Cyber-Angriffe auf Hochkonjunktur – Ten Most Frequently Asked Questions aus der Beratungspraxis

Cyberangriffe haben Hochkonjunktur! Der Microsoft Exchange Exploit hat in den vergangenen Wochen bei Tausenden von Unternehmen für Wirbel gesorgt und das Thema IT-Sicherheit auf Platz eins der Tagesordnung gebracht! Dabei stellen insbesondere die wenig konkreten und in der Behördenpraxis höchst unterschiedlich angewendeten Vorschriften zum Umgang mit Datenschutzvorfällen in der DSGVO Unternehmen oftmals vor größte Herausforderungen. Versprach die zu Beginn des Jahres durch die europäischen Aufsichtsbehörden veröffentlichte Guideline zu Data Breach erste Klarstellungen und Hilfe für Ratsuchende Unternehmen, zeigen die Ereignisse der letzten Wochen, dass auch innerhalb der verschiedenen Aufsichtsbehörden – national wie europaweit – unterschiedliche Auffassungen zur Auslegung der jeweiligen Vorschriften existieren.

Wann muss ein Datenschutzvorfall denn nun tatsächlich der Aufsichtsbehörde zur Kenntnis gebracht werden? Wie handhaben die Aufsichtsbehörden die 72-Stunden-Frist der DSGVO? Und: Was muss ich der Behörde erzählen – was sollte ich nicht erzählen? In der Praxis stoßen betroffene Unternehmen auf eine Vielzahl von Fragestellungen, die auch fast drei Jahre nach Inkrafttreten der DSGVO und der dazu veröffentlichten Hilfestellungen der Behörden unbeantwortet bleiben.

Unser Taylor-Wessing-Team in Deutschland hat in den vergangenen ein bis zwei Jahren (weit) über 100 Datenschutzvorfälle inklusive noch laufender behördlicher Verfahren betreut. Zeit, einmal die Ten Most Frequently Asked Questions aus der Beratungspraxis zusammenzufassen und Unternehmen eine erste Checkliste an die Hand zu geben, die, im Fall der Fälle, dabei helfen kann, gleich die richtigen Fragen zu stellen.

Bitte beachten Sie: Bei der nachfolgenden Auflistung handelt es sich selbstverständlich nur um einen ersten, knappen Abriss typischer datenschutzrechtlicher Fragestellungen im Rahmen eines Cyber-Angriffs. Finden Sie die aus Ihrer Sicht besonders wesentlichen Fragen in der nachfolgenden Zusammenstellung nicht oder haben Sie konkrete Fragen, zu denen Sie in Ihrer Unternehmenspraxis bislang keine entsprechenden Antworten finden konnten, sprechen Sie uns gerne an!

 

Frage 1: Unsere Systeme und Daten wurden durch eine Ransomware verschlüsselt. Sonst scheint nichts passiert zu sein. Für unser Unternehmen ist das selbstverständlich ärgerlich, aber ein Risiko für die Betroffenen, also z.B. unsere Mitarbeiter oder Kunden sehen wir nicht. Müssen wir einen solchen Fall der Aufsichtsbehörde melden?

Wie sagen die Juristen immer so schön: Es kommt darauf an. Fest steht: Nach Auffassung der deutschen Datenschutzaufsichtsbehörden gibt es keinen Grundsatz, wonach die bloße Verschlüsselung von Daten (und die daraus folgende, gegebenenfalls auch nur vorübergehende Nichtverfügbarkeit) kein Risiko für die Rechte und Freiheiten betroffener Personen gemäß Art. 33 DSGVO darstellen und ggf.-  eine daraus resultierende Meldepflicht auslösen kann. Dem folgt auch das European Data Protection Board (EDPB) in seinen Guidelines 01/2021 on Examples regarding Data Breach Notification vom 14. Januar 2021.Maßgebliche Faktoren zur Bestimmung einer etwaigen Meldepflicht sind dabei (i) die Folgen der Nichtverfügbarkeit der Daten für betroffene Personen (z.B. finanzielle Nachteile) sowie (ii) der Zeitraum der Nichtverfügbarkeit. Dabei scheint das EDPB die 72-Stunden-Frist gem. Art. 33 (1) DSGVO als Indikator für einen Zeitraum anzunehmen, bei dessen Überschreitung die Wiederherstellung gegebenenfalls schon zu lange gedauert hat und regelmäßig Risiken für betroffene Personen entstehen (vgl. Guidelines 01/2021 des EDPB, Rn. 24). Auch wenn vollkommen unklar bleibt, wie das EDPB die parallele Anwendung der 72-Stunden-Frist auf die vorliegende Fragestellung begründen will, wird diese in der Praxis gegebenenfalls als ein möglicher Anhaltspunkt dienen. Wie das EDPB hatten zuvor auch andere Behörden (vgl. hierzu u.a. die Stellungnahme der Datenschutzaufsichtsbehörde aus Hamburg) Meldepflichten im Fall der bloßen Nichtverfügbarkeit von Daten insbesondere in solchen Fällen angenommen, in denen besonders sensible Datenkategorien betroffen sind (z.B. Gesundheitsdaten).

Praxistipp: Auch die Verschlüsselung und Nichtverfügbarkeit von Daten kann zur Meldepflicht gem. Art. 33 DSGVO, in ausgesuchten Fällen auch zu einem hohen Risiko und folgerichtig einer Informationspflicht gegenüber Betroffenen gem. Art. 34 DSGVO führen.

 

Frage 2: Wir haben herausgefunden, dass einzelne unserer Systeme im Rahmen eines Hacker-Angriffs kompromittiert wurden. Nach den gegenwärtigen Erkenntnissen, waren die Daten, auf die die Angreifer Zugriff hatte, aber verschlüsselt. Wir hören immer wieder, dass auch die Verarbeitung verschlüsselter Daten datenschutzrechtliche Fragestellungen aufwerfen kann. Müssen wir sowas der Aufsichtsbehörde melden?

Richtig ist: Grundsätzlich gelten auch für den Umgang mit verschlüsselten Daten die datenschutzrechtlichen Vorschriften. Eine die Anwendung der datenschutzrechtlichen Vorschriften ausschließende Anonymisierung kann in solchen Fällen nur (ganz) ausnahmsweise angenommen werden.

Ungeachtet dessen haben das EDPB sowie weitere deutsche Aufsichtsbehörden in der Vergangenheit mehrfach bestätigt, dass die Kompromittierung von Systemen mit bloß verschlüsselten Daten dann nicht zu einer Meldepflicht (und folgerichtig auch nicht zur Pflicht zur Information Betroffener) führt, wenn die Verschlüsselung dem Stand der Technik entspricht und folgerichtig nicht mit einer Kompromittierung zu rechnen ist.

Praxistipp: Im Rahmen forensischer Untersuchung ist in jedem Fall zu ermitteln, ob für betroffene Daten ein entsprechender Zugriffsschutz bestand, da entsprechende Maßnahmen im Idealfall eine Meldepflicht ausschließen können.

 

Frage 3: Unsere IT-Abteilung hat auf unseren Systemen Schad-Software entdeckt, die jedoch unschädlich gemacht werden konnte. Nachweise dafür, dass unberechtigte Dritte Daten auf unseren Systemen einsehen konnten oder gar Daten abgeflossen sind, konnte nicht gefunden werden. Was müssen wir tun?

Oftmals lassen sich nach Auffinden von Schad-Software oder anderen Spuren einer Kompromittierung der Systeme keine belastbaren Anhaltspunkte für unberechtigte Datenzugriffe durch natürliche Personen oder gar Datenabflüsse finden. Dies liegt zum einen daran, dass Angreifer in vielen Fällen ihre Spuren wirksam verwischen. Zum anderen liegen oftmals nicht die für eine weitergehende Prüfung erforderlichen Informationen vor, da die jeweiligen Systeme z.B. keine oder nur lückenhaft Log-Files aufzeichnen. Da die Pflicht zur Meldung an eine Aufsichtsbehörde nur im Fall eines Risikos für die Rechte und Pflichten Betroffener besteht, sind die vorliegenden Anhaltspunkte im Rahmen einer Risikobeurteilung zu bewerten. Dabei sind, neben der Wahrscheinlichkeit einer tatsächlichen Kompromittierung personenbezogener Daten, die sich für die Betroffenen in einem solchen Fall ergebenden Risiken und die Schwere möglicher Schäden in eine Gesamtbetrachtung abzuwägen. So reicht bei besonders sensiblen Daten bzw. erheblicher Schwere etwaiger Schäden eine geringere Wahrscheinlichkeit für einen tatsächlichen Datenzugriff bzw. Abfluss aus, als wenn es sich um weniger sensible Daten handelt.

Der Umstand, dass sich nach einer forensischen Untersuchung lediglich keine handfesten Beweise gegen einen tatsächlichen Daten-Abschluss finden lassen, führt somit nicht automatisch dazu, dass kein (hohes) Risiko für Betroffene besteht. Insbesondere für den Fall, dass potentiell besondere Kategorien personenbezogener Daten kompromittiert worden sein könnten, dürfte die Schwelle zur Meldepflicht an die Behörde schnell überschritten sein.

Praxistipp: Nur weil sich keine Nachweise finden lassen, heißt es noch lange nicht, dass nicht zu melden ist. Eine umfassende Betrachtung der einzelnen Umstände sowie eine sorgfältige Risikobeurteilung sind absolutes Pflichtprogramm!

 

Frage 4: Unser Dienstleister hat vor einer Woche entdeckt, dass auf unseren Systemen Schad-Software installiert war, die gegebenenfalls zu Datenabschlüssen geführt hat. Leider hat er uns erst heute darüber unterrichtet. Können wir den Vorfall jetzt überhaupt noch melden?

Da Art. 33 (1) DSGVO auf die Kenntniserlangung auf Seiten des Verantwortlichen abstellt, dürfte die 72-Stunden-Frist des Art. 33 DSGVO in der Regel erst ab Kenntnis durch das beauftragende Unternehmen selbst zu laufen beginnen.

Praxistipp: Um einen effizienten Informationsfluss im Fall eines Cyber-Angriffs zu gewährleisten, sind mit Dienstleistern praxisnahe Regelung zur Information im Fall eines entsprechenden Vorfalls vertraglich zu regeln.

 

Frage 5: Wir haben am Donnerstagabend erfahren, dass unsere Systeme im Rahmen eines Hacker-Angriffs kompromittiert wurden. Die 72-Stunden-Frist läuft dann wohl am darauffolgenden Sonntag ab. Sollten wir es vorher nicht schaffen, müssen wir dann tatsächlich den Vorfall am Sonntag an die Behörde melden?

Grundsätzlich lautet die richtige Antwort „Ja“. Die Regelung in Art. 33 DSGVO sieht keinerlei Einschränkungen wie eine „Wochenend“-Ausnahme für die Meldepflicht vor. In der Tat ist umstritten, ob Grundsätze des deutschen Zivil- und Verwaltungsrechts, wonach bei Fristablauf an Sonn- und Feiertagen in der Regel erst der darauffolgende Werktag maßgeblich sein soll, hier entsprechend angewendet werden können und folgerichtig eine Meldung an einem Sonntag bereits nicht erforderlich wäre. Praktisch erscheint es wenig sinnvoll, eine Meldung am Wochenende abzugeben, da nicht damit zu rechnen ist, dass entsprechende Informationen bei der zuständigen Aufsichtsbehörde in diesem Zeitraum zur Kenntnis genommen werden können. Es empfiehlt sich jedoch, insbesondere in zeitkritischen Situationen, ein kurzer Anruf bei der zuständigen Behörde und Ankündigung der entsprechenden Meldung für den darauffolgenden Werktag, was in aller Regel durch deutsche Behörden akzeptiert werden dürfte.

Praxistipp: Die Meldepflicht kennt keine Wochenendausnahme. In Grenzfällen kann das Vorgehen auch einmal kurzfristig mit der Aufsichtsbehörde telefonisch abgestimmt werden. In jedem Fall gilt: Warten Sie mit der Meldung nicht bis zur letzten Minute!

 

Frage 6: Im Rahmen eines Cyber-Angriffs wurden unsere Systeme kompromittiert, dort fanden sich jedoch ausschließlich B2B-Kundendaten. Gilt die Meldepflicht auch dann, wenn nur B2B-Daten betroffen sind?

Grundsätzlich ja. Die DSGVO differenziert nicht zwischen entsprechenden Nutzungsszenarien, sodass auch personenbezogene Daten, die im geschäftlichen Kontext erhoben und verarbeitet werden, den geltenden datenschutzrechtlichen Vorschriften unterfallen und deren Kompromittierung somit natürlich auch eine Meldepflicht auslösen kann (vgl. hierzu u.a. das EDPB, dass nicht nach entsprechenden Kriterien zu differenzieren scheint). Ungeachtet dessen bleibt selbstverständlich eine maßgebliche Berücksichtigung im Rahmen der vorzunehmenden Risikobeurteilung möglich und sachgerecht. Da die DSGVO Rechte und Freiheiten natürlicher Personen und gerade nicht juristischer Personen bzw. Unternehmen schützt, kann ein Risiko i.S.d. Art. 33, 34 DSGVO nur dort bestehen, wo ein solches die natürliche Person selbst treffen kann. Das kann im B2B-Bereich nicht ausgeschlossen werden, dürfte aber tendenziell weniger häufig der Fall sein, als bei der Kompromitierung von B2C-Daten.

Praxistipp: Die Differenzierung nach B2B- und B2C-Daten löst das „Problem“ der Meldepflicht nicht, dürfte aber in vielen Fällen der obligatorischen Risikobeurteilung weiterhelfen.

 

Frage 7: Ein Mitarbeiter hat während seiner Anstellung bei uns im Rahmen der ihm eingeräumten Berechtigungen Kundendaten gesammelt und nach dem Ende seiner Tätigkeit „mitgenommen“. Wir haben erfahren, dass er diese Daten nun dazu verwendet, um entsprechende Kunden zu kontaktieren. Ist das ein meldepflichtiger Vorgang?

Voraussetzung einer Meldepflicht gemäß Art. 33 DSGVO ist, dass es zu einer Verletzung des Schutzes personenbezogener Daten i.S.d. des Art. 4 Nr. 12 DSGVO gekommen ist. Eine Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Soweit ein Mitarbeiter während der Zeit seiner Anstellung Daten aus einem System entwendet, auf das er berechtigterweise Zugriff hatte, dürfte infragegestellt werden können, ob hier überhaupt eine Verletzung des Schutzes personenbezogener Daten im oben genannten Sinne erfolgt ist. Eine Verletzung der Sicherheit dürfte regelmäßig eine Verletzung technischer oder organisatorischer Maßnahmen gem. Art. 32, 25 DSGVO erfordern. Soweit die Entwendung entsprechender Daten unter Einsatz ordnungsgemäß vergebener Zugriffsrecht erfolgte, könnte das Vorliegen dieser Voraussetzung zumindest fragwürdig erscheinen.

Anders scheint dies wohl das EDPB in seiner aktuellen Stellungnahme vom Januar 2021 zu sehen und geht in einem vergleichbaren Fall von einer Meldepflicht an die Aufsichtsbehörde aus (wohl wegen mangelnder technischer und organisatorischer Maßnahmen, wenn durch das EDPB die (praxisfern wirkende) Empfehlung ausgesprochen wird, entsprechende Berechtigungen ab dem Zeitpunkt der Kündigung eines Mitarbeiters zu beschränken, auch wenn diese erforderlich sind, um die geschuldete Arbeit zu verrichten).

Praxistipp: Der Fall verdeutlicht, wie strikt die Aufsichtsbehörden die jeweiligen Voraussetzungen interpretieren.

 

Frage 8: Nach den forensischen Erkenntnissen konnten Angreifer durch einen sogenannten Brute-Force-Angriff Passwörter für einen Remote-Zugriff erbeuten und sind so auf unsere Systeme gelangt und konnten Daten entwenden. Wir möchten diesen Vorgang der Aufsichtsbehörde melden, aber nicht zu viele Details über den konkreten Hergang des Vorfalls, insbesondere den Brute-Force-Angriff, preisgeben. Wäre das möglich?

Nach Art. 33 (3) DSGVO ist der Behörde u.a. „eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten“ im Fall einer Meldung mitzuteilen.

Dabei ist unklar, ob entsprechende Details zu Ursachen und Hergang der Kompromittierung eines IT-Systems stets mitzuteilen sind. Da ein erfolgreicher Brute-Force-Angriff gegebenenfalls auf Schwachstellen in der IT-Sicherheit des Unternehmens hindeuten kann (z.B. keine ausreichende Sicherung eines Remote-Zugangs), sollte vor Abgabe der Meldung genau geprüft werden, welche Details im vorliegenden Fall zwingend mitzuteilen sind und welche nicht. Da entsprechende Informationen gegebenenfalls zum Anlass für weitere Untersuchungen durch die Aufsichtsbehörde genommen werden könnten, sollte in entsprechenden Fällen stets vorausschauend gemeldet werden. Ebenso zu beachten bleibt, dass veraktete Fehler bei der IT-Sicherheit gegebenenfalls auch durch Dritte gegen das Unternehmen instrumentalisiert werden können (z.B. nach Geltendmachung entsprechender Einsichtsrechte im Rahmen eines Schadensersatzprozesses durch Betroffene).

Praxistipp: Solange die Reichweite des Beweisverwertungsverbots in § 43 (4) BDSG noch nicht geklärt ist, ist in entsprechenden Situationen zu sorgfältiger Prüfung und Vorsicht geraten.

 

Frage 9: Wir möchten einen Cyber-Angriff an die zuständige Aufsichtsbehörde melden, überarbeiten aber gerade noch unsere Webseite, die derzeit den geltenden datenschutzrechtlichen Vorgaben wohl noch nicht entspricht. Macht das was aus? 

Das kann durchaus sein. In der Praxis werfen Aufsichtsbehörden beim Eingang einer Meldung gemäß Art. 33 DSGVO gerne einen Blick in das Register für Datenschutzbeauftragte (Hat das meldende Unternehmen einen Datenschutzbeauftragten bestellt?) sowie auf die Webseite des Unternehmens, deren Datenschutzerklärung regelmäßig wie eine Visitenkarte zum Datenschutz fungiert. Liegt hier einiges im Argen, dürfte eine Prüfung einer eingereichten Meldung gegebenenfalls kritischer erfolgen, als bei perfekter Außendarstellung beim Datenschutz. In der Situation eines Cyber-Angriffs werden sich entsprechende Anpassungen zeitnah oftmals nur schwer vornehmen lassen, da andere Themen Priorität besitzen. Die Punkte sollten jedoch nicht außer Acht gelassen werden. Falls möglich sollten vor Abgabe einer Meldung die gröbsten „Patzer“ ausgebessert werden (u.a. ausreichende Verschlüsselung von Kontaktformularen o.Ä. auf Webseiten, da hier Fehler von Behörden besonders einfach entdeckt und beanstandet werden können).

Praxistipp: Es kann sich rentieren, die Webseite mit wenigen gezielten Handgriffen vor Abgabe einer Meldung schnell etwas auf Vordermann zu bringen.

 

Frage 10: In einigen Meldeformularen der Behörden wird nach einer „Risikoeinschätzung“ gefragt. Wie macht man so was und muss man das dokumentieren?

Gemäß Art. 33 (5) DSGVO ist der Verantwortliche verpflichtet, Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen zu dokumentieren, um der Aufsichtsbehörde die Prüfung der Einhaltung der jeweiligen Bestimmungen zu ermöglichen.

Da eine Risikoeinschätzung wesentlicher Bestandteil der Prüfung des Risikos gemäß Art. 33 DSGVO ist, ist eine solche nicht nur durchzuführen, sondern auch entsprechend zu dokumentieren.

Bei der Durchführung können sich Unternehmen unter anderem an den Hilfestellungen der Aufsichtsbehörden orientieren. Hier sei exemplarisch auf die Handreichung der Bayerischen Datenschutzaufsicht für eine vereinfachte Risikoprüfung verwiesen. Weitere Details lassen sich unter anderem den Mustern für eine Datenschutzfolgeabschätzung entnehmen, deren Grundsätze selbstverständlich auch im Rahmen der Prüfungen gemäß Art. 33 DSGVO angewendet werden können.

Praxistipp: Die Risikoeinschätzung ist das A und O der Prüfung einer möglichen Melde- oder Informationspflicht. Allen Unternehmen ist zu empfehlen, sich vorab einen entsprechenden Prozess zurechtzulegen, mit dem dann im Ernstfall schnell und effizient eine solche Prüfung durchgeführt und dokumentiert werden kann.