DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (7)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar.


FALL 6: LÖSUNG

Zunächst zu Fall 6: Die erste der drei Standard-Fragen (Dokumentation? Meldung nach Art. 33 DSGVO? Meldung nach Art. 34 DSGVO?) ist am schnellsten beantwortet: Der Vorfall muss natürlich dokumentiert werden.

Hinsichtlich der Meldepflichten nach Artt. 33 und 34 DS-GVO gilt die Grundaussage der Datenschutz-Aufsichtsbehörden, dass bei Datenverschlüsselung auf aktuellem Stand der Technik selbst ein Abhandenkommen der Daten kein Risiko für Betroffene begründet. Damit scheiden im vorliegenden Fall Meldepflichten sowohl gegenüber den Aufsichtsbehörden als auch (erst recht) gegenüber den Betroffenen aus.

Übrigens: Wie bei Grundsätzen meist, gibt es auch von diesem Grundsatz Ausnahmen. Falls „auf aktuellem Stand der Technik“ verschlüsselte Daten abhandenkommen, aber damit gerechnet werden muss, dass die Daten immer noch „interessant“ und missbrauchbar sind, wenn Jahre später durch technischen Fortschritt die Entschlüsselung für die Angreifer möglich sein wird, ergeben sich durchaus Risiken für künftigen Missbrauch und folglich – in solchen Ausnahmefällen – unter Umständen auch Meldepflichten. Nötig sind also zwei Prognosen: Wann wird die heute „sichere“ Verschlüsselung überwindbar? Und geht von der unbefugten Datennutzung dann noch Gefahr aus?

Ungeachtet nicht bestehender Meldepflichten hat auch im geschilderten Fall der Verantwortliche natürlich die vom Angreifer ausgenutzten Schwachstellen zu beseitigen. Die nach der Fallschilderung freiwillig erfolgte Information an Betroffene mit der Aufforderung zur Änderung des Passwortes wird vom EDSA als – obwohl nicht gesetzlich geschuldet – „guter Praxis entsprechend“ ausdrücklich gelobt (Richtlinie, Textziffern 59 und 62).


FALL 7: LÖSUNG

Bei Fall 7 wird natürlich ebenfalls eine interne Dokumentation benötigt. Die Datenschutzverletzung betrifft den Aspekt der Vertraulichkeit. Sehr nachvollziehbar leitet der EDSA im konkreten Fall die besondere Qualität des Angriffs und das besondere Risiko für die Betroffenen aus den vom Angreifer „erbeuteten“ bank- und vermögensrelevanten Informationen ab (Steuernummer, Benutzerkennung, für die Gruppe von etwa 2000 Bankkonten außerdem sogar Zugangspasswort). Auch bei der sehr großen Betroffenengruppe (ca. 100.000 Personen), von denen der Angreifer das Passwort nicht „erraten“ konnte, wurde ein umfangreicher Datensatz offenbart. Die Zusammengehörigkeit der verschiedenen Daten ermöglicht oder erleichtert künftige Attacken gegen diese Betroffenen bis hin zum Identitätsdiebstahl (Name und Vorname, Geschlecht, Geburtsdatum und -Ort, Steuernummer, Benutzerkennung bei der konkreten Bank).

Aus dem Risiko für die Betroffenen ergibt sich deshalb sowohl eine Meldepflicht an die Aufsichtsbehörde, als auch gegenüber dem Betroffenen und zwar auch gegenüber den bisher nicht informierten ca. 100.000 Betroffenen, bei denen der Bankzugang nicht offenbart wurde! Generell empfiehlt der EDSA (Textziffer 70 der Richtlinie) eine ganze Reihe von Schutzmaßnahmen gegen Hacker-Angriffe, die bei tatsächlichen Attacken (unabhängig von deren Erfolg) jeweils überprüft und gegebenfalls angepasst / aktualisiert werden sollten. Auch erfolglose Hacker-Angriffe sind ja jedenfalls ein Zeichen dafür, dass die IT-Systeme des Verantwortlichen für Angreifer „Interesse besitzen“.

Zu den Maßnahmen gehören:
– Verschlüsselung und Schlüssel-Management nach „Stand der Technik“, möglichst kein Passwort-Transfer zu den jeweiligen Anwendungen / Datenbanken, sondern Authentifikation z.B. durch Hashwert-Abgleich,
– Verwendung aktueller Soft- und Firmware mit Protokollierung der Update-Zeitpunkte,
– 2-Faktor-Authentifikation,
– Standardisierung der Nutzerzugriffe (Verwendung von White-Listen, also Limitierung des Nutzungsumfangs, soweit praktikabel), außerdem Beschränkung der Zahl der Authentifikations-Versuche,
– Firewall- und Penetrations-Tests,
– Regelmäßige Backups und Rücksicherungs-Versuche.

Damit verlassen wir zunächst den Bereich der Angriffe „von außen“ und befassen uns mit Attacken „von innen“. Für Datenschutz-Verletzungen durch Personen „aus dem Lager des Verantwortlichen“ behandelt der EDSA in den Fällen 8 und 9 der Richtlinie zwei grundverschiedene Konstellationen, nämlich einerseits den absichtlichen Angriff eines „bösen“ Internen, andererseits das Nutzer-Versehen, also die „klassische“, fahrlässige Datenverarbeitungs-Panne eines Mitarbeiters.


FALL 8: EXFILTRATION VON GESCHÄFTSDATEN DURCH EINEN EHEMALIGEN MITARBEITER

Der Mitarbeiter eines Unternehmens kopiert während seiner Kündigungsfrist Geschäftsdaten aus der firmeneigenen Datenbank, zu der er zugriffsberechtigt ist und die er zur Erfüllung seiner Arbeitsaufgaben benötigt. Monate später nutzt er die so gewonnenen Daten (vor allem Adressdaten), um die Kunden des Unternehmens zu kontaktieren und für sein neues Geschäft zu werben.

und – tatsächlich ein „Klassiker“ –


FALL 9: FEHLERHAFTE RECHTEVERGABE

Ein Versicherungsvertreter bemerkt, dass er – durch fehlerhafte Einstellungen einer per E-Mail erhaltenen Excel-Datei – auf Informationen von zwei Dutzend Kunden zugreifen kann, die nicht zu seinem Bereich gehören. Er war der einzige Empfänger der E-Mail. Die Vereinbarung zwischen dem für die Datenverarbeitung Verantwortlichen und dem Versicherungsvertreter verpflichtet den Vertreter zur Vertraulichkeit und zur Meldung von Datenpannen an den Verantwortlichen. Der Vertreter weist auf den Fehler hin und der Verantwortliche sendet ihm eine korrigierte Datei-Fassung mit der Bitte, die vorherige Nachricht zu löschen. Nach der internen Regelung muss der Vertreter die Löschung in einer schriftlichen Erklärung zu bestätigen; auch dies setzt der Vertreter korrekt um. Betroffen waren keine besonderen Kategorien von personenbezogenen Daten, sondern Kontaktdaten und Daten über die Versicherung selbst (Versicherungsart, Betrag).

Ihnen alle eine angriffs- und pannenfreie Woche!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Hacking
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (6)

Ergebnis zu Fall 5 aus Sicht des EDSA vorab und Erläuterung anschließend: Der Vorgang ist intern zu dokumentieren. Außerdem ist jedoch auch die Meldung an die Aufsichtsbehörde und sogar die Mitteilung an die möglicherweise Betroffenen notwendig. Im Detail:


FALL 5: LÖSUNG

Neben der selbstverständlichen internen Dokumentation ist sicher auch die Bejahung einer Meldepflicht an die Aufsichtsbehörde nach Art. 33 DS-GVO nachvollziehbar: Der Vorfall hat zwar die Datenverfügbarkeit für den Verantwortlichen nicht berührt und die Daten auch nicht verfälscht (die korrekten Bewerbungsdaten blieben für den Verantwortlichen ja weiter erhalten und nutzbar). Die Datenschutz-Vorgaben zur Vertraulichkeit (Schutz personenbezogener Daten gegen Zugriff unbefugter Dritter) sind jedoch ganz klar und sehr erheblich verletzt. Auch Risiken für betroffene Personen sind weder komplett auszuschließen, noch vernachlässigbar klein.

Weniger eindeutig ist die Entscheidung zu Art. 34 DS-GVO (Benachrichtigung der Betroffenen selbst): Der EDSA folgert eine entsprechende Benachrichtigungspflicht (in Rn. 55 der Richtlinie) daraus, dass die konkrete Datenschutzverletzung „wahrscheinlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen begründet“. Dies ist noch kein Argument, sondern nur eine Wiederholung des Wortlauts von Art. 34 DS-GVO. Etwas mehr „Substanz“ findet sich in Rn. 53: „Obwohl keine besonderen Kategorien personenbezogener Daten betroffen waren, enthalten die offenbarten Daten wesentliche Informationen über die Personen aus den Online-Formularen und könnten in verschiedener Weise missbraucht werden (Zusendung unerwünschter Werbung, Identitätsdiebstahl etc.)“.

Die „Zusendung unerwünschter Werbung“ stellt wohl kaum ein „hohes Risiko für die Rechte und Freiheiten“ dar. Identitätsdiebstahl allerdings kann erhebliche Nachteile und Schäden verursachen. Wenn die konkret betroffenen Datensätze dem Angreifer wirklich solche Wege öffnen, ist die Bejahung einer Informationspflicht der Betroffenen gemäß Art. 34 DS-GVO nachvollziehbar. Leider hat der EDSA bei der Fall-Schilderung die konkreten Datenarten nicht mitgeteilt, so dass seine Schlussfolgerung in diesem Punkt nicht prüfbar ist. Etwas pointierter: Der Sachverhalts-Bericht des EDSA zu Fall 5 genügt nicht den Anforderungen aus Art. 33 Abs. 3 und Art. 34 Abs. 2 DS-GVO.

Damit weiter zu Fall Nr. 6 und Nr. 7 im „Doppelpack“:


FALL 6: UNBEFUGTER ZUGRIFF AUF GEHASHTE PASSWÖRTER

Eine SQL-Injection-Schwachstelle wurde ausgenutzt, um Zugriff auf die Datenbank eines Web-Servers zu erlangen. Die in der Datenbank gespeicherten 1.200 Passwörter (Zugangs-Kennungen für die Nutzer eines Internetportals mit Koch-Rezepten) wurden mit einem starken Algorithmus gehasht; der Schutz wurde nicht kompromittiert. Der für die Verarbeitung Verantwortliche hat die betroffenen Personen sicherheitshalber per E-Mail über die Sicherheitsverletzung informiert und aufgefordert, ihre Passwörter zu ändern, insbesondere wenn das gleiche Passwort auch für andere Dienste verwendet wird.


FALL 7: ANGRIFF AUF ONLINE-BANKING-ANGEBOT

Beim Angriff auf ein Online-Banking-Portal wurden für ca. 100.000 Personen Informationen (teils Vorname, Nachname, Geschlecht, Geburtsdatum und -ort, Steuernummer, Benutzerkennung) an den Angreifer weitergegeben. Außerdem loggte sich der Angreifer erfolgreich in etwa 2.000 Konten, die ein Trivialpasswort verwendeten. Die Bank konnte alle unrechtmäßigen Anmeldeversuche identifizieren. Während des Angriffs erfolgten keine Transaktionen von diesen Konten. Die Bank reagierte durch Abschalten der Website und erzwungenes Zurücksetzen der Passwörter der kompromittierten Konten. Nur die Benutzer mit den kompromittierten Konten wurden informiert.

Ihre Meinung?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Hacking
Lesen