Wie wichtig der Schutz personenbezogener Daten ist, hat die jüngste Sicherheitslücke bei Microsoft wieder einmal gezeigt. Doch welche Regeln gelten für den Schutz? Wo gibt es Empfehlungen und wann muss ich Kunden und Mitarbeiter informieren?
Anfang März informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über sicherheitskritische Schwachstellen bei Microsoft Exchange Servern. Microsoft stellte hierfür Updates bereit, mit denen vier Schwachstellen geschlossen werden konnten.
Die Schwachstellen ermöglichen zielgerichtete Angriffe und potenzielle Täter haben die Möglichkeit, Daten abzugreifen oder weitere Schadsoftware zu installieren. Bei beobachteten Angriffen wurde hierüber Zugang zu den E-Mail-Accounts erlangt sowie weitere Malware zur Langzeit-Persistenz installiert.
Ein „Datenschutz-Problem?“
Aus Sicht des Datenschutzes mag man zunächst die Frage stellen, warum dieser Vorfall relevant sein sollte. Geht es doch „nur“ um Schwachstellen und Angriffspunkte in der IT- und Software-Struktur von Servern.
Doch befasst man sich näher mit diesem Thema, wird schnell klar, dass Datenschutz und Daten- oder auch IT-Sicherheit in der Praxis quasi untrennbar miteinander verbunden sind. Denn oft führen Schwachstellen in der IT-Infrastruktur oder in Software zu dem Risiko, dass personenbezogene Daten abgegriffen werden können.
Bereits dieses Risiko für den Schutz personenbezogener Daten adressiert die Datenschutz-Grundverordnung (DSGVO) in ihren Vorschriften zur Sicherheit personenbezogener Daten (Artikel 32 ff. DSGVO).
Welcher Schutz ist gesetzlich vorgeschrieben?
Artikel 32 Absatz 1 DSGVO verlangt sowohl von Verantwortlichen als auch von Auftragsverarbeitern (also Dienstleistern, die mit personenbezogenen Daten umgehen), dass sie für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Dabei müssen sie den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos berücksichtigen.
Das klingt zunächst sehr offen und wenig konkret. Tatsächlich ist dies aber auch die Absicht des Gesetzgebers. Es werden in der DSGVO keine speziellen Schutzmaßnahmen zwingend vorgegeben. Vielmehr soll ein dem Risiko angemessener Schutz gewährleistet werden.
Das bedeutet: Berufliche E-Mail-Adressen sind anders zu schützen als etwa Patientenakten. Datenverarbeitende Stellen müssen also jeweils für die von ihnen verarbeiteten Daten und dem potenziellen Risiko für diese Daten prüfen, welche Maßnahmen erforderlich sind.
Wo findet man Empfehlungen für den Schutz personenbezogener Daten?
Da die DSGVO zu keinen Minimumstandards für Maßnahmen verpflichtet, fragen sich datenverarbeitende Stellen oft, wo man denn gute Tipps für umzusetzende „technische und organisatorische Maßnahmen“ findet?
Recht praktisch ist hierfür ist das Dokument „Good Practice bei technischen und organisatorischen Maßnahmen“ des Bayerischen Landesamts für Datenschutzaufsicht.
Dort findet sich eine Fülle an Vorschlägen für Schutzmaßnahmen. Zu beachten ist, dass dies natürlich nur Vorschläge sind. Jeder Verantwortliche und jeder Auftragsverarbeitende muss im Einzelfall prüfen, welche Schutzmaßnahmen für seine Datenverarbeitungen „passen“.
Und wenn es schiefläuft?
Um noch einmal auf die entdeckte Schwachstelle bei Microsoft Exchange zurückzukommen: Kurz nach Veröffentlichung der Information durch das BSI traten die ersten deutschen Datenschutzbehörden mit Pressemitteilungen an die Öffentlichkeit, wie nach der DSGVO mit der nun bekannten Sicherheitslücke zu verfahren ist.
Oder anders: Ob nach der DSGVO eine Meldung an die Aufsichtsbehörde (Artikel 33 DSGVO) oder gar eine Benachrichtigung an betroffene Personen (Artikel 34 DSGVO) zu erfolgen hat.
Wichtig zu beachten ist hierbei, dass diese Meldungen unterschiedliche Voraussetzungen haben. Die Meldung an die Behörde nach Artikel 33 Absatz 1 DSGVO muss (schon) dann vorgenommen werden, wenn eine Verletzung des Schutzes personenbezogener Daten vorliegt. Ebenso muss (!) diese voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen.
Das bedeutet: Unternehmen müssen in Fällen wie dem hier angesprochenen intern prüfen, ob erstens etwa personenbezogene Daten abgegriffen wurden. Im Anschluss geht es um die Frage, ob dies zu einem Risiko für Betroffene führen kann (zum Beispiel Identitätsdiebstahl).
Wichtig ist hier eine saubere Dokumentation der Prüfung. Das gilt auch für den Fall, dass man eine Meldepflicht verneint (Artikel 33 Absatz 5 DSGVO).
Für den Fall, dass eine solche Schutzverletzung ein hohes Risiko für Betroffene birgt, muss das Unternehmen zusätzlich auch diese Betroffenen (Kunden oder Mitarbeiter) informieren (Artikel 34 DSGVO).
Ein solches hohes Risiko wird etwa dann angenommen, wenn Zahlungsdaten entwendet wurden und diese dazu genutzt werden können, um Geld von Betroffenen zu stehlen.
Auch interessant:
