DIE MELDEPFLICHT NACH ART. 33 DS-GVO BEI IT-SICHERHEITSVORFÄLLEN


In seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland für das Jahr 2021 weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) einmal mehr ausdrücklich auf die zunehmend angespannte Sicherheitslage hin. Das BSI beobachtet als nationale Cyber-Sicherheitsbehörde kontinuierlich die Gefährdungslage der IT-Sicherheit in Deutschland. Im Fokus stehen Angriffe auf Unternehmen, staatliche sowie öffentliche Institutionen und Privatpersonen. Ein Faktor für steigenden Zahlen mag sicherlich die angespannte Cyber-Sicherheitslage unter dem Einfluss der COVID-19-Pandemie sein. Vielseitige Phishing-Kampagnen unter inhaltlicher Bezugnahme auf die Pandemie gehören in vielen Organisationen mittlerweile sogar zum täglichen Lagebild. Darüber hinaus bestimmen aber auch vermehrt Vorfälle größerer Natur die mediale Aufmerksamkeit. Exemplarisch können hier die kritischen Schwachstellen in Microsoft Exchange (bekanntgeworden unter dem Begriff der sog. Hafnium-Sicherheitslücke), die Log4j-Schwachstelle oder der Solar-Winds-Vorfall angeführt werden. Schließlich wird die Cyber-Sicherheitslage durch immer neue Schadsoftware-Varianten und Bedrohungsszenarien geprägt. So gehören auch die cyber-kriminelle Erpressungsmethoden beinahe zum Alltag in Unternehmen und Verwaltung. Dies alles ist Grund genug, um im nachfolgenden Beitrag den Blick auf die datenschutzrechtlichen Herausforderungen im Zusammenhang mit Melde- und Benachrichtigungspflichten bei IT-Sicherheitsvorfällen zu werfen.


WIE GESTALTET SICH DIE RECHTLICHE AUSGANGSLAGE?

Gesetzliche Meldepflichten für den Fall von IT-Sicherheitsvorfällen existieren in Deutschland für eine Vielzahl unterschiedlicher Situationen. Neben der wohl bekanntesten Norm des Art. 33 DS-GVO kann in diesem Zusammenhang beispielhaft auf § 8b Abs. 4 BSI-Gesetz (BSIG) zur Meldepflicht für Betreiber kritischer Infrastrukturen oder § 168 Telekommunikationsgesetz hingewiesen werden. Bedeutung erlangen zudem § 11 Abs. 1c Energiewirtschaftsgesetz, § 44b Atomgesetz, § 329 Sozialgesetzbuch V, § 8c Abs. 3 BSIG oder länderspezifisch die §§ 15 – 17 Sächsisches Informationssicherheitsgesetz. Die Meldepflichten an die jeweils zuständigen Behörden sind je nach Rechtsgebiet unterschiedlich ausgestaltet und unterscheiden sich in Ihrer Art und Weise, d.h. in Bezug auf Inhalt und Frist, nach dem konkreten Anwendungsfall.  Datenschutzrechtliche Relevanz im Zusammenhang mit den eingangs dargestellten steigenden Cyberbedrohungen entfalten vermehrt Fragen im Zusammenhang mit der Auslegung und Anwendung von Art. 33 DS-GVO und der im Rahmen von IT-Sicherheitsvorfällen möglicherweise entstehenden Meldepflicht an die zuständige Datenschutzaufsichtsbehörde.


WANN IST VON EINER MELDEPFLICHT NACH ART. 33 DS-GVO AUSZUGEHEN?

Eine Meldepflicht gemäß Art. 33 DS-GVO liegt dann vor, wenn ein Verantwortlicher die Verletzung des Schutzes der von ihm verantworteten personenbezogenen Daten feststellt. Wann eine Verletzung des Schutzes personenbezogener Daten vorliegt, wird in Art. 4 Nr. 12 DS-GVO legaldefiniert. Als Verletzung des Schutzes personenbezogener Daten ist demnach „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ zu verstehen. Durch die vorstehende Definition wird ersichtlich, dass nicht jeder Verstoß gegen datenschutzrechtliche Vorschriften eine Meldepflicht nach Art. 33 DS-GVO auslöst. Vielmehr wird eine Verletzung der Sicherheit adressiert.

Im Falle des Vorliegens einer Verletzung meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, dies der zuständigen Datenschutzaufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Hierbei ergeben sich die Mindestinhalte der Meldung aus Art. 33 Abs. 3 DS-GVO. Nach Art. 33 Abs. 5 DS-GVO ist der Verantwortliche schließlich verpflichtet, Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen zu dokumentieren. Die Norm ist mithin Ausfluss der Rechenschaftspflicht. Soweit die Theorie. In der Praxis stellen sich hierbei zunehmend Herausforderungen bei der rechtlichen Bewertung ein.


WO LIEGT NUN DAS (AUSLEGUNGS-)PROBLEM?

Die im Zusammenhang mit der Meldepflicht nach Art. 33 DS-GVO entstehenden Probleme, können am Fall der sog. „Hafnium-Sicherheitslücke“ sehr gut verdeutlicht werden. Unter dem Begriff der „Hafnium-Sicherheitslücke“ werden Schwachstellen in on-premise betriebenen Microsoft-Exchange-Servern bezeichnet, wie sie Anfang März 2021 aufgetreten sind. Das BSI führt im Lagebericht 2021 hierzu aus: „Im März 2021 veröffentlichte Microsoft ein außerplanmäßiges Sicherheitsupdate für den weit verbreiteten Groupware- und E-Mail-Server Exchange. Das Update schloss vier kritische Schwachstellen, die in Kombination bereits für gezielte Angriffe ausgenutzt worden waren. Eine der Schwachstellen ermöglicht Angreifern, sich durch Senden speziell formulierter HTTP-Anfragen auf dem Exchange-Server zu authentisieren. Anschließend kann unter Ausnutzung der weiteren Schwachstellen beliebiger Programmcode mit weitreichenden Zugriffsrechten ausgeführt werden. Angreifer nutzten dies aus, um auf tausenden Servern Hintertüren in Form sogenannter Webshells einzuschleusen. Wurden diese nach der Installation der Sicherheitsupdates nicht entfernt, hatten die Täter weiterhin Zugriff auf betroffene Systeme und konnten darüber zum Beispiel E-Mails ausspähen oder Schadprogramme, wie Ransomware, ausrollen. Zum Zeitpunkt des Bekanntwerdens der Schwachstellen waren 98 Prozent der geprüften Systeme in Deutschland verwundbar […]“. Insbesondere in diesem Fall von erhöhter medialer Aufmerksamkeit äußerten sich die deutschen Datenschutzaufsichtsbehörden zum Teil sehr unterschiedlich. Das Bayrische Landesamt für Datenschutzaufsicht und der Bayrische Landesbeauftragte für den Datenschutz gingen in einer gemeinsamen Praxishilfe vom Vorliegen einer Meldepflicht gemäß Art. 33 Abs. 1 DS-GVO nicht nur in den Fällen einer Kompromittierung, sondern auch beim verspäteten Einspielen der Sicherheitsupdates aus. Hingegen vertrat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LdI NRW) in einer Mitteilung die Ansicht, dass nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen und keine besonders sensiblen personenbezogenen Daten in den betroffenen Systemen verarbeitet worden sein, zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt. In diesen Fällen nahm die LdI NRW eine Dokumentationspflicht gemäß Art. 33 Abs. 5 DS-GVO an. Eine Übersicht über die Äußerungen der Aufsichtsbehörden findet sich hier. Weit überwiegend wurde jedoch im Fall einer Kompromittierung eine Meldepflicht gemäß Art. 33 DS-GVO angenommen. Die vielen unterschiedlichen Ansichten sorgten jedoch für extreme Rechtsunsicherheiten.


WAS NEHMEN WIR FÜR DIE PRAXIS MIT?

Die Hafnium-Sicherheitslücke zum Anlass genommen, hat eine Unterarbeitsgruppe des AK Datenschutzes der Bitkom einen entsprechenden Leitfaden zur Auslegung der Art. 33 und Art. 34 DS-GVO veröffentlicht. Erforderlich ist bei der Behandlung von IT-Sicherheitsvorfällen im Rahmen der Art. 33 und Art. 34 DS-GVO stets eine exakte Betrachtung und Bewertung des Vorfalls. Nach Ansicht des Arbeitskreises führt das reine Vorhandensein von Sicherheitslücken bzw. Schwachstellen noch nicht zur Annahme einer Datenschutzverletzung und mithin zu einer Meldepflicht: „Nur die Kenntnis einer Sicherheitslücke durch den Verantwortlichen reicht nicht aus, sondern es müssen Hinweise vorliegen, dass Risiken für die Rechte und Freiheiten von Betroffenen bestehen. Ein Angriff auf ein System, mit dem personenbezogene Daten verarbeitet werden, kann jedoch genügen […]“. So entfällt die Meldepflicht gemäß Art. 33 Abs. 1 Satz 1 Hs. 2 DS-GVO, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Der Arbeitskreis führt hierzu aus: „Da Exchange-Server in sehr unterschiedlichen Konfigurationen betrieben werden, kann nicht davon ausgegangen werden, dass nur wegen des Vorliegens einer Schwachstelle auch eine Kompromittierung stattgefunden hat.“ Und weiter: „Lässt sich aber nicht mit hinreichender Sicherheit feststellen, ob nach festgestellter Kompromittierung der Systeme auch eine konkrete Datenschutzverletzung vorliegt, so können nur wenige Hinweise auf eine Verletzung des Schutzes personenbezogener Daten eine hinreichende Konkretisierung als Grundlage für eine spätere Meldung an die zuständige Aufsichtsbehörde sein […] nur die Feststellung einer Kompromittierung kann aus unserer Sicht noch keine Meldepflicht begründen.“ Der Arbeitskreis fordert mit Blick auf die gesetzgeberische Intention auch bei Vorliegen einer Kompromittierung weitergehende Prüfungen bzw. Konkretisierungen, ob es gleichwohl zu Verletzung des Schutzes personenbezogener Daten gekommen ist. Für datenschutzrechtlich Verantwortliche ist demnach die Aufklärung, Dokumentation und Beweissicherung von möglichen Datenschutzverletzungen bei IT-Sicherheitsvorfällen unverzichtbar.


FAZIT

Was zunächst bleibt, ist der Umstand, dass die Bewertung des Vorliegens einer Datenschutzverletzung und damit einhergehend des Bestehens einer Meldepflicht nach Art. 33 DS-GVO auch in den Konstellationen der IT-Sicherheitsvorfälle stets einzelfallbezogen zu bewerten ist. Letztlich verbietet sich aufgrund der Vielzahl möglicher Angriffsszenarien, -ziele und -vektoren eine generische Bewertung von IT-Sicherheitsvorfällen im datenschutzrechtlichen Kontext. Zu sehr ist im konkreten Einzelfall hinsichtlich betroffener Daten und Personen, Anzahl der Datensätze, Eintrittswahrscheinlichkeit des Risikos sowie weitere Umstände des konkreten Vorfalls zu differenzieren. Einbezogen werden kann bei der Bewertung von möglichen Vorfällen auch die im Januar 2022 aktualisierte Richtlinie 01/2021 des Europäischen Datenschutzausschuss „on Examples regarding Personal Data Breach Notification“.

Datenschutzrechtlich Verantwortlichen ist zudem anzuraten ein strukturiertes Incident-Response-Management in Betracht zu ziehen. Wesentlicher Bestandteil ist die Etablierung von Melde- und Prozessketten für die Behandlung von IT-Sicherheits- und Datenschutzvorfällen. Zentraler Baustein für die fristgerechte Wahrnehmung der gesetzlichen Meldepflichten ist der organisationsinterne Informationsfluss an die letztlich entscheidungsbefugten Ebenen. Für den Aufbau eines erfolgversprechenden Meldeprozess bedarf es wiederrum der Schaffung eines grundlegenden Verständnisses und den Beschäftigten.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.