Sind Angriffe auf Mailserver = meldepflichtige Datenschutzvorfälle?
Anfang März 2021 gab Microsoft bekannt, dass Microsoft Exchange Sicherheitslücken aufweist. Microsoft Exchange ist ein Mailserver Produkt das weltweit millionenfach genutzt wird, es handelte sich somit um eine Gefährdung von millionenfach genutzten und aus dem Internet erreichbaren Servern die oftmals bereits durch diese Lücke infiziert waren / aktiv angegriffen wurden.
Zwar stellte Microsoft schnell Sicherheitsupdates zur Verfügung die von Betroffenen installiert werden konnten und zudem ein Prüfskript für Exchange Server, mit dem Betroffene prüfen konnten ob ihre Server gehackt wurden, doch war es für einige Betroffene dann schon zu spät: Zahlreiche Unternehmen wurden Opfer eines Hackerangriffs.
Für die betroffenen Unternehmen stellt sich nun die Frage ab wann ein meldepflichtiger Datenschutzvorfall vorliegt und welche Informationspflichten dann auf sie zukommen und ob im konkreten Fall bezüglich Microsoft Exchange ein solcher vorliegt.
Wann liegt ein meldepflichtiger Datenschutzvorfall vor?
Wann ein Datenschutzvorfall meldepflichtig ist, wird in Art. 33 DSGVO geregelt. Demnach besteht eine Meldepflicht „im Falle einer Verletzung des Schutzes personenbezogener Daten […] es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“.
Fraglich ist also zunächst einmal, wann eine „Verletzung des Schutzes personenbezogener Daten“ überhaupt vorliegt. Hierzu stellt Art. 4 Nr. 12 DSGVO eine Definition bereit. Demnach ist eine Verletzung des Schutzes personenbezogener Daten „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, […] oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt […].“
Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen die sich auf identifizierte oder identifizierbare natürliche Personen beziehen.
Eine Verletzung nach Art. 4 Nr. 12 DSGVO der Sicherheit dieser Daten liegt vor wenn sie vernichtet, verloren, verändert, unbefugt offengelegt oder unbefugt zugänglich gemacht werden. Dies umfasst also zunächst einmal alle Datenpannen und Datenlecks. Auch sind technische Probleme und Systemabstürze, die entsprechende Folgen haben, genauso umfasst wie Hacking-Angriffe und Diebstahl von Daten.
Um einen besseren Überblick über meldepflichtige Vorfälle zu erhalten gibt es in einzelnen Bundesländern Informationsmöglichkeiten über die Aufsichtsbehörden. Zudem führt die Guideline des Europäischen Datenschutzausschusses vom 19.01.2021 viele Beispiele und eine gute Übersicht.
Welche Informationspflichten gibt es?
Liegt ein meldepflichtiger Datenschutzvorfall vor, ist die nächste Frage, die sich betroffene Unternehmen stellen: Wer muss informiert werden?
Zunächst einmal besteht eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde nach Art. 33 DSGVO.
Zusätzlich müssen aber auch betroffene Personen wie Kunden, Mandanten oder Beschäftigte einzeln benachrichtigt werden, wenn von einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen auszugehen ist (Art. 34 I DSGVO). Dies ist meist der Ausnahmefall und liegt vor, wenn mit schweren Konsequenzen oder Beeinträchtigungen für den Betroffenen zu rechnen ist (zum Beispiel Identitätsdiebstahl oder Verletzung der Vertraulichkeit des Berufsgeheimnisses). Dass betroffene Personen einzeln benachrichtigt werden müssen, ist vor allem dem Verlust von Bankdaten oder Patientendaten der Fall. Jedoch ist immer der Einzelfall entscheidend und es sollte immer Rücksprache mit dem Datenschutzbeauftragten gehalten werden.
Liegt im Fall Microsoft Exchange ein meldepflichtiger Datenschutzvorfall vor?
Ob hier ein meldepflichtiger Vorfall vorliegt ist tatsächlich umstritten. Während die Aufsichtsbehörde Hamburg äußert, dass eine Meldepflicht nur bestehe, wenn tatsächlich festgestellt wurde, dass Daten abgeflossen sind, sagt die Aufsichtsbehörde Baden-Württemberg aus, dass eine generelle Meldepflicht besteht und die Aufsichtsbehörden in Niedersachsen und Bayern vertreten, dass sogar schon die verspätete Installation der Microsoft-Updates zu einer Meldepflicht führt.
Unternehmen, die eine Betroffenheit feststellen, sollten dies also umgehend bei der Aufsichtsbehörde melden. Konnte allerdings kein Datenabfluss festgestellt werden, ist eine Meldung wahrscheinlich nicht nötig, aber immer im Einzelfall von Fachpersonal zu beurteilen. In jedem Fall sollten alle Vorfälle und Maßnahmen dokumentiert und die IT-Systeme regelmäßig fachmännisch kontrolliert werden.
Professionelle Beratung und Hilfe ist dabei unerlässlich.