17.03.2021

Microsoft Exchange – sollen sich betroffene Unternehmen jetzt noch bei den Aufsichtsbehörden melden?

Autorinnen: Silvia C. Bauer, Elena Jopke

Hintergrund

Ein riesiges Datenleck bei Microsoft Exchange ging Anfang März 2020 viral. Nachdem Microsoft bereits zwei Monate Kenntnis von den vier Schwachstellen im Programm hatte, über die Hacker Daten abfangen und Schadsoftware installieren konnten, brachte das Unternehmen am 2. März 2020 ein Softwareupdate heraus, das die Sicherheitslücken schließen konnte. Während Hacker zwischen Januar und März noch verdeckt Server infiltrierten, suchten sie nach der Veröffentlichung des Updates gezielt nach Unternehmen, die dieses nicht schnell genug installierten. So schafften sie es laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in kürzester Zeit, alleine in Deutschland Zugriff auf 57.000 Server zu erlangen. Einmal gehackt, können die Angreifer auch nach dem Update E-Mail Postfächer und Adressbücher mitlesen, Daten abfangen und ungehindert Schadsoftware zur weiteren Nutzung installieren. Den Hinweis des BSI zur Einstufung des Vorfalls in die höchste Bedrohungsstufe können sie hier nachlesen. Ob Sie betroffen sind, können Sie mithilfe der Hinweise Microsofts überprüfen.

Was sagt das Gesetz zur Meldepflicht etwaiger Datenschutzverstöße?

Art. 33 I DSGVO verlangt, dass verantwortliche Unternehmen Datenschutzverstöße den Aufsichtsbehörden gegenüber melden. Genannt werden sollen die Art der Verletzung des Schutzes personenbezogener Daten, wenn möglich die Kategorien und die Anzahl der betroffenen Personen, der Kategorien und der personenbezogenen Datensätze, die Kontaktdaten des Datenschutzbeauftragten (oder einer sonstigen Anlaufstelle), die wahrscheinlichen Folgen der Datenschutzverletzung, die zur Behebung der Schutzverletzung der personenbezogener Daten ergriffenen Maßnahmen und Maßnahmen zur Abmilderung des entstandenen Schadens.

Die Meldung darf schrittweise nach dem Kenntnisstand des Verstoßes erfolgen, Art. 33 Abs. 4 DSGVO. Die (erste) Meldung muss erfolgen, sobald der Verantwortliche die Art, Umstände und Zeitpunkt der Schutzverletzung und die Kategorien der betroffenen Daten kennt. Ein Verstoß muss nur ausnahmsweise dann nicht gemeldet werden, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Der Verantwortliche muss eine Risikoprognose vornehmen, bei der er sich an den Hinweisen der Datenschutzkonferenz (DSK) orientieren kann. Berücksichtigt werden insbesondere die Art des Verstoßes, Art und Umfang der betroffenen Daten, ein möglicher Personenbezug der Daten für Dritte, die Schwere der Konsequenzen für und die Schutzwürdigkeit der Betroffenen (z. B. Kinder).

Die Meldung muss innerhalb von 72 Stunden gegenüber der zuständigen Aufsichtsbehörde erfolgen. Die Zuständigkeit der Behörde richtet sich nach dem Ort der Datenverarbeitung, Art. 55 DSGVO. Die Meldung kann auch nachträglich erfolgen, allerdings muss die Verzögerung konkret begründet werden. Je schwerer der Verstoß wiegt und je länger die Verzögerung andauert, desto schwieriger die Rechtfertigung einer Verzögerung. Die Meldung kann zur Wahrung der Dokumentationspflicht nach Art. 5 Abs. 2 DSGVO schriftlich vorgenommen werden.

Wird die Meldung gar nicht oder unbegründet zu spät angezeigt, kann die Aufsichtsbehörde das Unternehmen anweisen, ihr die nötigen Informationen umgehend zur Verfügung zu stellen, Art. 58 Abs. 1 DSGVO, oder nach Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld von bis zu EUR 10 Mio. oder 2 % des weltweiten Vorjahresumsatzes des gesamten Konzerns verhängen.

Nach Art. 34 DSGVO müssen die verantwortlichen Unternehmen zudem bei einem hohem Risiko für die Rechte und Freiheiten natürlicher Personen, wenn z. B. besonders sensible Daten nach Art. 9 DSGVO (z. B. Gesundheitsdaten) betroffen sind, so schnell wie möglich die betroffenen Personen über den Datenvorfall informieren. Zur Einstufung des hohen Risikos kann sich an den Hinweisen der DSK orientiert werden. Die Informationspflicht entfällt, wenn die Daten verschlüsselt oder pseudonymisiert waren oder andere geeignete technische und organisatorische Sicherheitsvorkehrungen zum Schutz der Daten getroffen wurden, oder die Risiken im Nachhinein vollständig beseitigt werden konnten. Aufsichtsbehörden können Verantwortliche anweisen, die Bekanntgabe nachzuholen. Kommt das Unternehmen der Anweisung nicht nach kann nach Art. 83 Abs. 6 DSGVO ein Bußgeld von EUR 20 Mio. oder 4 % des weltweiten Vorjahresumsatzes des Konzerns anfallen.

 

Die entscheidende Frage ist: Müssen Unternehmen den Exchange-Datenvorfall melden?

Durch die zahlreichen Pressemeldungen und die Hinweise der Behörden ist eine öffentliche Bekanntgabe des Datenlecks von Microsoft Exchange Anfang März erfolgt, die auch Unternehmen nicht entgangen sein dürfte. Sie konnten daher zumindest damit rechnen, dass ggf. auch bei ihnen ein möglicher Datenschutzvorfall in diesem Zeitraum vorliegen könnte. Infolgedessen hätten Unternehmen umgehend kontrollieren müssen, inwieweit sie betroffen sind, Daten abgegriffen und Schadsoftware auf ihren Servern installiert wurde. Innerhalb von 72 Stunden hätten sie eine Datenschutzverletzung ihrer zuständigen Aufsichtsbehörde anzeigen müssen.

Was sagen die Datenschutzaufsichtsbehörden dazu?

Die Datenschutzaufsichtsbehörden vertreten bedauerlicherweise unterschiedliche Auffassungen: Während die Mehrheit der Landesbeauftragten für Datenschutz, wie die Datenschutzbeauftragten Hamburgs, Sachsen-Anhalts, Mecklenburg-Vorpommerns, Rheinland-Pfalz, Sachsens und Niedersachsens, ausführten, dass eine Meldung „nur“ dann erfolgen müsse, wenn es zu einer Kompromittierung des Unternehmens gekommen sei, vertrat der Landesbeauftragte Baden-Württembergs die Auffassung, dass wohl nur in Ausnahmefällen keine Meldung erforderlich sei. Noch strenger bewertete der Landesbeauftragte Bayerns die Situation: Nach seiner Auffassung müsse sich jedes Unternehmen bei der Aufsichtsbehörde melden, das Kenntnis von einem Datenverstoß in seinem Unternehmen und bis zum 9. März 2021 die Sicherheitsupdates nicht installiert habe, da nach diesem Zeitpunkt nicht mehr mit einem geringen Risiko zu rechnen sei. Nach dem Hessischen Landesbeauftragten müssen Unternehmen „spätestens jetzt“ (Stand 12.03.2021) aktiv werden, um den Verpflichtungen nach Art. 32 DSGVO gerecht zu werden. Milder waren auch die Aussagen des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalens, nach dem eine Meldung nur erforderlich sei bei Feststellung eines Datenabflusses oder Manipulation und nur dann, wenn besonders sensible Daten nach Art. 9 DSGVO betroffen seien. In allen anderen Fällen genüge eine interne Dokumentation des Vorfalls.

Unabhängig von den Meldungen der betroffenen Unternehmen und Anzeigen Dritter versuchen die Aufsichtsbehörden nach den vorliegenden Informationen zurzeit eigenständig möglichst viele der betroffenen Unternehmen ausfindig zu machen und Kontakt zu ihnen aufzunehmen.

 

Was empfehlen wir jetzt?

Unternehmen sollten die Sicherheitsupdates umgehend installieren, sofern dies noch nicht erfolgt ist. Zudem sollte geprüft werden, inwieweit es bereits zu einem Datenschutzverstoß innerhalb des Unternehmens gekommen ist. Mittlerweile dürfte die 72 Stundenfrist für alle betroffenen Unternehmen verstrichen sein, sodass eine fristgerechte Anzeige gegenüber den Aufsichtsbehörden nicht mehr in Frage kommt. Ob eine verspätete Meldung gegenüber den Aufsichtsbehörden zielführend ist, hängt von den konkreten Umständen des Einzelfalls ab. Nur im Rahmen einer ausführlichen Risikoabwägung kann entschieden werden, durch welche Maßnahmen ein größerer Schaden verhindert werden kann. Bei Bedarf sollten Sie auf die Unterstützung erfahrener Datenschützer zurückgreifen.

Autor/in
Silvia C. Bauer

Silvia C. Bauer
Partnerin
Köln
silvia.c.bauer@luther-lawfirm.com
+49 221 9937 25789