DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (9)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar.


FALL 10: LÖSUNG

Erkennbar hat der EDSA seine Beispielsfälle wieder in der Reihenfolge „vorbildlich“ bis „katastrophal“ sortiert.

Bei Fall 10 führt ein – aus Sicht des Verantwortlichen unvermeidbares – Restrisiko (Einbruch) wegen der sehr guten Sicherheitsvorkehrungen im Ergebnis nicht zu nennenswerten Datenschutz-Problemen. Verfügbarkeit: Die auf den gestohlenen Laptops vorhandenen Daten sind dank Backup beim Verantwortlichen weiter nutzbar. Vertraulichkeit: Durch Verschlüsselung, Passwortschutz und Fernlöschung sind Zugriffe unbefugter Dritter auf die Daten zuverlässig verhindert. Echtheit / Unverfälschtheit: Die Backup-Daten sind von dritter Seite nicht manipuliert.

Der Vorfall ist (natürlich) zu dokumentieren; es besteht aber keine Meldepflicht nach Art. 33 oder 34 DS-GVO.


FALL 11: LÖSUNG

Hier gibt es „Entwarnung“ nur bezüglich Datenintegrität und -verfügbarkeit – dank des vorhandenen täglichen Backups.

Hinsichtlich Vertraulichkeit zeigt der Fall die typischen Gefahren mobiler Datenträger mit großen Speicherkapazitäten: Für mehr als 100.000 betroffene Personen sind Datensätze im Zugriff unbefugter Dritter, wobei nicht einmal der Umfang dieser Datensätze genau bestimmbar ist (weil sich nicht rekonstruieren lässt, welche Daten auf dem gestohlenen Notebook gespeichert waren). Naheliegend leitet der EDSA aus der großen Zahl der Datensätze und ihrem vergleichsweise jeweils großen Umfang (Namen und Vornamen, Geschlecht und Adresse, Geburtsdaten) die Gefahr des Identitätsdiebstahls ab, schließt daher auf ein großes Risiko und bejaht eine Meldepflicht sowohl nach Art. 33 DS-GVO als auch nach Art. 34 DS-GVO.


FALL 12: LÖSUNG

Alle drei Aspekte einer Datenschutzverletzung sind geradezu beispielhaft „umgesetzt“:
– Die gestohlenen Daten können mangels Backups beim Verantwortlichen nicht wiederhergestellt (nur: soweit möglich neu erhoben) werden.
– Sie befinden sich vollständig in den Händen unbefugter Dritter.
– Dabei besteht das Potenzial der Datennutzung (mit oder ohne Daten-Änderungen).

Für die Betroffenen handelt es sich um eine echte Katastrophe. Eminent wichtige, hochpersönliche Daten, aus deren Bekanntwerden existenzielle Probleme z.B. im familiären und beruflichen Umfeld entstehen können, sind außer Kontrolle geraten. Darüber hinaus ist auch die weitere bestmögliche medizinische Behandlung durch den Datenverlust gefährdet.

Es bestehen Meldepflichten sowohl nach Art. 33 DS-GVO gegenüber der Aufsichtsbehörde als auch nach Art. 34 DS-GVO gegenüber den Betroffenen.

Ein „Zusatzpunkt“ bei der Lösung von Fall 12 geht an alle, die kurz überlegt haben, ob beim handschriftlichen „Logbuch“ überhaupt der Anwendungsbereich der DS-GVO eröffnet ist! Art. 2 Abs. 1 DS-GVO beantwortet die Frage mit „Ja“, weil ein „Dateisystem“ schon vorliegt bei der geordneten Speicherung von Informationen [hier: nach Tagen und / oder Patienten].

Die nächsten vier Fälle der EDSA-Richtlinie behandeln fehladressierte Nachrichten:


FALL 13: VERSANDFEHLER

Zwei Bestellungen für Schuhe werden von einem Versandunternehmen abgefertigt. Durch menschliches Versagen werden die Adressen verwechselt, so dass Schuhe und zugehörige Packscheine die jeweils falsche Person erreichen. Die beiden Kunden erhalten also die Bestellungen des jeweils anderen einschließlich der Packscheine, auf denen sich persönliche Adressdaten befinden. Nach Bekanntwerden des Fehlers ruft der Verantwortliche die Lieferungen zurück und schickt sie an die richtigen Empfänger.


FALL 14: SENSIBLE PERSONENBEZOGENE DATEN VERSEHENTLICH PER E-MAIL VERSCHICKT

Eine Arbeitsbehörde schickt eine E-Mail-Nachricht – über bevorstehende Schulungen – an Personen, die in ihrem System als Arbeitssuchende registriert waren. Versehentlich wird dieser E-Mail ein Dokument angehängt, das persönliche Daten aller (mehr als 60.000) kontaktierten Arbeitssuchenden enthält (Name, E-Mail-Adresse, Postanschrift, Sozialversicherungsnummer). Daraufhin bittet das Amt alle Empfänger, die Nachricht zu löschen und die darin enthaltenen Informationen nicht zu verwenden.


FALL 15: PERSONENBEZOGENE DATEN VERSEHENTLICH PER E-MAIL VERSCHICKT

Eine Teilnehmerliste für einen Kurs in Rechtsenglisch, der 5 Tage lang in einem Hotel stattfindet, wird versehentlich an 15 ehemalige Teilnehmer des Kurses statt an das Hotel geschickt. Die Liste enthält Namen, E-Mail-Adressen und Essensvorlieben der 15 Teilnehmer. Nur zwei Teilnehmer haben letztere ausgefüllt und angegeben, dass sie laktoseintolerant sind. Der Verantwortliche entdeckt den Fehler sofort nach Versenden der Liste, informiert die Empfänger über den Fehler und bittet sie, die Liste zu löschen.


FALL 16: KUVERTIER-FEHLER

Ein Versicherungskonzern bietet Kfz-Versicherungen an. Dazu verschickt er regelmäßig angepasste Beitrags-Policen per Post. Der Brief enthält neben dem Namen und der Adresse des Versicherungsnehmers das Kfz-Kennzeichen, die Versicherungstarife des laufenden und des nächsten Versicherungsjahres, die ungefähre Jahreskilometerleistung und das Geburtsdatum des Versicherungsnehmers. Gesundheitsdaten gemäß Artikel 9 DS-GVO, Zahlungsdaten (Bankverbindung), Wirtschafts- und Finanzdaten sind nicht enthalten. Die Briefe werden durch Kuvertiermaschinen verpackt. Aufgrund eines mechanischen Fehlers gelangen zwei Briefe für unterschiedliche Versicherungsnehmer in einen Umschlag und werden per Briefpost an einen Versicherungsnehmer versandt.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Verlust
Lesen

DIE NEUEN STANDARDVERTRAGSKLAUSELN

Am 04. Juni 2021 hat die Europäische Kommission die überarbeiteten Standardvertragsklauseln verabschiedet. Nach dem sogenannten „Schrems II“-Urteil des Europäischen Gerichtshofes (EuGH) bilden die bisherigen Standardvertragsklauseln den wesentlichen Baustein für die Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Darüber hinaus sind nach Urteil des EuGH ergänzend zu diesen im Rahmen eines Drittlandtransfers weitere geeignete Garantien zu treffen, welche ein adäquates Datenschutzniveau gewährleisten können. Dies sorgte in den vergangenen Monaten insbesondere im Rahmen der Inanspruchnahme US-amerikanischer Dienstleister verbreitet für erhebliche Rechtsunsicherheiten.  Die neuen Standardvertragsklauseln sollen hierbei unter Berücksichtigung der Anforderungen  des EuGH-Urteils „unkomplizierte“ Abhilfe schaffen. Doch ist dem wirklich so?


WAS SIND STANDARDVERTRAGSKLAUSELN?

Im Falle einer Übermittlung personenbezogener Daten an ein datenschutzrechtliches Drittland – also einem Land außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR) – oder an internationale Organisationen, richtet sich die Rechtmäßigkeit der Verarbeitung neben den allgemeinen Grundsätzen ebenfalls nach den besonderen Bestimmungen des Kapitel V der Datenschutz-Grundverordnung (DS-GVO). Die Übermittlung kann nach diesem Kapitel unter anderem dann zulässig sein, sofern geeignete Garantien nach Art. 46 DS-GVO vorliegen. Hierzu gehören gemäß Art. 46 Abs. 2 lit. c DS-GVO die sogenannten Standarddatenschutzklauseln, auch Standardvertragsklauseln genannt. Diese werden in einem Prüfverfahren durch die Europäische Kommission erlassen.

Bei Standardvertragsklauseln handelt es sich um eine besondere vertragliche (Muster-)Vereinbarung zwischen datenübermittelnder und datenempfangender Stelle, im Rahmen derer – ähnlich wie in Verträgen zur Auftragsverarbeitung – datenschutzrechtliche Rechten und Pflichten festgelegt werden. Hierdurch wird eine Vereinheitlichung des hohen Datenschutzniveaus auf beiden Seiten angestrebt. Im Rahmen des „Schrems II“-Urteils konstatierte der EuGH jedoch, dass ein solches Datenschutzniveau nicht allein durch ein Abkommen oder vertragliche Regelungen erreicht werden könne. Es bedürfe darüber hinaus weiterer geeigneter Garantien, welche die weitreichenden Zugriffsmöglichkeiten von Ermittlungsbehörden oder anderer staatlicher Einrichtungen einschränken. Als gängiges Beispiel ist hierbei die Gewährleistung der Verschlüsselung personenbezogener Daten zu nennen.

In der Praxis stieß die Anforderung an weitere geeignete Garantien auf allgemeine Verunsicherung, solche lassen sich nur sehr schwer oder kaum umsetzen. Zu Teilen ist gänzlich unklar, ob und wie ein rechtskonformer Einsatz von entsprechenden Dienstleistern erfolgen kann. Doch die neuen Standardvertragsklauseln sollen  genau an diesem Punkt ansetzen, sodass ein „höchstmögliches Niveau an Rechtssicherheit“ erreicht werden kann.


WAS BEINHALTEN DIE NEUEN STANDARDVERTRAGKLAUSELN?

Mit Veröffentlichung der neuen Standardvertragsklauseln durch die Europäische Kommission, treten diese am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft (Art. 4 Abs. 1 des Durchführungsbeschlusses 2021/914 der Kommission). Neben den Standardvertragsklauseln für Datenübermittlungen an Drittländer wurde ebenfalls eine Version für Datenübermittlungen innerhalb der EU und des EWR bereitgestellt. Die Nutzung dieser bietet sich beispielsweise an, wenn sowohl Verantwortlicher als auch Auftragsverarbeiter auf den Abschluss eines „neutralen“ Vertrages zur Auftragsverarbeitung bestehen (vgl. Erwägungsgrund 81 Satz 4 zur DS-GVO).

Waren die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer in den Versionen „Verantwortlicher – Auftragsverarbeiter“ und „Verantwortlicher – Verantwortlicher“ verfügbar, erscheinen die neuen Standardvertragsklauseln hingegen nur in einer Version. Dafür bieten diese einen neuen modularen Aufbau, welcher es ermöglicht, dass ein jeweils auf den Einzelfall angepasstes Vertragswerk erstellt werden kann. Neben den bereits genannten Konstellationen finden sich ebenfalls Module für Datenübermittlungen von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter sowie von einem Auftragsverarbeiter an einen Verantwortlichen. Weiterhin können von nun an auch Festlegungen hinsichtlich des anwendbaren Rechts sowie hinsichtlich des Gerichtsstandes getroffen und leichter weitere Vertragspartner in die Regelungen aufgenommen werden.

Gänzlich neu ist die Implementierung des risikobasierten Ansatzes, welcher insbesondere den Anforderungen des „Schrems II“-Urteils des EuGH gerecht werden soll. Hierbei ist vor Vertragsschluss eine Dokumentation hinsichtlich der beteiligten Akteure, der Art und Sensibilität der zu verarbeitenden personenbezogenen Daten, der jeweiligen rechtlichen Rahmenbedingungen im Drittland sowie die diesbezüglich getroffenen vertraglichen, technischen oder organisatorischen Garantien, vorzunehmen. Zu letztgenannten Punkt sind die Empfehlungen des Europäischen Datenschutzausschusses (EDSA) zu „Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus von personenbezogenen Daten“ vom 10. November 2020 lesenswert. Derartige Garantien müssen grundsätzlich geeignet sein, einem möglichen Zugriff auf personenbezogene Daten von staatlichen Behörden entgegenzuwirken.

Sollte eine staatliche Behörde dennoch einen Datenzugriff (erkennbar) beabsichtigen, so hat der Dienstleister im Drittland den bzw. die Vertragspartner hierüber umgehend zu informieren. Darüber hinaus obliegt es dem Dienstleister die Rechtmäßigkeit für einen solchen Zugriff zu überprüfen und gegebenenfalls dagegen rechtlich vorzugehen. Sollten ihm derartige Maßnahmen unmöglich sein, so sind die Vertragspartner hierüber in Kenntnis zu setzen und das jeweilige Vorgehen ist dokumentiert nachzuweisen.  

Ergänzend sei erwähnt, dass wie bereits bei den bisherigen Standardvertragsklauseln auch im Rahmen der neuen Version keine Veränderungen, jedoch Ergänzungen von vertraglichen Regelungen vorgenommen werden können.


WIE KANN EINE UMSETZUNG ERFOLGEN?

Im Rahmen von neuen Vertragsschlüssen dürfen die bisherigen Standardvertragsklauseln nur noch bis September 2021 verwendet werden (vgl. Art. 4 Abs. 2, 3 des Durchführungsbeschluss 2021/914 der Kommission). Bis Dezember 2022 sind darüber hinaus in sämtlichen Vertragsverhältnissen die neuen Standardvertragsklauseln zur Anwendung zu bringen (vgl. Art. 4 Abs. 4 des Durchführungsbeschluss 2021/914 der Kommission). Für verantwortliche Stellen ergibt sich somit eine maximale Umsetzungsfrist von 18 Monaten. Hierbei empfehlen wir folgendes Vorgehen:

– Evaluierung eingesetzter Dienstleister mit Bezug zu einem Drittland. Dieser kann bereits dann gegeben sein, wenn es sich bei dem Dienstleister um ein Tochterunternehmen eines in einem Drittland ansässigen Mutterunternehmens handelt;

– Durchführung einer Risikoabschätzung für den jeweiligen Einzelfall unter Beachtung der oben aufgeführten Kriterien. Fällt diese positiv aus, kann ein Abschluss der neuen Standardvertragsklauseln erfolgen;

– Auswahl der erforderlichen Module sowie gegebenenfalls Ergänzung von vertraglichen Regelungen und Zusendung der Standardvertragsklauseln an den Dienstleister im Drittland zur Unterzeichnung.


ÜBERPRÜFUNG DURCH AUFSICHTSBEHÖRDEN

Auch wenn den verantwortlichen Stellen eine Übergangsfrist von 18 Monaten gewährt wird, empfiehlt sich die zeitnahe Anwendung der neuen Standardvertragsklauseln unter Durchführung des dargestellten Verfahrens. Eine Vielzahl datenschutzrechtlicher Aufsichtsbehörden überprüfen derzeit bundesländerübergreifend bei verantwortlichen Stellen die Gewährleistung einer rechtskonformen Übermittlung personenbezogener Daten in Drittländer. Hierbei werden insbesondere die Umsetzung der Anforderungen aus dem „Schrems II“-Urteil sowie hinsichtlich der oben genannten empfohlenen Maßnahmen des EDSA überprüft.


FAZIT

Zusammenfassend lässt sich festhalten, dass die neuen Standardvertragsklauseln das in den letzten Monaten bereits etablierte Vorgehen im Zusammenhang mit einem Einsatz von Dienstleistern in datenschutzrechtlichen Drittländern aufgreift und in einen (zunächst) rechtssicheren Rahmen packt. Der bisherige Aufwand wird hierdurch jedoch keinesfalls reduziert, die Verpflichtung zur Erstellung einer umfangreichen Dokumentation verbleibt. Unklar bleibt jedoch, für welchen Zeitraum die neuen Standardvertragsklauseln tatsächlich Rechtssicherheit bringen. Die Organisation noyb des Gründers Max Schrems äußerte sich hierzu bereits teilweise kritisch.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • EuGH
  • Europäischer Datenschutzausschuss
  • Risikobasierter Ansatz
  • Schrems II
  • Standardvertragsklauseln
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (8)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar.


FALL 8: LÖSUNG

Der EDSA betont, dass die entwendeten Daten (Adressen) grundsätzlich nicht sensibel sind und für die Betroffenen keine hohen Risiken entstehen. Je nach Einzelfall kann sich dies anders verhalten. So war die Datenpanne bei LEDGER auch für jene Kunden problematisch, bei denen „nur“ Adressdaten in unbefugte Hände gerieten. Wegen des betroffenen Produkts – Bitcoin-Valets – ist für Angreifer erkennbar, dass tendenziell die Wohnanschriften wohlhabender Personen erfasst sind.

Zugunsten des Verantwortlichen vermerkt der EDSA außerdem, dass der Angreifer (ehemaliger Mitarbeiter) die Adressdaten offenbar „nur“ für Werbezwecke nutzen wolle, allerdings wird auch angemerkt, dass insoweit ein Restrisiko weitergehender Missbräuche verbleibt. Die Daten sind „außer Kontrolle“. Ganz lebensnah wird vom EDSA festgestellt, bei Versuchen, sie wieder unter Kontrolle zu bringen – z.B. durch Aufforderungen oder gerichtliche Verfahren gegen den ehemaligen Mitarbeiter – sei der Erfolg „bestenfalls zweifelhaft“, Rdnr. 75 EDSA-Richtlinie.

Im konkreten Fall verbleiben keine hohen, aber doch Risiken. Folglich: Dokumentation notwendig, Meldung nach Art. 33 DS-GVO notwendig, Meldung nach Art. 34 DS-GVO entbehrlich (EDSA-Richtlinie, Rdnr. 77: Mitteilung an die Betroffenen vielleicht dennoch aus Imagegründen sinnvoll für den Verantwortlichen). Als mögliche Schutzvorkehrung wird empfohlen, Vertraulichkeitsklauseln in Arbeitsverträge aufzunehmen und gekündigten Mitarbeitern Zugriffsrechte zu entziehen. Beide Maßnahmen sind natürlich nicht immer wirksam. Das ist aber kein Grund, auf sie zu verzichten.


FALL 9: LÖSUNG

Fall Nr. 9 behandelt einen „Klassiker“ aus der Praxis: Personenbezogene Daten werden von Verantwortlichen versehentlich unbefugten Dritten offengelegt. In diese Fallgruppe gehören nicht nur (wie im Beispiel) falsch gewählte Dateianhänge und fehlerhafte Rechtevergaben, sondern auch die in der Praxis häufigen Fehladressierungen (bei traditionellen Briefen ebenso wie bei E-Mail und Telefax). Der EDSA bestätigt in seiner Falllösung, dass auch aus seiner Sicht insoweit gilt: Für das mit der Datenschutzverletzung entstehende Risiko ist entscheidend, welchen Personen die Daten versehentlich offengelegt wurden. Handelt es sich um vertrauenswürdige, dem Verantwortlichen gegenüber kooperative Dritte? Oder sind es völlig Unbekannte, deren Verhalten der Verantwortliche schwer beziehungsweise gar nicht prognostizieren kann?

Der Vorgang betrifft nicht die Integrität und Verfügbarkeit, sondern „nur“ die Vertraulichkeit der Daten. Wenn eine Weiterverwendung der Daten durch den unbeabsichtigten Empfänger mit guten Gründen ausgeschlossen werden kann, bestehen nicht nur keine hohen Risiken (Art. 34 DS-GVO), sondern – auch nach Ansicht des EDSA – gar keine Risiken (folglich auch keine Meldepflicht gemäß Art. 33 DS-GVO). Ist das Verhalten des Datenempfängers nicht vorhersehbar, so wird jedenfalls eine Meldung nach Art. 33 DS-GVO notwendig sein. Reagiert dieser Empfänger auf Lösch-Anforderungen des Verantwortlichen nicht oder gibt es sonstige Gründe, am rechtskonformen Verhalten des Empfängers zu zweifeln, wird auch eine Information der Betroffenen nach Art. 34 DS-GVO stattfinden müssen. Lösung im konkreten Fall: interne Dokumentation des Vorgangs, keine Meldung an Aufsichtsbehörde oder Betroffene.

Die EDSA-Richtlinie verlässt damit den Bereich der Datenschutz-Verletzungen durch vorsätzliches oder fahrlässiges Verhalten von Beschäftigten und gibt (in Rdnr. 84) noch diesbezügliche Präventions-Empfehlungen. Neben sehr allgemeinen Ratschlägen („Einführung robuster und effektiver Datenschutzregeln, -verfahren und -systeme“), finden sich bekannte und bewährte Vorgaben:
– differenzierte Rechtevergabe,
– unverzüglicher Rechteentzug bei Ausscheiden von Beschäftigten,
– Prüfung unüblicher/auffälliger Datenflüsse,
– Clean-Desk-Policy,
– Bildschirmsperren.

Im nächsten Schritt widmen wir uns mit dem EDSA gestohlenen elektronischen und Papier-Dokumenten.


FALL 10: GESTOHLENE GERÄTE MIT VERSCHLÜSSELTEN PERSÖNLICHEN DATEN

Bei einem Einbruch in eine Kindertagesstätte wurden zwei Tablets gestohlen. Die Tablets enthielten eine App mit Daten der betreuten Kinder (Name, Geburtsdatum, Bildung). Die Daten auf beiden Tablets (zum Zeitpunkt des Einbruchs ausgeschaltet) waren verschlüsselt, die App mit einem starken Passwort geschützt. Ein Backup der Daten war verfügbar. Per Fernzugriff wurde Löschbefehl für die Daten auf den Tablets erteilt.


FALL 11: GESTOHLENES GERÄT MIT UNVERSCHLÜSSELTEN DATEN

Das Notebook des Mitarbeiters eines Dienstleistungsunternehmens wurde gestohlen. Es enthielt Namen, Vornamen, Geschlecht, Adressen und Geburtsdaten von mehr als 100.000 Kunden. Es war nicht zu klären, ob auch andere Kategorien von persönlichen Daten betroffen waren. Der Zugriff auf die Festplatte des Notebooks war nicht durch ein Passwort geschützt. Persönliche Daten konnten aus täglich verfügbaren Backups wiederhergestellt werden.


FALL 12: GESTOHLENE PAPIERAKTEN MIT SENSIBLEN DATEN

Aus einer Reha-Einrichtung für Drogenabhängige wurde ein offen „herumliegendes“ Papier-„Logbuch“ gestohlen. Das Buch enthielt Identitäts- und Gesundheitsdaten der Patienten, die in die Reha-Einrichtung aufgenommen wurden. Die Daten waren nur auf Papier gespeichert und den behandelnden Ärzten stand keine Sicherungskopie zur Verfügung.

Abschließend an dieser Stelle eine Ermunterung zu Feedback und Rückfragen: Ist die EDSA-Richtlinie aus Ihrer Sicht für die Praxis hilfreich? Welche Punkte fehlen oder welchen Positionen würden Sie widersprechen? Ihnen allen einen guten Start in den Sommer!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigte
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (7)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar.


FALL 6: LÖSUNG

Zunächst zu Fall 6: Die erste der drei Standard-Fragen (Dokumentation? Meldung nach Art. 33 DSGVO? Meldung nach Art. 34 DSGVO?) ist am schnellsten beantwortet: Der Vorfall muss natürlich dokumentiert werden.

Hinsichtlich der Meldepflichten nach Artt. 33 und 34 DS-GVO gilt die Grundaussage der Datenschutz-Aufsichtsbehörden, dass bei Datenverschlüsselung auf aktuellem Stand der Technik selbst ein Abhandenkommen der Daten kein Risiko für Betroffene begründet. Damit scheiden im vorliegenden Fall Meldepflichten sowohl gegenüber den Aufsichtsbehörden als auch (erst recht) gegenüber den Betroffenen aus.

Übrigens: Wie bei Grundsätzen meist, gibt es auch von diesem Grundsatz Ausnahmen. Falls „auf aktuellem Stand der Technik“ verschlüsselte Daten abhandenkommen, aber damit gerechnet werden muss, dass die Daten immer noch „interessant“ und missbrauchbar sind, wenn Jahre später durch technischen Fortschritt die Entschlüsselung für die Angreifer möglich sein wird, ergeben sich durchaus Risiken für künftigen Missbrauch und folglich – in solchen Ausnahmefällen – unter Umständen auch Meldepflichten. Nötig sind also zwei Prognosen: Wann wird die heute „sichere“ Verschlüsselung überwindbar? Und geht von der unbefugten Datennutzung dann noch Gefahr aus?

Ungeachtet nicht bestehender Meldepflichten hat auch im geschilderten Fall der Verantwortliche natürlich die vom Angreifer ausgenutzten Schwachstellen zu beseitigen. Die nach der Fallschilderung freiwillig erfolgte Information an Betroffene mit der Aufforderung zur Änderung des Passwortes wird vom EDSA als – obwohl nicht gesetzlich geschuldet – „guter Praxis entsprechend“ ausdrücklich gelobt (Richtlinie, Textziffern 59 und 62).


FALL 7: LÖSUNG

Bei Fall 7 wird natürlich ebenfalls eine interne Dokumentation benötigt. Die Datenschutzverletzung betrifft den Aspekt der Vertraulichkeit. Sehr nachvollziehbar leitet der EDSA im konkreten Fall die besondere Qualität des Angriffs und das besondere Risiko für die Betroffenen aus den vom Angreifer „erbeuteten“ bank- und vermögensrelevanten Informationen ab (Steuernummer, Benutzerkennung, für die Gruppe von etwa 2000 Bankkonten außerdem sogar Zugangspasswort). Auch bei der sehr großen Betroffenengruppe (ca. 100.000 Personen), von denen der Angreifer das Passwort nicht „erraten“ konnte, wurde ein umfangreicher Datensatz offenbart. Die Zusammengehörigkeit der verschiedenen Daten ermöglicht oder erleichtert künftige Attacken gegen diese Betroffenen bis hin zum Identitätsdiebstahl (Name und Vorname, Geschlecht, Geburtsdatum und -Ort, Steuernummer, Benutzerkennung bei der konkreten Bank).

Aus dem Risiko für die Betroffenen ergibt sich deshalb sowohl eine Meldepflicht an die Aufsichtsbehörde, als auch gegenüber dem Betroffenen und zwar auch gegenüber den bisher nicht informierten ca. 100.000 Betroffenen, bei denen der Bankzugang nicht offenbart wurde! Generell empfiehlt der EDSA (Textziffer 70 der Richtlinie) eine ganze Reihe von Schutzmaßnahmen gegen Hacker-Angriffe, die bei tatsächlichen Attacken (unabhängig von deren Erfolg) jeweils überprüft und gegebenfalls angepasst / aktualisiert werden sollten. Auch erfolglose Hacker-Angriffe sind ja jedenfalls ein Zeichen dafür, dass die IT-Systeme des Verantwortlichen für Angreifer „Interesse besitzen“.

Zu den Maßnahmen gehören:
– Verschlüsselung und Schlüssel-Management nach „Stand der Technik“, möglichst kein Passwort-Transfer zu den jeweiligen Anwendungen / Datenbanken, sondern Authentifikation z.B. durch Hashwert-Abgleich,
– Verwendung aktueller Soft- und Firmware mit Protokollierung der Update-Zeitpunkte,
– 2-Faktor-Authentifikation,
– Standardisierung der Nutzerzugriffe (Verwendung von White-Listen, also Limitierung des Nutzungsumfangs, soweit praktikabel), außerdem Beschränkung der Zahl der Authentifikations-Versuche,
– Firewall- und Penetrations-Tests,
– Regelmäßige Backups und Rücksicherungs-Versuche.

Damit verlassen wir zunächst den Bereich der Angriffe „von außen“ und befassen uns mit Attacken „von innen“. Für Datenschutz-Verletzungen durch Personen „aus dem Lager des Verantwortlichen“ behandelt der EDSA in den Fällen 8 und 9 der Richtlinie zwei grundverschiedene Konstellationen, nämlich einerseits den absichtlichen Angriff eines „bösen“ Internen, andererseits das Nutzer-Versehen, also die „klassische“, fahrlässige Datenverarbeitungs-Panne eines Mitarbeiters.


FALL 8: EXFILTRATION VON GESCHÄFTSDATEN DURCH EINEN EHEMALIGEN MITARBEITER

Der Mitarbeiter eines Unternehmens kopiert während seiner Kündigungsfrist Geschäftsdaten aus der firmeneigenen Datenbank, zu der er zugriffsberechtigt ist und die er zur Erfüllung seiner Arbeitsaufgaben benötigt. Monate später nutzt er die so gewonnenen Daten (vor allem Adressdaten), um die Kunden des Unternehmens zu kontaktieren und für sein neues Geschäft zu werben.

und – tatsächlich ein „Klassiker“ –


FALL 9: FEHLERHAFTE RECHTEVERGABE

Ein Versicherungsvertreter bemerkt, dass er – durch fehlerhafte Einstellungen einer per E-Mail erhaltenen Excel-Datei – auf Informationen von zwei Dutzend Kunden zugreifen kann, die nicht zu seinem Bereich gehören. Er war der einzige Empfänger der E-Mail. Die Vereinbarung zwischen dem für die Datenverarbeitung Verantwortlichen und dem Versicherungsvertreter verpflichtet den Vertreter zur Vertraulichkeit und zur Meldung von Datenpannen an den Verantwortlichen. Der Vertreter weist auf den Fehler hin und der Verantwortliche sendet ihm eine korrigierte Datei-Fassung mit der Bitte, die vorherige Nachricht zu löschen. Nach der internen Regelung muss der Vertreter die Löschung in einer schriftlichen Erklärung zu bestätigen; auch dies setzt der Vertreter korrekt um. Betroffen waren keine besonderen Kategorien von personenbezogenen Daten, sondern Kontaktdaten und Daten über die Versicherung selbst (Versicherungsart, Betrag).

Ihnen alle eine angriffs- und pannenfreie Woche!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Hacking
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (6)

Ergebnis zu Fall 5 aus Sicht des EDSA vorab und Erläuterung anschließend: Der Vorgang ist intern zu dokumentieren. Außerdem ist jedoch auch die Meldung an die Aufsichtsbehörde und sogar die Mitteilung an die möglicherweise Betroffenen notwendig. Im Detail:


FALL 5: LÖSUNG

Neben der selbstverständlichen internen Dokumentation ist sicher auch die Bejahung einer Meldepflicht an die Aufsichtsbehörde nach Art. 33 DS-GVO nachvollziehbar: Der Vorfall hat zwar die Datenverfügbarkeit für den Verantwortlichen nicht berührt und die Daten auch nicht verfälscht (die korrekten Bewerbungsdaten blieben für den Verantwortlichen ja weiter erhalten und nutzbar). Die Datenschutz-Vorgaben zur Vertraulichkeit (Schutz personenbezogener Daten gegen Zugriff unbefugter Dritter) sind jedoch ganz klar und sehr erheblich verletzt. Auch Risiken für betroffene Personen sind weder komplett auszuschließen, noch vernachlässigbar klein.

Weniger eindeutig ist die Entscheidung zu Art. 34 DS-GVO (Benachrichtigung der Betroffenen selbst): Der EDSA folgert eine entsprechende Benachrichtigungspflicht (in Rn. 55 der Richtlinie) daraus, dass die konkrete Datenschutzverletzung „wahrscheinlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen begründet“. Dies ist noch kein Argument, sondern nur eine Wiederholung des Wortlauts von Art. 34 DS-GVO. Etwas mehr „Substanz“ findet sich in Rn. 53: „Obwohl keine besonderen Kategorien personenbezogener Daten betroffen waren, enthalten die offenbarten Daten wesentliche Informationen über die Personen aus den Online-Formularen und könnten in verschiedener Weise missbraucht werden (Zusendung unerwünschter Werbung, Identitätsdiebstahl etc.)“.

Die „Zusendung unerwünschter Werbung“ stellt wohl kaum ein „hohes Risiko für die Rechte und Freiheiten“ dar. Identitätsdiebstahl allerdings kann erhebliche Nachteile und Schäden verursachen. Wenn die konkret betroffenen Datensätze dem Angreifer wirklich solche Wege öffnen, ist die Bejahung einer Informationspflicht der Betroffenen gemäß Art. 34 DS-GVO nachvollziehbar. Leider hat der EDSA bei der Fall-Schilderung die konkreten Datenarten nicht mitgeteilt, so dass seine Schlussfolgerung in diesem Punkt nicht prüfbar ist. Etwas pointierter: Der Sachverhalts-Bericht des EDSA zu Fall 5 genügt nicht den Anforderungen aus Art. 33 Abs. 3 und Art. 34 Abs. 2 DS-GVO.

Damit weiter zu Fall Nr. 6 und Nr. 7 im „Doppelpack“:


FALL 6: UNBEFUGTER ZUGRIFF AUF GEHASHTE PASSWÖRTER

Eine SQL-Injection-Schwachstelle wurde ausgenutzt, um Zugriff auf die Datenbank eines Web-Servers zu erlangen. Die in der Datenbank gespeicherten 1.200 Passwörter (Zugangs-Kennungen für die Nutzer eines Internetportals mit Koch-Rezepten) wurden mit einem starken Algorithmus gehasht; der Schutz wurde nicht kompromittiert. Der für die Verarbeitung Verantwortliche hat die betroffenen Personen sicherheitshalber per E-Mail über die Sicherheitsverletzung informiert und aufgefordert, ihre Passwörter zu ändern, insbesondere wenn das gleiche Passwort auch für andere Dienste verwendet wird.


FALL 7: ANGRIFF AUF ONLINE-BANKING-ANGEBOT

Beim Angriff auf ein Online-Banking-Portal wurden für ca. 100.000 Personen Informationen (teils Vorname, Nachname, Geschlecht, Geburtsdatum und -ort, Steuernummer, Benutzerkennung) an den Angreifer weitergegeben. Außerdem loggte sich der Angreifer erfolgreich in etwa 2.000 Konten, die ein Trivialpasswort verwendeten. Die Bank konnte alle unrechtmäßigen Anmeldeversuche identifizieren. Während des Angriffs erfolgten keine Transaktionen von diesen Konten. Die Bank reagierte durch Abschalten der Website und erzwungenes Zurücksetzen der Passwörter der kompromittierten Konten. Nur die Benutzer mit den kompromittierten Konten wurden informiert.

Ihre Meinung?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Hacking
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (5)

Fall 4 aus dem Beispiels-Set des Europäischen Datenschutz-Ausschusses (EDSA) dürfte als Lehrbuch- und Übungsfall keine Probleme bereitet haben. Im wahren Leben würde er natürlich enorme Arbeit verursachen.


FALL 4: LÖSUNG

Sowohl die Vertraulichkeit der Daten wurde durch die Datenschutzverletzung aufgehoben (Datenexport durch einen unbekannten, unbefugten Dritten), als auch Integrität und Verfügbarkeit gestört (Änderung der Daten durch unbefugte Verschlüsselung, infolge ebenfalls betroffener Backup-Dateien endgültiger Datenverlust beim Verantwortlichen). Angesichts der betroffenen Datenkategorien (Ausweisnummern, Finanzdaten / Kreditkartendaten) müssen die Betroffenen Kenntnis vom Datenabfluss erhalten, dies schon wegen der für den Angreifer eröffneten Missbrauchsmöglichkeiten. Im Ergebnis also tatsächlich „das volle Programm“: Interne Dokumentation, Meldung an die Aufsichtsbehörde und Benachrichtigung der Betroffenen.

Bevor die EDSA-Richtlinie an dieser Stelle die „Fallgruppe Ransomware“ verlässt, gibt sie (in Textziffer 49 der Richtlinie) Empfehlungen für einen bestmöglichen Schutz gegen Ransomware-Attacken. Auch wenn Verantwortliche nicht alle Maßnahmen vollständig umsetzen, gilt – wie im Datenschutz so häufig: Verantwortliche sollten sich „bewegen“, also Schritt für Schritt Sicherheit erhöhen und bei ihrer Kosten/Nutzen-Betrachtung das Risiko von Cyber-Attacken nicht geringschätzen. Empfehlungen des EDSA sind unter anderem:
– Firmware, Betriebssystem und Anwendungssoftware auf Servern, Clients und sämtlichen Netzwerkkomponenten aktuell halten.
– Geeignete Teile des Netzwerks segmentieren oder isolieren, um die Verbreitung von Malware zu behindern.
– Back-up-Verfahren einführen und regelmäßig testen, einschließlich mittel- und langfristiger Backups auf separaten (vom Netzwerk getrennten) Speichermedien.
– Verwendung aktueller Software zur Malware-Erkennung.
– Einrichtung einer aktuellen, effektiven Firewall und Sicherstellung, dass die gesamte Netzwerk-Kommunikation mit dem Internet über diese Firewall verläuft (einschließlich des Zugriffs z.B. im Home-Office beschäftigter Mitarbeiter).
– Schulung der Mitarbeiter zur Erkennung und Vermeidung von Malware.
– Sorgfältige Analyse des Schadcodes im Falle einer tatsächlichen Attacke. Der EDSA verweist hier auch auf die Software des Projekts „no more ransom“: nomoreransom.org.
– Vollständige Protokollierung auf einem zentralen Logserver mit Zeitstempeln der Einträge.
– Zuverlässige Verschlüsselung oder Authentifizierung insbesondere für administrative Zugriffe.
– Regelmäßige Pen-Tests.
– Bildung eines Notfall-Teams beim Verantwortlichen oder Anschluss an organisationsübergreifende entsprechende Strukturen für IT-Sicherheits-Vorfälle.
– „Lernen aus Fehlern“: Anpassung der Schutzmaßnahmen nach Sicherheitsvorfällen.

Damit verlassen wir in Begleitung des EDSA den Bereich der Ransomware-Attacken und befassen uns für die nächsten drei Fälle mit Hacking aus Datenschutz-Sicht: unbefugtem Datenzugriff/Datenexport durch Dritte.


FALL 5: ZUGRIFF AUF BEWERBUNGSDATEN VON EINER INTERNETSEITE

Auf der Internetseite einer Personalvermittlung wurde Schadcode installiert, der unbefugten Dritten ermöglichte, auf dem Webserver gespeicherte Online-Bewerbungsdaten abzurufen. Der Vorfall wurde einen Monat später bemerkt. 213 Bewerbungen waren möglicherweise betroffen; besondere Kategorien personenbezogener Daten nicht involviert.

Ihre Meinung?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (4)

Fall 3 bewegte sich wieder im Bereich „Ransomware“ (Emotet und Co.). Dies wird auch für Fall 4 zutreffen, bevor wir uns gemeinsam mit dem EDSA ab Fall 5 anderen Bereichen zuwenden. Die Abhandlung von vier Beispielsfällen zu Ransomware-Attacken in der EDSA-Richtlinie ist gut begründbar, nachdem in den letzten Monaten und Jahren gerade dieser Bereich für ein relativ hohes Aufkommen an Datenschutzverletzungen gesorgt hat.

Durch den Vergleich der verschiedenen Fallvarianten verdeutlicht der EDSA außerdem, in welchen Konstellationen eine verantwortliche Stelle trotz Attacken relativ risiko- und störungsfrei bleibt. Zu den klaren Empfehlungen insoweit gehört sicher:
– möglichst vollständige Protokollierung von Datenexporten,
– Abschottung und Verinselung von IT-Systemen, sofern ohne Einbußen an Funktionalität möglich,
– Verschlüsselung von Daten nach aktuellem Stand der Technik, wenn ohne Funktionseinbuße durchführbar (z.B. bei Backup-Daten),
– zeitnahe und vollständige Backups, die gegen übergreifende Ransomware abgeschottet sind.


FALL 3: LÖSUNG

Vertraulichkeit: Die Analyse des Datenschutz-Vorfalls ergab keine unbefugten Daten-Exporte. Insoweit kann auf die Überlegungen bei Fall 2 zurückgegriffen werden: Für eine genaue Risiko-Abschätzung ist enorm wichtig, wie lückenlos das betroffene System Datenabflüsse protokolliert und wie zuverlässig ausgeschlossen werden kann, dass der Angreifer spätere Datenabflüsse angelegt/vorbereitet hat. In Fall 3 besteht der wichtigste Unterschied zu Fall 2 auch bezüglich Vertraulichkeit bei Quantität und Qualität der betroffenen Daten: Die Attacke erfasste tausende Patienten und Beschäftigte, außerdem hochsensible Datenkategorien (Gesundheitsdaten). Schon relativ geringe verbleibende Restrisiken hinsichtlich eines Vertraulichkeit-Bruches dürften deshalb eine Meldepflicht gegenüber der Aufsichtsbehörde begründen. So sieht das auch der Europäische Datenschutz-Ausschuss in Textziffer 37 und 39 seiner Richtlinie.

Integrität: Auch hier gelten die Überlegungen zu Fall 2, erneut gewissermaßen betrachtet durch ein „Vergrößerungsglas“ angesichts Quantität und Qualität der betroffenen Daten. Eine komplette Datenwiederherstellung war nicht möglich. Im Bereich „Daten-Integrität“ ergibt sich deshalb ebenso eine Meldepflicht gemäß Art. 33 DS-GVO.

Verfügbarkeit: Die Wiederherstellung der Daten (soweit Backups vorhanden waren) gelang trotz des größeren Datenvolumens zwar schneller als in Fall 2 (zwei anstelle fünf Arbeitstage). Wegen des betroffenen Verarbeitungs-Bereiches und der hundertfach größeren Zahl betroffener Personen sind die verbleibenden Risiken und Schäden dennoch erheblich höher als in Fall 2: Behandlungen von Patienten verzögerten sich, geplante ärztliche Maßnahmen mussten verschoben werden, das allgemeine Behandlungsniveau hat sich jedenfalls für die genannten zwei Tage reduziert.

Gerade mit Blick auf diese hohen Risiken/Schäden der Datenschutz-Attacke im Bereich der Datenverfügbarkeit ist auch eine Meldepflicht gegenüber den Betroffenen nach Art. 34 DS-GVO bei Fall 3 zu bejahen. Die betroffenen Beschäftigten und Patienten müssen also unverzüglich „in klarer und einfacher Sprache“ über die Art der Datenschutz-Pflichtverletzung benachrichtigt werden und außerdem die Informationen nach Art. 33 Abs. 3 lit. b, c und d DS-GVO erhalten (Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, Beschreibung der wahrscheinlichen Folgen des Vorfalls, Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Schutzmaßnahmen).

An dieser Stelle sei angemerkt: In der Praxis wird die Information betroffener Personen häufig allein dann erwogen, wenn die Betroffenen durch eigene Maßnahmen Risiken aus dem Datenschutz-Vorfall beseitigen oder mindern können (Beispiel: Aufruf an Nutzer, „geleakte“ Zugangsdaten für E-Mail Accounts zu verändern, die kompromittierten Accounts nicht mehr zu nutzen).

Art. 34 DS-GVO ist jedoch ganz klar nicht nur eine Vorschrift für den „Aufruf zur Selbsthilfe“. Der Verantwortliche muss betroffene Personen bei hohen Risiken einer Datenschutz-Verletzung auch benachrichtigen, wenn er ihnen keine geeigneten Schutzmaßnahmen vorschlagen kann. Dies folgt dem Datenschutz-Grundprinzip, dass betroffene Personen nicht als Datenobjekte behandelt werden dürfen, sondern über den Verbleib ihrer Daten ausreichend informiert werden müssen. Für das informationelle Selbstbestimmungsrecht ist natürlich auch wichtig, dass betroffene Personen wissen, ob und unter welchen Umständen ihre Daten (und welche genau) „verlorengingen“, sich also vielleicht in den Händen unbefugter Dritter befinden.

Die Fall-Lösung lautet deshalb:
(1) Dokumentation des Vorfalls: natürlich ja.
(2) Meldungen die Aufsichtsbehörde: ja.
(3) Meldung an die Betroffenen: ja.

Der EDSA befürwortet in seiner Richtlinie ausdrücklich auch eine Information an betroffene Personen, deren Behandlung im Krankenhaus längst abgeschlossen ist. Der Ausschuss verweist dafür auf die Möglichkeiten „öffentlicher Kommunikation oder entsprechender Maßnahmen, durch die Betroffenen in Vergleich bei fiktiver Weise informiert werden“ (Textziffer 39 EDSA-Richtlinie). Wenn Möglichkeiten zur individuellen Benachrichtigung (z.B. auf dem Postwege) fehlen, weil Kontaktdaten zu langjährig ausgeschiedenen Patienten/Beschäftigten nicht verfügbar sind, bedeutet die „öffentliche Benachrichtigung“ für den Verantwortlichen unter Umständen einen erheblichen Imageschaden und Wettbewerbsnachteil.

Auch dies kann und sollte Verantwortliche zu entsprechenden Sicherheits-Vorkehrungen motivieren (z.B. Abweisung veralteter MS-Office-Dateien in E-Mail-Anhängen). Natürlich gilt wie immer: Vollständiger Schutz und Risikoausschluss ist nicht erreichbar. Damit auf zur „letzten Ransomware-Attacke“.


FALL 4: RANSOMWARE OHNE BACKUP UND MIT DATENABFLUSS

Der Server eines öffentlichen Verkehrsunternehmens wurde einem Ransomware-Angriff ausgesetzt und seine Daten wurden verschlüsselt. Nach den Erkenntnissen der internen Untersuchung hat der Täter die Daten nicht nur verschlüsselt, sondern auch exportiert. Betroffen sind Daten von Kunden und Beschäftigten (mehrere tausend Personen). Neben grundlegenden Identitätsdaten waren auch Ausweisnummern und Finanzdaten wie Kreditkartendaten von der Sicherheitsverletzung betroffen. Es existiert eine Backup-Datenbank, die aber ebenfalls vom Angreifer verschlüsselt wurde.

Als vierte Variante im „Ransomware-Zyklus“ nun also der worst case und Albtraum Verantwortlicher, Betroffener sowie Datenschutzbeauftragter. Ergibt sich daraus bei den Meldepflichten „das volle Programm“? Prüfen Sie, notieren Sie Ihre Meinung und … bis bald!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (3)

Auf zur Lösung von Fall 2! Sie ist nicht sehr schwer, zumal Fall 1 im Vergleich verdeutlichte, wo die Probleme liegen könnten. Und bei der Überschrift zu Fall 2 haben wir, ebenfalls wie der Europäische Datenschutzausschuss, zusätzlich „mit der Zaunslatte gewinkt“: Das fehlende Back-up. Aber gehen wir Schritt für Schritt vor, um nichts zu übersehen:


FALL 2: LÖSUNG

Vertraulichkeit: Die Untersuchungen zum Vorfall haben ergeben, dass im betroffenen Zeitraum keine Datenabflüsse nach außen erfolgten. Dies ist eine gute Nachricht, erlaubt aber noch keine vollständige „Entwarnung“. Im Einzelfall (dies mahnt auch der EDSA in Textziff. 28 der Richtlinie an) muss genauer geprüft werden, ob die vorhandenen Protokolle wirklich alle Datenexporte zuverlässig ausschließen oder vielleicht bestimmte Exportwege gar nicht abdecken. Nur wenn tatsächlich sicher ausgeschlossen werden kann, dass (1) Daten unbefugt die Verarbeitungssysteme des Verantwortlichen verließen und / oder (2) der Angreifer sich im System des Verantwortlichen „eingenistet hat“ und bei späterer Gelegenheit Datenexporte möglich sind, wäre „Vertraulichkeit“ vom geschilderten Eingriff nicht verletzt.

Der Unterschied zu Fall 1 – und der Nachteil für den Verantwortlichen in Fall 2 – liegt bei dem Thema „Vertraulichkeit“, genauer in der Fall 1 gegebenen bzw. in Fall 2 fehlenden Datenverschlüsselung durch den Verantwortlichen. Anders als bei der Datenspeicherung ist für aktive EDV-Systeme eine Datenverschlüsselung häufig nicht möglich, weil die Verarbeitung dann übermäßig erschwert oder ausgeschlossen wäre. Seit vielen Jahren ist dieser Bereich ein Arbeitsfeld der Kryptografen, das sicher noch für viele weitere Jahre erhalten bleibt. Die in Fall 2 geschilderte Situation entspricht daher dem täglichen Normalzustand der meisten EDV-Systeme. Für diesen häufig anzutreffenden Fall ist bei Angriffen Dritter die möglichst vollständige Protokollierung von Datenabflüssen enorm wichtig, um das Risiko eines Vertraulichkeitsbruchs einschätzen zu können. Verbleiben insoweit Unsicherheiten, ist vom möglichen Zugriff Dritter, also dem worst-case-Szenario, auszugehen (so auch EDSA-Richtlinie Textziffer 30).

Integrität der Daten: Die vom Angreifer unbefugt verschlüsselten Daten wurden verändert, entsprechen also nicht mehr dem ursprünglichen, korrekten Zustand. Sie liegen – mangels vollständiger Backups – auch nicht als Duplikate in unveränderter, einsatzfähiger Art vor. Allerdings existieren (nach dem Sachverhalt: einwandfreie) Unterlagen in Papierform, wenn auch nicht für den gesamten Datenbestand. Die Daten sind also entweder korrekt vorhanden oder jedenfalls (soweit Papierdaten fehlen) klar als „unbefugt verändert“ erkennbar. Es besteht folglich nicht das Risiko einer künftigen Verarbeitung unbefugt/unabsichtlich verfälschter Daten.

Verfügbarkeit: Die Datenschutzverletzung führte nach dem Sachverhalt eindeutig zu einer Störung der Verfügbarkeit. Zum einen ist die Wiederherstellung der Daten teilweise (wenn auch für einen geringen Teil) überhaupt nicht möglich gewesen. Zum anderen war für die Datenwiederherstellung (im überwiegenden Teil) eine erneute Digitalisierung unter Nutzung der Papier-Unterlagen notwendig, die immerhin fünf Arbeitstage beanspruchte und Verzögerungen bei Kundenaufträgen verursacht hat.

Damit hat die Datenschutzverletzung nicht nur Risiken begründet, sondern sogar konkrete Schäden tatsächlich eintreten lassen. Eine Meldung nach Art. 33 DS-GVO ist folglich nötig. Hohe Risiken für die Rechte und Freiheiten natürlicher Personen ergeben sich demgegenüber aus dem Sachverhalt nicht. Der Umfang der Datenschutzverletzung ist quantitativ (Daten von „ein paar Dutzend Personen“) und qualitativ (keine Daten besonderer Kategorien) begrenzt. Eingetretene Schäden beschränken sich auf geringfügige Lieferverzögerungen. Meldepflichten nach Art. 34 DS-GVO entstehen deshalb nicht.

Gesamtergebnis also:
(1) Dokumentation ja.
(2) Meldung an die Aufsichtsbehörde ja.
(3) Meldung an Betroffene nein.


FALL 3: RANSOMWARE-ATTACKE AUF EIN KRANKENHAUS BEI VORHANDENEM BACKUP UND OHNE DATENABFLUSS

Das Informationssystem eines Krankenhauses/Gesundheitszentrums war einem Ransomware-Angriff ausgesetzt und ein erheblicher Teil der Daten wurde vom Angreifer verschlüsselt. Das Unternehmen nutzt die Expertise einer externen Cybersecurity-Firma, um sein Netzwerk zu überwachen. Protokolle zur Verfolgung aller Datenströme, die das Unternehmen verlassen, einschließlich ausgehender E-Mails, sind verfügbar. Der Täter hat die Daten nur verschlüsselt, ohne zu exportieren. Die Protokolle zeigen keinen Datenfluss nach außen im Zeitraum des Angriffs. Die von der Verletzung betroffenen personenbezogenen Daten beziehen sich auf tausende Personen (Beschäftigte und Patienten). Backups waren in elektronischer Form verfügbar. Der größte Teil der Daten wurde wiederhergestellt. Dieser Vorgang dauerte jedoch 2 Arbeitstage und führte zu erheblichen Verzögerungen bei der Behandlung der Patienten mit abgesagten/verschobenen Operationen und zu einer Senkung des Serviceniveaus aufgrund der Nichtverfügbarkeit der Systeme.

Was meinen Sie? Interne Dokumentation: sicher. Meldung zur Aufsichtsbehörde? Mitteilung an die betroffenen Beschäftigten und Patienten?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (2)

Wie angekündigt wird Fall 1 aufgelöst, bevor wir uns dem nächsten Fall zuwenden. Entscheidend sind die schon genannten drei Kriterien:
(1) Wurden die Daten unbefugten Dritten zugänglich?
(2) Kam es zu einer unbeabsichtigten und/oder unbefugten Datenänderung?
(3) Gingen Daten verloren?

(Falls Jemand die von Informatik-Studenten seit Jahrzehnten benutzte Merkhilfe noch nicht kennt: Die drei englischen Schlagworte – confidentiality, integrity, availability – ergeben die im Datenschutz sinnfällige Abkürzung CIA.)


FALL 1: LÖSUNG

Confidentiality / Vertraulichkeit ist im Fall 1 nicht betroffen. Der Verantwortliche hatte die durch Ransomware unbefugt verschlüsselten Daten ja bereits zuvor selbst verschlüsselt. Diese Verschlüsselung des Verantwortlichen war auch gemäß dem aktuellen Stand der Technik erfolgt und von der Cyber-Attacke nicht betroffen. Der Angreifer hatte die zur Entschlüsselung notwendigen Kenntnisse also nicht erhalten.

Damit waren dem Angreifer allenfalls Daten zugänglich geworden, die er nicht entschlüsseln und auswerten konnte. Wer genauer überlegt, erhält einen „Zusatzpunkt“ für die Erkenntnis, dass mit dem technischen Fortschritt natürlich in den nächsten Jahren und Jahrzehnten eine Entschlüsselung der „nach heutigem Stand der Technik“ sicher verschlüsselten Daten doch möglich werden könnte. Der EDSA erwähnt dies in seiner Richtlinie beiläufig (Textziff. 20 am Ende), sieht in diesem Umstand aber kein beachtliches Risiko. Bei personenbezogenen Daten, die auch nach 10 oder 15 Jahren noch erhebliche Risiken für Betroffene verursachen können, wäre dies vielleicht anders zu beurteilen – Beispiel: Geschlechtsumwandlungen, schwere chronische Krankheiten, schwere Straftaten.

Integrity / „Echtheit“ stellt wohl ebenfalls kein Problem dar: Zwar hat der Angreifer die Daten seinerseits unbefugt (nochmals) verschlüsselt. Der Verantwortliche verfügt aber dank seines Back-up-Systems über einwandfreie, unveränderte Daten-Duplikate. Die Gefahr unerwünschter und unbemerkter Datenänderung kann also abgewehrt werden.

Availability / Verfügbarkeit: Das Einspielen der korrekten Daten vom Back-up- in das Arbeits-System erfolgte binnen „weniger Stunden nach dem Angriff“, die Attacke hatte „keine Auswirkungen auf den täglichen Betrieb“. Sie bewirkte insbesondere „keine Verzögerungen bei der Bezahlung von Mitarbeitern oder der Bearbeitung von Kundenanfragen“. Mit anderen Worten: Die Daten waren zwar kurzzeitig (für einige Stunden) nicht im Arbeits-System des Unternehmens verfügbar. Dieser temporäre Ausfall wirkte sich jedoch auf die Datenverarbeitung beim Verantwortlichen nicht aus.

Im Ergebnis kommt der EDSA – sehr gut nachvollziehbar – zum Antwortmuster „Ja/Nein/Nein“, also:
(1) Interne Dokumentation des Vorfalls nötig.
(2) Keine Meldung an die Aufsichtsbehörde.
(3) Keine Meldung an die Betroffenen.

Hier noch ein Hinweis für die weiteren Fälle, vor allem aber für die Datenschutz-Praxis: Wenn bei Datenschutz-Vorfällen geprüft wird, ob eine Meldepflicht gegenüber der Aufsichtsbehörde (und eventuell gegenüber Betroffenen) besteht, ist dies immer intern zu dokumentieren. Das folgt für den Verantwortlichen schon aus seiner allgemeinen Nachweispflicht und weil er (sollte sich ein Vorfall „weiterentwickeln“, z.B. durch Beschwerden von Betroffenen oder anschließende Attacken) die nach der Datenschutz-Verletzung getroffenen Ermittlungen und Maßnahmen konkret aufzeigen muss.


FALL 2: RANSOMWARE OHNE AUSREICHENDES BACKUP

Einer der von einem landwirtschaftlichen Unternehmen genutzten Computer war einem Ransomware-Angriff ausgesetzt und seine Daten wurden vom Angreifer verschlüsselt. Das Unternehmen nutzt die Expertise eines externen Cybersecurity-Unternehmens zur Analyse des Vorfalls. Protokolle, die alle Datenströme, die das Unternehmen verlassen, nachverfolgen (einschließlich ausgehender E-Mails) sind verfügbar. Nach der Analyse der Protokolle und anderer Daten ergab die interne Untersuchung, dass der Täter die Daten nur verschlüsselt hat, ohne sie zu exportieren. Die Protokolle zeigen keinen Datenfluss nach außen im Zeitrahmen des Angriffs. Die von der Verletzung betroffenen personenbezogenen Daten betreffen die Mitarbeiter und Kunden des Unternehmens, insgesamt ein paar Dutzend Personen. Keine Daten besonderer Kategorien waren betroffen. Es war kein Backup in elektronischer Form vorhanden. Die meisten Daten wurden aus Papier-Akten wiederhergestellt. Die Wiederherstellung der Daten dauerte 5 Arbeitstage und führte zu geringen Verzögerungen bei der Auslieferung von Aufträgen an Kunden.

Das nötige „Rüstzeug“ (C? I? A?) befindet sich bei Ihnen. Weiterhin gilt die Devise: Selbst lösen ist besser, als in der Richtlinie spicken! Bis zur Auflösung in einigen Tagen – alles Gute!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (1)

Der Europäische Datenschutzausschuss hat als Richtlinie 01/2021 einen Text mit „examples regarding data breach notification“ am 14. Januar 2021 veröffentlicht und um Stellungnahmen gebeten. Wer den Text noch nicht kennt, findet den Link am Ende dieses Beitrags. Aber Achtung – wir haben einen anderen Vorschlag: Finden Sie doch einmal mit unserer Hilfe heraus, wie gut sich Ihre Auffassungen zu Art. 33, 34 DS-GVO mit den Ansichten des EDSA decken. In Form einer kleinen Serie werden wir hier im Blog weitere Beispielsfälle aus der EDSA-Richtlinie darstellen und für die Behandlung und Einordnung der Datenschutz-Verletzung maßgebliche Punkte besprechen. Anschließend können Sie den Fall lösen.

Im nächsten Teil unserer Serie erfahren Sie gleich zu Beginn, ob Sie richtig lagen – also, ob die Aufsichtsbehörden auch zu Ihrem Ergebnis kamen. Alle schulungserfahrenen Datenschutzschützer wissen: Auf diesem Weg liegt der Lernerfolg sicher höher, als bei schnellem Durchlesen der Richtlinie. Und damit Start und Bühne frei für Beispielsfall Nr. 1!

Hinweis: Die Richtlinie ist vom EDSA derzeit nur in englischer Sprache veröffentlicht. Wir verwenden unsere Arbeitsübersetzung.


FALL 1: RANSOMWARE MIT KORREKTEM BACKUP UND OHNE DATENABFLUSS

Die Computersysteme eines kleinen Fertigungsunternehmens wurden einem Ransomware-Angriff ausgesetzt. Der Angreifer hat auf diesen Systemen gespeicherte Daten verschlüsselt. Alle betroffenen Daten waren durch den Verantwortlichen mit einem modernen Verschlüsselungsalgorithmus gesichert. Der Schlüssel wurde bei dem Angriff nicht kompromittiert, das heißt der Angreifer konnte weder auf ihn zugreifen noch ihn indirekt verwenden. Folglich hatte der Angreifer nur Zugriff auf verschlüsselte persönliche Daten.

Das Unternehmen nutzt die Expertise eines externen Cybersecurity-Unternehmens, um den Vorfall zu untersuchen. Protokolle für alle Datenströme, die das Unternehmen verlassen haben (einschließlich ausgehender E-Mails), sind verfügbar. Die Protokolle zeigen keinen Datenfluss nach außen im Zeitraum des Angriffs. Die von der Verletzung betroffenen personenbezogenen Daten betreffen Kunden und Mitarbeiter des Unternehmens, insgesamt einige Dutzend Personen. Ein Backup war sofort verfügbar, und die Daten wurden wenige Stunden nach dem Angriff wiederhergestellt. Die Verletzung hatte keine Auswirkungen auf den täglichen Betrieb. Es gab keine Verzögerungen bei der Bezahlung von Mitarbeitern oder der Bearbeitung von Kundenanfragen.

Drei Fragen stellt und beantwortet der EDSA in der Richtlinie für den Beispielsfall:
(1) Handelt es sich um eine Datenschutzverletzung und besteht eine Pflicht zur internen Dokumentation des Vorgangs?
(2) Ist eine Meldung an die Datenschutz-Aufsichtsbehörde nötig?
(3) Sind auch Betroffene über den Vorfall zwingend zu informieren?


FALL 1: LÖSUNGSHINWEISE

Bevor Sie sich an Fall 1 versuchen und die drei vorstehenden Fragen jeweils mit Ja / Nein beantworten, hier noch einiges „Rüstzeug“:

Für das Verständnis des Begriffs „Datenschutz-Verletzung“ ist Art. 4 Nr. 12 DS-GVO ausschlaggebend. Davon geht auch der EDSA in Richtlinie 01/2021 aus (dort Rn. 4). Eine „Verletzung des Schutzes personenbezogener Daten“ bedeutet demnach: „Eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“ Die Definition ist sprachlich sicher keine Glanzleistung des Gesetzgebers. Kurz formuliert ist eine Datenschutz-Verletzung gegeben, wenn (1) Unbefugte Datenzugriff erhalten (Vertraulichkeit), (2) Daten versehentlich oder unbefugt verändert werden (Integrität) oder (3) der Datenzugriff unbeabsichtigt verloren geht (Verfügbarkeit). Diese drei Aspekte / Dimensionen einer Datenschutz-Verletzung nennt auch die EDSA-Richtlinie 01/2021 und beruft sich dabei auf Richtlinie WP 250 der früheren Art. 29-Gruppe (aus Zeiten der Datenschutz-Richtlinie EG 95/46).

Wer prüft, ob eine Datenschutz-Verletzung vorliegt, muss also stets untersuchen, ob (1) Daten an Unbefugte gelangten und/oder (2) Daten unbefugt/unbeabsichtigt verändert wurden und/oder (3) Daten verloren gingen. Bei dem letztgenannten Aspekt des Datenverlustes „genügt“ bereits eine zeitweise fehlende Verfügbarkeit, wenn sie die Verarbeitungsabläufe stört. Beispiel: In einem Unternehmen mit Geschäftszeiten zwischen 08:00 Uhr und 18:00 Uhr bemerkt die IT 19:00 Uhr ein Verfügbarkeitsproblem und kann den Fehler bis 21:00 Uhr durch Rücksicherung von Daten aus dem vorhandenen Backup beheben. Eine Datenschutz-Verletzung liegt nicht vor, weil die planmäßige Verarbeitung der Daten im Unternehmen nicht beeinträchtigt wird.

Ist keiner der drei Aspekte (Vertraulichkeit, Integrität, Verfügbarkeit) durch einen Datenschutz-Vorfall betroffen, liegt auch keine Datenschutz-Verletzung im Sinne der DS-GVO vor. Meldepflichten nach Art. 33 und 34 DS-GVO scheiden dann von vornherein aus. Wenn mindestens ein Element der Datenschutz-Verletzung bejaht werden muss, ist auf einer weiteren Stufe zu prüfen, ob die dann gegebene Datenschutz-Verletzung mit Risiken für Betroffene verbunden ist. Bejahendenfalls besteht die Meldepflicht nach Art. 33 DS-GVO gegenüber der Aufsichtsbehörde. Sind die Risiken für Betroffene besonders hoch, ist zusätzlich auch sie nach Art. 34 DS-GVO zu informieren.


FAZIT

Nun ist alles Nötige gesagt – prüfen Sie einmal den oben dargestellten Beispielsfall und legen Sie sich fest:
(1) Muss in Fall 1 eine Prüf-Dokumentation erfolgen?
(2) Fordert Fall 1 eine Meldung zur Aufsichtsbehörde gemäß Art. 33 DS-GVO?
(3) Ist die Informationen an Betroffene nach Art. 34 DS-GVO  notwendig?

Wir melden uns am Mittwoch mit der Auflösung und einem weiteren Fall. Wie eingangs versprochen, hier noch der Link zur EDSA-Richtlinie, gleichzeitig aber auch nochmals unsere Bitte, ihn nicht zu nutzen. – Wer beim Üben „schummelt“, zerstört den Lerneffekt!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen