinie für den Beispielsfall:
(1) Handelt es sich um eine Datenschutzverletzung und besteht eine Pflicht zur internen Dokumentation des Vorgangs?
(2) Ist eine Meldung an die Datenschutz-Aufsichtsbehörde nötig?
(3) Sind auch Betroffene über den Vorfall zwingend zu informieren?


FALL 1: LÖSUNGSHINWEISE

Bevor Sie sich an Fall 1 versuchen und die drei vorstehenden Fragen jeweils mit Ja / Nein beantworten, hier noch einiges „Rüstzeug“:

Für das Verständnis des Begriffs „Datenschutz-Verletzung“ ist Art. 4 Nr. 12 DS-GVO ausschlaggebend. Davon geht auch der EDSA in Richtlinie 01/2021 aus (dort Rn. 4). Eine „Verletzung des Schutzes personenbezogener Daten“ bedeutet demnach: „Eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“ Die Definition ist sprachlich sicher keine Glanzleistung des Gesetzgebers. Kurz formuliert ist eine Datenschutz-Verletzung gegeben, wenn (1) Unbefugte Datenzugriff erhalten (Vertraulichkeit), (2) Daten versehentlich oder unbefugt verändert werden (Integrität) oder (3) der Datenzugriff unbeabsichtigt verloren geht (Verfügbarkeit). Diese drei Aspekte / Dimensionen einer Datenschutz-Verletzung nennt auch die EDSA-Richtlinie 01/2021 und beruft sich dabei auf Richtlinie WP 250 der früheren Art. 29-Gruppe (aus Zeiten der Datenschutz-Richtlinie EG 95/46).

Wer prüft, ob eine Datenschutz-Verletzung vorliegt, muss also stets untersuchen, ob (1) Daten an Unbefugte gelangten und/oder (2) Daten unbefugt/unbeabsichtigt verändert wurden und/oder (3) Daten verloren gingen. Bei dem letztgenannten Aspekt des Datenverlustes „genügt“ bereits eine zeitweise fehlende Verfügbarkeit, wenn sie die Verarbeitungsabläufe stört. Beispiel: In einem Unternehmen mit Geschäftszeiten zwischen 08:00 Uhr und 18:00 Uhr bemerkt die IT 19:00 Uhr ein Verfügbarkeitsproblem und kann den Fehler bis 21:00 Uhr durch Rücksicherung von Daten aus dem vorhandenen Backup beheben. Eine Datenschutz-Verletzung liegt nicht vor, weil die planmäßige Verarbeitung der Daten im Unternehmen nicht beeinträchtigt wird.

Ist keiner der drei Aspekte (Vertraulichkeit, Integrität, Verfügbarkeit) durch einen Datenschutz-Vorfall betroffen, liegt auch keine Datenschutz-Verletzung im Sinne der DS-GVO vor. Meldepflichten nach Art. 33 und 34 DS-GVO scheiden dann von vornherein aus. Wenn mindestens ein Element der Datenschutz-Verletzung bejaht werden muss, ist auf einer weiteren Stufe zu prüfen, ob die dann gegebene Datenschutz-Verletzung mit Risiken für Betroffene verbunden ist. Bejahendenfalls besteht die Meldepflicht nach Art. 33 DS-GVO gegenüber der Aufsichtsbehörde. Sind die Risiken für Betroffene besonders hoch, ist zusätzlich auch sie nach Art. 34 DS-GVO zu informieren.


FAZIT

Nun ist alles Nötige gesagt – prüfen Sie einmal den oben dargestellten Beispielsfall und legen Sie sich fest:
(1) Muss in Fall 1 eine Prüf-Dokumentation erfolgen?
(2) Fordert Fall 1 eine Meldung zur Aufsichtsbehörde gemäß Art. 33 DS-GVO?
(3) Ist die Informationen an Betroffene nach Art. 34 DS-GVO  notwendig?

Wir melden uns am Mittwoch mit der Auflösung und einem weiteren Fall. Wie eingangs versprochen, hier noch der Link zur EDSA-Richtlinie, gleichzeitig aber auch nochmals unsere Bitte, ihn nicht zu nutzen. – Wer beim Üben „schummelt“, zerstört den Lerneffekt!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen