Nach der Datenschutzgrundverordnung müssen Datenpannen innerhalb von 72 h nach der Kenntnisnahme gemeldet werden. Der Europäische Datenschutzausschuss hat nun Fallbeispiele für den Umgang mit Datenpannen in einem Leitfaden aufgelistet. Tatsächlich sind die Beispiele überraschend praxisnah. Der externe Datenschutzbeauftragte Henning Zander hat sich den Leitfaden angeschaut und für DSGVO Scan analysiert.
Bei Datenpannen drückt sich die DSGVO eigentlich klar aus. Wird der Schutz personenbezogener Daten verletzt, hat der Verantwortliche nach Artikel 33 Absatz 1 DSGVO eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde. Nach Erwägungsgrund 85 kann die Verletzung des Schutzes personenbezogener Daten zu physischen, materiellen oder immateriellen Schäden für natürliche Personen führen.
Dazu zählen unter anderem der Verlust über die Kontrolle über personenbezogene Daten, eine Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl oder – betrug. Auch finanzielle Verluste, Rufschädigung oder erhebliche wirtschaftliche oder gesellschaftliche Nachteile gehören dazu.
Für Anwender schwierig einzuordnen ist allerdings eine Einschränkung, die Artikel 33 Absatz 1 Satz 1 DSGVO macht. Die Meldung muss erfolgen, „es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Immer wieder fragen sich Verantwortliche, wann diese Ausnahme greift.
Wo genau ist die Grenze? Muss schon eine einzelne fehlgeleitete E-Mail gemeldet werden? Oder gilt hier schon die Ausnahme?
Der Europäische Datenschutzausschuss hat sich nun verschiedener Fallkonstellationen angenommen und sie bewertet. Er gliedert seinen Leitfaden in sechs große Abschnitte:
- Erpressungssoftware („Ransomware“)
- Datendiebstahl („Data Exfiltration Attacks“)
- Interne menschliche Risikoquellen („Internal Human Risk Source“)
- Verlorene oder gestohlene Geräte oder Papier-Dokumente („Lost or stolen devices and paper documents“)
- Fehlgeleitete Nachrichten („Mispostal“)
- Andere Fälle – Social Engineering („Other Cases – Social Engineering“)
Zu jedem Abschnitt gibt es zahlreiche Fallkonstellationen mit einer jeweiligen Einordnung. Die Ergebnisse sind für eine europäische Institution erstaunlich nah an der Praxis. Gerne möchte ich Ihnen hiermit drei aus meiner Sicht interessante Beispiele aus dem Papier vorstellen.
1. Erpressungssoftware
Ransomware, also Erpressungssoftware, erfreut sich bei Cyberkriminellen einer immer größeren Beliebtheit. Hierbei dringt der Angreifer mit einer feindlichen Software in das System des Verantwortlichen ein und verschlüsselt die Daten so, dass niemand mehr auf sie zugreifen kann. Der Angreifer fordert darauf eine Art „Lösegeld“ für die Entschlüsslung der Daten.
Beispiel (CASE No. 01):
Das Computersystem einer kleinen Firma aus dem verarbeitenden Gewerbe wird mit Erpressungssoftware angegriffen. Die Daten allerdings, auf die der Angreifer Zugriff hatte, waren bereits nach neuester Technik verschlüsselt. Nach dem Angriff hat die Firma eine Datensicherheitsfirma zu Rate gezogen. Das Ergebnis: Keine Daten sind abgeflossen. Insgesamt waren nur die Daten von ein paar Dutzend Menschen betroffen. Alle Daten konnten nach ein paar Stunden über ein Backup wieder hergestellt werden. Weder gab es eine Verzögerung bei der Auszahlung von Mitarbeitern noch bei der Bearbeitung von Aufträgen.
Einschätzung des Ausschusses:
Der Großteil solcher Angriffe kann verhindert werden, indem angemessene organisatorische, physische und technische Sicherheitsmaßnahmen ergriffen werden. Dazu gehören ein angemessenes Anti-Malware-Programm und separate Backups. Ein weiterer Sicherheitsfaktor ist die Verschlüsselung der Daten. Die Konsequenz in diesem Fall: Der Angreifer konnte mit den Daten nichts anfangen und das Unternehmen nicht unter Druck setzen. Der Schaden war nur gering. Wichtig ist dem Ausschuss, dass der Verantwortliche den Angriff analysiert um die Konsequenzen der Attacke zu verstehen.
Welche Reaktion im Sinne der DSGVO ist nach Ansicht des Ausschusses notwendig?
Der Ausschuss unterscheidet drei verschiedene Reaktionen. Die Dokumentation der Datenpanne ist bei jeder Datenpanne erforderlich, auch wenn kein Risiko für den Betroffenen besteht. Die Meldung an die Aufsichtsbehörde ist vorgeschrieben, wenn ein Risiko für den Betroffenen besteht. Bei einem hohen Risiko ist zusätzlich die Information des Betroffenen notwendig. In diesem Fall sieht die Bewertung wie folgt aus:
Anders fällt die Bewertung des Sachverhalts aus, wenn das Unternehmen kein elektronisches Backup von den Dateien angelegt hat und die Daten nur mühsam wieder angelegt werden können. Dies wird u.a. mit den Verzögerungen für Kunden und möglichen Einschränkungen für Mitarbeiter (z.B. Lohnzahlung) begründet. Dann besteht eine Meldepflicht bei der Aufsichtsbehörde.
2. Interne menschliche Risikoquellen
In der allgemeinen Öffentlichkeit herrscht oft die Vorstellung, Angriffe auf Daten eines Unternehmens gingen von Hackern aus, die aus der Distanz mit Viren und komplizierten Codes Sicherheitssysteme umgehen. Dabei wird außer Acht gelassen, dass nach Angaben des Branchenverbandes BITKOM rund ein Drittel aller Angriffe von ehemaligen Mitarbeitern erfolgen.
Beispiel (CASE No. 08):
Während seiner Arbeit für ein Unternehmen kopiert ein Mitarbeiter Daten aus der Unternehmensdatenbank, auf die er Zugriff hat um seine Aufgaben zu erledigen. Einige Monate nachdem er den Job gekündigt hat, nutzt er die Daten (bei denen es sich hauptsächlich um grundlegende Kontaktdaten handelt) um Kunden des Unternehmens anzusprechen und sie für sein neues Geschäft zu gewinnen.
Der Mitarbeiter hatte berechtigten Zugriff auf die Daten, die er brauchte um seine Aufgaben zu erledigen. Nach Auffassung des Ausschusses ist ein solcher Datenmissbrauch aber nur schwer zu verhindern. Maßnahmen, um die Datensicherheit zu steigern können eine umfassendere Kontrolle und ein Berechtigungssystem sein.
In diesem Fall sind keine besonderen Kategorien von Daten betroffen. Allerdings kann der Verantwortliche nicht davon ausgehen, dass das Risiko für die Betroffenen niedrig ist. Zwar will der Angreifer die Daten lediglich dazu nutzen, neue Kunden zu gewinnen. Der Verantwortliche ist allerdings nicht in der Lage, die Intentionen des ehemaligen Mitarbeiters sicher vorherzusagen. Ein schwererer Missbrauch der Daten ist nicht ausgeschlossen.
Welche Reaktion im Sinne der DSGVO ist nach Ansicht des Ausschusses notwendig?
Auch wenn das Risiko für die Betroffenen nicht als hoch eingeschätzt wird und die Information der Betroffenen nicht vorgeschrieben ist, empfiehlt der Ausschuss dessen Benachrichtigung. Denn ist es nicht besser, dass die Betroffenen von dem Unternehmen selbst hören, was mit ihren Daten passiert ist, als von dem ehemaligen Mitarbeiter?
3. Fehlgeleitete Nachrichten
Zu den häufigsten Fällen von Datenpannen in Unternehmen zählen fehlgeleitete Nachrichten. Das sind vor allem E-Mails, die an die falsche Person gehen, aber auch Briefe und nicht zuletzt Fax-Sendungen. Ab wann die Panne gemeldet werden muss, hängt davon ab, wie sensibel die personenbezogenen Daten sind, die an den falschen Empfänger gehen und auch wie viele Menschen betroffen sind.
Beispiel (CASE No. 15):
Eine Liste von Teilnehmern für einen Englisch-Kurs, der für fünf Tage in einem Hotel stattfinden soll, ist aus Versehen an 15 ehemalige Teilnehmer verschickt worden anstelle an das Hotel. Die Liste beinhaltet Namen, E-Mail-Adressen und Essenspräferenzen der 15 Teilnehmer. Nur zwei Teilnehmer haben die Essenspräferenzen ausgefüllt und eine Laktoseintoleranz angegeben.
Der Verantwortliche entdeckt den Fehler sofort nachdem er die Liste verschickt hat. Er informiert die Empfänger über den Fehler und bittet sie, die Liste zu löschen.
Einschätzung des Ausschusses:
Normalerweise wird davon ausgegangen, dass ein hohes Risiko für den Betroffenen besteht, wenn es um Gesundheitsdaten geht. In diesem konkreten Fall sieht der Ausschuss allerdings nicht, dass die Datenpanne zu physischen, materiellen oder nicht-materiellen Schäden führt. Und im Gegensatz zu anderen Essenspräferenzen kann aufgrund der Laktoseintoleranz auch kein Rückschluss auf religiöse und philosophische Überzeugungen gezogen werden. Der Umfang der Daten und die Zahl der Betroffenen ist zudem sehr niedrig.