Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet die IT-Bedrohungslage im Zusammenhang mit ungepatchten Microsoft-Exchange-Servern in einer Pressemitteilung vom 08.03.2021 mit Stufe 4 (Rot). Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zog mit einer Pressemitteilung vom 09.03.2021 nach und sieht akuten Handlungsbedarf für bayerische Unternehmen. Der Inhalt der Pressemitteilung des BayLDA hat es in sich.

Sachverhalt: Worum geht es?

Seit Monatsbeginn gehen Meldungen über gezielten Attacken auf verschiedene Versionen von Exchange Server durch die Fachpresse. Außerhalb des üblichen Turnus hat Microsoft wichtige Sicherheitsupdates zum Download bereitgestellt.

In der Pressemitteilung vom 09.03.2021 erklärt BayLDA-Präsident Will:

„Wir sehen mit großer Sorge, dass trotz eindringlicher Warnungen durch die Sicherheitsbehörden und sofortiger Hilfestellungen durch Microsoft immer noch verwundbare Mail-Server im Netz zu finden sind. Für die von uns identifizierten Unternehmen besteht jetzt akuter Handlungsbedarf. Die betroffenen Systeme müssen umgehend gepatcht und dann umfassend überprüft werden.“

Und weiter – jetzt kommt es:

„Für Unternehmen, die bis jetzt untätig geblieben sind, gehen wir von einer meldepflichtigen Datenschutzverletzung aus.“

Meldepflicht uns Sanktionen nach der DSGVO

Nach Art. 33 Abs. 1 S. 1 DSGVO ist der Verantwortliche verpflichtet, im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 DSGVO zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Nach Art. 83 Abs. 3 lit. a) DSGVO kann bei Verstößen gegen die Meldepflicht eine Geldbuße von bis zu 10.000.000 € (in Worten: zehn Millionen Euro) oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

Hilfe für die Praxis

FAQ zur Exchange-Sicherheitslücke

Das BayLDA hat eine FAQ-Sammlung zu den Sicherheitslücken bei Microsoft Exchange-Mail-Servern veröffentlicht. Dort lassen sich weitere Informationen abrufen,

• welche Systeme mit Exchange Server gefährdet sind,
• wo sich die Microsoft-Patches herunterladen lassen
• und welche weiteren Maßnahmen datenschutzrechtlich Verantwortliche in die Wege leiten müssen.

Sollte die Exchange-Sicherheitslücke im Einzelfall zur Folge haben, dass es sich um einen meldepflichtigen Vorfall handelt, und sollte gar das Ende der 72-stündigen Meldefrist heranstehen oder vielleicht bereits abgelaufen sein, ist anwaltliche Beratung nicht verkehrt. Rechtsanwalt Stefan Loebisch berät und vertritt verantwortliche Personen und betroffene Personen gegenüber den datenschutzrechtlichen Aufsichtsbehörden und kennt die Perspektive der Betroffenen, der Verantwortlichen und der Aufsichtsbehörden aus der Praxis.

Gemeinsame Praxishilfe von BayLDA und BayLfD

Ergänzung 13.03.2021: Am 12.03.2021 veröffentlichten das BayLDA und der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) eine gemeinsame Praxishilfe zu Microsoft Exchange Sicherheitslücken. Das BayLDA ist die Datenschutz-Aufsichtsbehörde für den nichtöffentlichen Bereich, also unter anderem die Privatwirtschaft. Der BayLfD hat die Aufgabe, die Datenschutzrechte gegenüber der bayerischen öffentlichen Verwaltung zu wahren.

© RA Stefan Loebisch | Kontakt