Neues zum Datenschutzrecht
19.3.2021
Microsoft Exchange Server mit Schwachstellen – Wie steht es mit der DSGVO-Meldepflicht?
Nach Information des Bundesamts für Sicherheit in der Informationstechnik (BSI) waren Anfang März zehntausende Exchange Server in Deutschland über das Internet angreifbar und sind mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert worden. Davon betroffen sind Unternehmen und Organisationen jeder Größe.
Das BSI empfiehlt dringend das Einspielen der von Microsoft bereitgestellten Sicherheitsupdates. Weiterhin sollten anfällige Exchange-Systeme aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden. Die entsprechende BSI-Cyber-Sicherheitswarnung mit Informationen und Maßnahmen zum Umgang mit den Schwachstellen finden Sie hier und in der dazugehörigen Anlage hier
Die vom BSI gegebenen Hinweise und Handlungsempfehlungen sind nicht nur aus dem Blickwinkel der Informationssicherheit, sondern auch des Datenschutzes relevant. Die entsprechenden Vorgaben für die Sicherheit der Verarbeitung finden sich unter anderem in Art. 32 DSGVO. Darüber hinaus haben die vom BSI als kritisch bewerteten Schwachstellen in Exchange Servern auch eine Meldepflichtrelevanz gem. Art. 33 und 34 DSGVO.
Der Umstand, dass eine Kompromittierung eines Exchange Servers durch das Ausnutzen dieser Sicherheitslücken erfolgt ist, begründet zwar für sich genommen noch keine Meldepflicht. Nach Art. 33 DSGVO sind Verletzungen des Schutzes personenbezogener Daten an die Datenschutzaufsichtsbehörde zu melden, es sei denn, dass die Verletzung nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Hat die Verletzung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, sind auch die betroffenen Personen gem. Art. 34 DSGVO zu benachrichtigen. Eine Verletzung des Schutzes personenbezogener Daten liegt dann vor, wenn ein Datenabfluss oder eine unbefugte Manipulation personenbezogener Daten nachweislich erfolgt ist bzw. wenn nicht mit hinreichender Sicherheit ausgeschlossen werden kann, dass personenbezogene Daten aus dem System abgegriffen oder in diesem manipuliert worden sind.
Das Vorliegen einer Verletzung in der vorliegenden Konstellation zu Microsoft Exchange wird vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) grundsätzlich bejaht. Zum einen suchen kriminelle Angreifer gezielt und automatisiert nach verwundbaren, über das Internet leicht erreichbaren Exchange Server. Zum anderen liegen nach Informationen des BSI Erkenntnisse vor, dass massenhaft – teils automatisiert – unbefugte Zugriffe mit Schadensabsicht stattfanden bzw. weiterhin stattfinden. Keine Verletzung liegt vor, wenn Angriffe ausgeschlossen werden können oder keine personenbezogenen Daten betroffen waren.
Im Fall einer mit der Kompromittierung einhergehenden Verletzung des Schutzes personenbezogener Daten muss eine Meldung an die zuständige Datenschutzaufsichtsbehörde erfolgen, außer die Verletzung führt zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen. Das ist im Einzelfall insbesondere mit Blick auf die Art der betroffenen Daten zu beurteilen. Dabei wird es – je nach Aufsichtsbehörde – genügen, wenn im Ergebnis kein höheres als ein geringeres Risiko vorliegt, wie es z.B. die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen auf ihrer Website unter „Aktuelles“ im Zusammenhang mit den Microsoft Exchange Server-Schwachstellen ausdrücklich formuliert hat:
„Sollte ein mehr als geringes Risiko festgestellt werden, besteht die Meldepflicht an die zuständige Aufsichtsbehörde gemäß Artikel 33 Abs. 1 Datenschutz-Grundverordnung.“
Praxishinweis
Im Zusammenhang mit den kritischen Schwachstellen in Exchange Servern muss die Frage der datenschutzrechtlichen Meldepflicht in jedem Fall gestellt und beantwortet werden.
Kommt man nach der sicherheitstechnischen Überprüfung zu dem Ergebnis, dass die Sicherheitslücke – jedenfalls mit hinreichender Wahrscheinlichkeit – ausgenutzt wurde, ist in der Regel eine Meldung bei der zuständigen Datenschutzaufsichtsbehörde angezeigt, sofern ein oder ein mehr als geringes Risiko für die betroffenen Personen nicht ausgeschlossen werden kann. Für den Fall, dass Updates verspätet eingespielt wurden hält das BayLDA eine Kompromittierung aufgrund der technischen Erkenntnisse in der konkreten Gefährdungslage der Sicherheitslücken des Exchange Servers allerdings für sehr wahrscheinlich.
Sofern man eine Kompromittierung ausschließen kann oder keine bzw. ein lediglich geringes Risiko für die Rechte und Freiheiten natürlicher Personen bejaht, sollten die für den Verzicht einer Meldung maßgeblichen Feststellungen umfassend dokumentiert werden. Hierzu zählen insbesondere die sicherheitstechnischen Untersuchungen und die Risikobewertung.
Sollten Sie Fragen zur Meldepflicht oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht