DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (3)

Auf zur Lösung von Fall 2! Sie ist nicht sehr schwer, zumal Fall 1 im Vergleich verdeutlichte, wo die Probleme liegen könnten. Und bei der Überschrift zu Fall 2 haben wir, ebenfalls wie der Europäische Datenschutzausschuss, zusätzlich „mit der Zaunslatte gewinkt“: Das fehlende Back-up. Aber gehen wir Schritt für Schritt vor, um nichts zu übersehen:


FALL 2: LÖSUNG

Vertraulichkeit: Die Untersuchungen zum Vorfall haben ergeben, dass im betroffenen Zeitraum keine Datenabflüsse nach außen erfolgten. Dies ist eine gute Nachricht, erlaubt aber noch keine vollständige „Entwarnung“. Im Einzelfall (dies mahnt auch der EDSA in Textziff. 28 der Richtlinie an) muss genauer geprüft werden, ob die vorhandenen Protokolle wirklich alle Datenexporte zuverlässig ausschließen oder vielleicht bestimmte Exportwege gar nicht abdecken. Nur wenn tatsächlich sicher ausgeschlossen werden kann, dass (1) Daten unbefugt die Verarbeitungssysteme des Verantwortlichen verließen und / oder (2) der Angreifer sich im System des Verantwortlichen „eingenistet hat“ und bei späterer Gelegenheit Datenexporte möglich sind, wäre „Vertraulichkeit“ vom geschilderten Eingriff nicht verletzt.

Der Unterschied zu Fall 1 – und der Nachteil für den Verantwortlichen in Fall 2 – liegt bei dem Thema „Vertraulichkeit“, genauer in der Fall 1 gegebenen bzw. in Fall 2 fehlenden Datenverschlüsselung durch den Verantwortlichen. Anders als bei der Datenspeicherung ist für aktive EDV-Systeme eine Datenverschlüsselung häufig nicht möglich, weil die Verarbeitung dann übermäßig erschwert oder ausgeschlossen wäre. Seit vielen Jahren ist dieser Bereich ein Arbeitsfeld der Kryptografen, das sicher noch für viele weitere Jahre erhalten bleibt. Die in Fall 2 geschilderte Situation entspricht daher dem täglichen Normalzustand der meisten EDV-Systeme. Für diesen häufig anzutreffenden Fall ist bei Angriffen Dritter die möglichst vollständige Protokollierung von Datenabflüssen enorm wichtig, um das Risiko eines Vertraulichkeitsbruchs einschätzen zu können. Verbleiben insoweit Unsicherheiten, ist vom möglichen Zugriff Dritter, also dem worst-case-Szenario, auszugehen (so auch EDSA-Richtlinie Textziffer 30).

Integrität der Daten: Die vom Angreifer unbefugt verschlüsselten Daten wurden verändert, entsprechen also nicht mehr dem ursprünglichen, korrekten Zustand. Sie liegen – mangels vollständiger Backups – auch nicht als Duplikate in unveränderter, einsatzfähiger Art vor. Allerdings existieren (nach dem Sachverhalt: einwandfreie) Unterlagen in Papierform, wenn auch nicht für den gesamten Datenbestand. Die Daten sind also entweder korrekt vorhanden oder jedenfalls (soweit Papierdaten fehlen) klar als „unbefugt verändert“ erkennbar. Es besteht folglich nicht das Risiko einer künftigen Verarbeitung unbefugt/unabsichtlich verfälschter Daten.

Verfügbarkeit: Die Datenschutzverletzung führte nach dem Sachverhalt eindeutig zu einer Störung der Verfügbarkeit. Zum einen ist die Wiederherstellung der Daten teilweise (wenn auch für einen geringen Teil) überhaupt nicht möglich gewesen. Zum anderen war für die Datenwiederherstellung (im überwiegenden Teil) eine erneute Digitalisierung unter Nutzung der Papier-Unterlagen notwendig, die immerhin fünf Arbeitstage beanspruchte und Verzögerungen bei Kundenaufträgen verursacht hat.

Damit hat die Datenschutzverletzung nicht nur Risiken begründet, sondern sogar konkrete Schäden tatsächlich eintreten lassen. Eine Meldung nach Art. 33 DS-GVO ist folglich nötig. Hohe Risiken für die Rechte und Freiheiten natürlicher Personen ergeben sich demgegenüber aus dem Sachverhalt nicht. Der Umfang der Datenschutzverletzung ist quantitativ (Daten von „ein paar Dutzend Personen“) und qualitativ (keine Daten besonderer Kategorien) begrenzt. Eingetretene Schäden beschränken sich auf geringfügige Lieferverzögerungen. Meldepflichten nach Art. 34 DS-GVO entstehen deshalb nicht.

Gesamtergebnis also:
(1) Dokumentation ja.
(2) Meldung an die Aufsichtsbehörde ja.
(3) Meldung an Betroffene nein.


FALL 3: RANSOMWARE-ATTACKE AUF EIN KRANKENHAUS BEI VORHANDENEM BACKUP UND OHNE DATENABFLUSS

Das Informationssystem eines Krankenhauses/Gesundheitszentrums war einem Ransomware-Angriff ausgesetzt und ein erheblicher Teil der Daten wurde vom Angreifer verschlüsselt. Das Unternehmen nutzt die Expertise einer externen Cybersecurity-Firma, um sein Netzwerk zu überwachen. Protokolle zur Verfolgung aller Datenströme, die das Unternehmen verlassen, einschließlich ausgehender E-Mails, sind verfügbar. Der Täter hat die Daten nur verschlüsselt, ohne zu exportieren. Die Protokolle zeigen keinen Datenfluss nach außen im Zeitraum des Angriffs. Die von der Verletzung betroffenen personenbezogenen Daten beziehen sich auf tausende Personen (Beschäftigte und Patienten). Backups waren in elektronischer Form verfügbar. Der größte Teil der Daten wurde wiederhergestellt. Dieser Vorgang dauerte jedoch 2 Arbeitstage und führte zu erheblichen Verzögerungen bei der Behandlung der Patienten mit abgesagten/verschobenen Operationen und zu einer Senkung des Serviceniveaus aufgrund der Nichtverfügbarkeit der Systeme.

Was meinen Sie? Interne Dokumentation: sicher. Meldung zur Aufsichtsbehörde? Mitteilung an die betroffenen Beschäftigten und Patienten?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.