​In den letzten Wochen beschäftigte uns vor allem ein Thema im Datenschutz. Zahlreiche Unternehmen wurden Opfer eines Cyberangriffs auf die Microsoft-Exchange-Mailserver. Unternehmen jeglicher Größe sind mit der Schadsoftware infiziert wurden. Unser Blogbeitrag soll Ihnen Aufschluss darüber geben, was genau bei dem Cyberangriff vorgefallen ist. Außerdem möchten wir das Thema dazu nutzen, um zu verdeutlichen, wann ein meldepflichtiger Datenschutzvorfall vorliegt.

Datenschutzschulung

Der Angriff auf die Microsoft Exchange Server

Anfang März gab Microsoft bekannt, dass die E-Mail-Software Microsoft Exchange mehrere Sicherheitslücken aufweist. In der Nacht zum 03. März 2021 veröffentlichte Microsoft daraufhin neue Sicherheitsupdates für das Produkt, wodurch vier der Schwachstellen geschlossen werden konnten. Zu diesem Zeitpunkt waren allerdings schon zahlreiche Unternehmen Opfer eines Hacker-Angriffs geworden.  

Microsoft geht davon aus, dass hinter dem Cyberangriff eine chinesische Hacker-Gruppe namens „Hafnium“ steckt. Die Hacker-Gruppe nutze die vorhandenen Sicherheitslücken aus, um Zugang zur Microsoft-Exchange-Software zu erlangen und zahlreiche Daten zu klauen. Ihr Ziel war es, vor allem Informationen von amerikanischen Unternehmen zu erlangen.

Das von Microsoft veröffentlichte Sicherheitsupdate muss vom Kunden selbst installiert werden. Das Bundesamt für Sicherheit und Informationstechnik (BSI) empfiehlt deshalb allen Betreibern von betroffenen Microsoft Exchange-Servern, die bereitgestellten Patches sofort einzuspielen. Microsoft hat zudem Prüfskripte für Exchange Server bereitsgestellt, mit denen Unternehmen prüfen können, ob ihre Server gehackt wurden.  

Meldepflichtiger Datenschutzvorfall?

Betroffene Unternehmen stellen sich nun die Frage, ob der Hacker-Angriff einen meldepflichtigen Datenschutzvorfall darstellt und wie in diesem Fall zu verfahren ist. Hierfür ist zunächst wichtig zu wissen, wann ein meldepflichtiger Datenschutzvorfall vorliegt.

Art. 33 DSGVO gibt vor, wann eine Meldepflicht bei der jeweils zuständigen Aufsichtsbehörde besteht. Eine Meldepflicht besteht

„im Falle einer Verletzung des Schutzes personenbezogener Daten (…) es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“.

Verletzung des Schutzes personenbezogener Daten

Der Begriff der „Verletzung des Schutzes personenbezogener Daten“ ist sehr allgemein gehalten, weshalb wir uns die Defintion einmal genauer anschauen müssen.

Der Begriff ist in Art. 4 Nr. 12 DSGVO definiert als „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, (…) oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt (…).“

Es geht also um Datenpannen und Datenlecks. Hierbei kann es sich um Systemabstürze handeln oder technische Probleme, die zu Datenverlusten oder -veränderungen geführt haben. Auch gezielte Angriffe wie Hacking oder Datendiebstahl können Meldepflichten auslösen.

Beispiele meldepflichtiger Datenschutzvorfälle:

  • Ein Mitarbeiter verliert seinen USB-Stick mit unverschlüsselten personenbezogenen Daten
  • Hacker erhalten durch einen Cyber-Angriff Zugriff auf personenbezogene Daten
  • Werbe-E-Mail mit offenem Mailverteiler (cc statt bcc)

Die Aufsichtsbehörde Hamburg hat hierzu eine Übersicht erstellt, wann eine Data-Breach-Meldung nach Art. 33 DSGVO generell erforderlich ist und hierzu auch Beispiele benannt. Auch die Aufsichtsbehörde Niedersachsen informiert zu typischen Fallkonstellationen, die eine Meldepflicht auslösen. Hier werden als weitere Beispiele etwa die Infektion mit der Schadsoftware Emotet genannt. Eine weitere umfangreiche Übersicht mit verschiedenen Beispielen aus dem Bereich der IT-Sicherheit bietet zudem der Europäische Datenschutzausschuss in seinen Guidelines vom 19.01.2021.

Wer muss informiert werden?

Zunächst ist im Fall einer Datenpanne die für das Unternehmen zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO zu benachrichtigen. Eine Übersicht zu allen Behörden mit Verweis auf die Meldeformulare finden Sie hier.

Weiterhin müssen auch die betroffenen Personen (also im Regelfall Ihre Kunden oder Beschäftigten) gesondert benachrichtigt werden, wenn „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ besteht (vgl. Art. 34 Abs. 1 DSGVO).

Von einem hohen Risiko kann ausgegangen werden, wenn mit erheblichen Konsequenzen bzw. schwerwiegenden Beeinträchtigungen zu rechnen ist. Im Gegensatz zur Meldepflicht gegenüber der Aufsichtsbehörde muss aber nur in Ausnahmefällen informiert werden. Ein hohes Risiko muss insbesondere bei einer Gefahr von Diskriminierung, Identitätsdiebstahl, Verlust der Vertraulichkeit von Berufsgeheimnissen und wirtschaftlichen Nachteilen in Betracht gezogen werden.

So wäre beispielsweise der Verlust von Bankdaten mit möglichen wirtschaftlichen Nachteilen verbunden, weshalb die Betroffenen in dieser Konstellation zu informieren sind. Auch der Verlust von Patientendaten löst in aller Regel eine Meldepflicht gegenüber den Betroffenen aus. Ob eine Meldepflicht aber wirklich vorliegt, muss immer anhand der konkreten Umstände im Einzelfall betrachtet werden.

Liegt ein melde-/ benachrichtigungspflichtiger Datenschutzvorfall bei dem Angriff auf die Microsoft-Exchange-Server vor?

Ob eine Melde- oder Benachrichtigungspflicht im Sinne der Art. 33, 34 DSGVO besteht, wird von den deutschen Aufsichtsbehörden durchaus unterschiedlich gesehen. Die Aufsichtsbehörde Hamburg äußerte sich hierzu dahingehend, dass ein Verstoß nur im Fall eines festgestellten Datenabflusses gemeldet werden muss:

„Im Fall eines festgestellten Datenabflusses muss ein Data Breach bei der zuständigen Datenschutz Aufsichtsbehörde gemeldet werden. Darüber hinaus kann in einem solchen Fall zudem eine Benachrichtigungspflicht an betroffene Personen bestehen.“

Die Aufsichtsbehörde Baden-Württemberg geht hingegen von einer generellen Meldepflicht aus und schreibt hierzu:

„Wird bei der Überprüfung der Systeme die Ausnutzung der Schwachstelle festgestellt, so ist grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen. Nur in atypischen Konstellationen wird kein Risiko für die Rechte und Freiheiten von betroffenen Personen bestehen (vgl. Artikel 33 Absatz 1 DS-GVO). Ein Verzicht auf die Meldung sollte begründet und dokumentiert werden.“

Die Aufsichtsbehörden Niedersachsen und Bayern gehen sogar davon aus, dass die nicht rechtzeitige Installation des Microsoft Updates automatisch eine Meldepflicht auslöst.

Fazit

Zusammengefasst sollten Unternehmen, die eine Kompromittierung ihrer Exchange-Server feststellen, dies unverzüglich bei der Aufsichtsbehörde melden. Sofern Ihr Exchange Server zu spät geupdatet, ein Datenabfluss aber nicht festgestellt werden konnte, halten wir eine vorsorgliche Meldung gegenüber der Aufsichtsbehörde für zu weitgehend, da die Anforderungen an Art. 33 DSGVO nicht erfüllt sind („im Falle einer Verletzung“). Auch in dieser Konstellation empfehlen wir aber eine ausführliche Dokumentation der Maßnahmen und regelmäßige Kontrolle der IT-Infrastruktur auf unberechtigte Zugriffe. Melden Sie sich gerne bei uns, wenn Sie bei der rechtlichen Bewertung weitere Unterstützung benötigen. 

 

 

Rechtsanwalt David Oberbeck hat seinen Beratungsschwerpunkt im Datenschutzrecht, Wettbewerbsrecht und IT-Recht. Er berät Unternehmen als externer Datenschutzbeauftragter und beratender Rechtsanwalt.

Melina Voß studiert Rechtswissenschaften an der Universität Hamburg und ist wissenschaftliche Mitarbeiterin der Datenschutzkanzlei.