Über die Empfehlungen, die das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zur aktuellen „Hafnium“-Sicherheitslücke bei Exchange-Servern gibt, wurde bereits >hier< berichtet. Auch die für das Datenschutzrecht zuständigen Aufsichtsbehörden anderer Bundesländer haben in den letzten Tagen Pressemitteilungen und Handreichungen zu Meldepflichten und Benachrichtigungspflichten veröffentlicht.
Keine bundeseinheitliche Linie
Die Stellungnahmen der verschiedenen Datenschutz-Aufsichtsbehörden der Länder weisen noch keine einheitliche Linie zu der wichtigen Frage auf, unter welchen Umständen die datenschutzrechtlich verantwortliche Stelle – diejenige Stelle, die den betroffenen Exchange-Server betreibt – eine Meldung nach Art 33 DSGVO machen muss und / oder die betroffenen Personen nach Art. 34 benachrichtigen muss.
Übersicht in alphabetischer Reihenfolge: Stellungnahmen der Landesbehörden
_ Baden-Württemberg
Pressemeldung Aktive Ausnutzung der Microsoft Exchange Schwachstelle vom 11.03.2021:
„Wird bei der Überprüfung der Systeme die Ausnutzung der Schwachstelle festgestellt, so ist grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen. Nur in atypischen Konstellationen wird kein Risiko für die Rechte und Freiheiten von betroffenen Personen bestehen (vgl. Artikel 33 Absatz 1 DS-GVO). Ein Verzicht auf die Meldung sollte begründet und dokumentiert werden.“
_ Bayern
FAQ: Sicherheitslücken bei Microsoft Exchange-Mail-Servern vom 09.03.2021:
„Nur wenn in der vorliegenden Konstellation atypischerweise kein Risiko für die Rechte und Freiheiten der betroffenen Personen bestehen sollte, muss keine Meldung erfolgen. Die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens sind umfassend zu dokumentieren.
Kommt man nach der Überprüfung der eigenen Systeme zu dem Schluss, dass die Sicherheitslücke (mit hinreichender Wahrscheinlichkeit) ausgenutzt wurde bzw. die Server über den 9. März 2021 hinaus ungepatcht waren und deshalb ein Risiko für die betroffenen Personen nicht auszuschließen ist, ist der Vorfall bei der jeweils zuständigen Datenschutzaufsichtsbehörde zu melden.“
_ Hamburg
Link-Sammlung „Schwachstelle bei Microsoft Exchange-Servern“ vom 10.03.2021:
„Im Fall eines festgestellten Datenabflusses muss ein Data Breach bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden. Darüber hinaus kann in einem solchen Fall zudem eine Benachrichtigungspflicht an betroffene Personen bestehen.“
_ Hessen
Pressemitteilung „Unmittelbarer Handlungsbedarf wegen Schwachstellen in Microsoft Exchange-Server“ vom 12.03.2021:
„Hierzu gehört auch, unabhängig davon ob ein konkreter Datenabfluss identifiziert werden konnte, eine Meldung gemäß Art. 33 DS-GVO an die zuständige Datenschutzaufsichtsbehörde. Hierbei ist die zugehörige Frist von 72 Stunden für eine Meldung zu wahren (…)“
_ Mecklenburg-Vorpommern
Pressemittelung „Kritische Sicherheitslücken im Microsoft Exchange Server“ vom 10.03.2021:
„Werden bei den Überprüfungen etwaige Kompromittierung der Systeme festgestellt, weist Heinz Müller [Anm. RA Stefan Loebisch: der derzeitige Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern] ausdrücklich darauf hin, dass diese mindestens zu einer Benachrichtigungspflicht durch den Verantwortlichen an seine Behörde, gem. Art. 33 Abs. 1 der DS-GVO führt (siehe hierzu auch ‚Weiterführende Links‘). Inwieweit sogar ein hohes Risiko für die betroffene Personen besteht und damit eine Benachrichtigung derer nach Art. 34 DS-GVO notwendig ist, ist letztendlich abhängig vom Einzelfall. Hierfür ist eine Individualprüfung durch den eigenen Datenschutzbeauftragten erforderlich.“
_ Niedersachsen
Link-Sammlung „Kompromittierte Exchange Server meldepflichtig“ vom 10.03.2021:
„Die LfD Niedersachsen geht davon aus, dass in jedem Fall einer Kompromittierung des Exchange Servers sowie eines nicht rechtzeitigen Updates eine Meldung gemäß Art. 33 DS-GVO abzugeben ist.
Verantwortliche, die bereits nach den Handlungsempfehlungen des BSI geprüft haben, ob die Sicherheitslücke ausgenutzt wurde und keine Kompromittierung festgestellt haben, können von einer Meldung absehen. In diesem Fall liegt voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen vor. Aber auch dann ist die Dokumentation nach Art. 33 Abs. 5 DS-GVO zu erstellen.
Ist eine Meldung nötig, muss diese detailliert darstellen, welche Maßnahmen von dem Verantwortlichen ergriffen wurden oder noch werden. Dabei sind die Handlungsempfehlungen des BSI und von Microsoft heranzuziehen und darzulegen, welche dieser Maßnahmen mit welchem Ergebnis bereits durchgeführt wurden. Soweit Maßnahmen zum Zeitpunkt der Meldung noch nicht durchgeführt wurden aber vorgesehen sind, sind sie und der geplante Zeitpunkt ihrer Durchführung darzustellen. Im Falle einer Kompromittierung ist zudem zu prüfen, ob die betroffenen Personen nach Art. 34 DS-GVO über die Verletzung ihrer personenbezogenen Daten zu unterrichten sind.“
_ Nordrhein-Westfalen
Übersicht „Kritische Schwachstellen in Exchange-Servern„:
„Sollten beispielsweise nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen und keine besonders sensiblen personenbezogenen Daten in den betroffenen Systemen verarbeitet worden sein, liegt zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vor. In diesen Fällen genügt eine interne Dokumentation der Verletzung beim Verantwortlichen gemäß Artikel 33 Abs. 5 Datenschutz-Grundverordnung. Sollte ein mehr als geringes Risiko festgestellt werden, besteht die Meldepflicht an die zuständige Aufsichtsbehörde gemäß Artikel 33 Abs. 1 Datenschutz-Grundverordnung. Sofern ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen festgestellt wird, kann nach Artikel 34 Datenschutz-Grundverordnung auch eine Benachrichtigung der betroffenen Personen erforderlich sein.“
_ Rheinland-Pfalz
Übersicht „Vermehrte Datenpannen-Meldungen in Rheinland-Pfalz wegen Sicherheitslücke auf Microsoft Exchange-Servern“ vom 11.03.2021:
„Sofern Ihr System kompromittiert wurde, so stellt dies eine meldepflichtige Datenschutzverletzung dar. Um die nach Art. 33 der DS-GVO vorgeschriebene Meldepflicht auszulösen, reicht ein potenzieller Zugriff aus, der mit einer Kompromittierung des eingesetzten Servers einhergeht. Losgelöst von einem möglichen Abfluss personenbezogener Daten, der womöglich erst nach einer gewissen Zeit zur Kenntnis gelangt oder festgestellt wird, empfiehlt der LfDI deshalb – bei Kompromittierung des Servers – eine vorläufige Meldung einer Verletzung des Schutzes personenbezogener Daten vorzunehmen, um Konflikte mit der Meldefrist nach Art. 33 Abs. 1 DS-GVO zu vermeiden.
(…)
Sofern von dem Vorfall sensible personenbezogene Daten i.S.d. Art. 9 DS-GVO betroffen sind, so möchten wir Sie darauf hinweisen, dass eine Unterrichtung des betroffenen Personenkreises durch den Verantwortlichen nach Artikel 34 DS-GVO unverzüglich zu erfolgen hat.“
_ Saarland
Übersicht „Kritische Sicherheitslücken bei Microsoft Exchange-Mail-Servern“ vom 12.03.2021:
„Stellen Betreiber nach erfolgter Selbstprüfung der Exchange-Server Anhaltspunkte für eine Kompromittierung oder einen Datenabfluss und somit eine Verletzung des Schutzes personenbezogener Daten fest, besteht nach Art. 33 Datenschutz-Grundverordnung (DSGVO) die Pflicht, den Sachverhalt der zuständigen Datenschutzaufsichtsbehörde zu melden. Die Meldung muss dabei neben der Darstellung der zugrundeliegenden Verletzung auch die jeweils in diesem Zusammenhang ergriffenen Gegenmaßnahmen beschreiben.
Kommt die datenverarbeitende Stelle nach eigener Prüfung zu dem Ergebnis, dass die Voraussetzungen für die Meldung des Sachverhalts nach Art. 33 DSGVO nicht vorliegen, ist dies nach Art. 33 Abs. 5 DSGVO zumindest intern zu dokumentieren.“
_ Sachsen
Übersicht „Datenpannen-Meldungen wegen Sicherheitslücken auf Microsoft Exchange-Servern“ (Aktuelles vom 12.03.2021):
„Sofern eine Kompromittierung des Exchange-Servers nach sachkundiger Prüfung mittels der vom BSI empfohlenen Vorgehensweise nicht ausgeschlossen werden kann, stellt dies einen meldepflichtigen Vorfall im Sinne des Art. 33 DSGVO dar. Darüber hinaus ist eine Risikoabwägung zu treffen. Wenn Ihre Prüfung ergibt, dass durch die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, ist der betroffene Personenkreis durch den Verantwortlichen nach Artikel 34 DSGVO unverzüglich zu unterrichten. Von einem hohen Risiko ist dann auszugehen, wenn die Eintrittswahrscheinlichkeit und die Schadensauswirkungen entsprechend hoch eingeschätzt werden. Dies ist insbesondere bei einer Betroffenheit von besonders sensiblen personenbezogenen Daten im Sinne des Artikels 9 DSGVO möglich.“
_ Sachsen-Anhalt
Pressemitteilung „Landesbeauftragter für den Datenschutz warnt vor Sicherheitslücken bei Microsoft Exchange-Mail-Servern“ vom 11.03.2021:
„Angesichts des hohen Schadenspotentials ist nach erfolgtem Update zusätzlich zu prüfen, ob die Maßnahme zu spät erfolgt ist und bereits Schadcode installiert wurde. Festgestellte Datenschutzverletzungen sind der Aufsichtsbehörde gemäß Artikel 33 der Datenschutz-Grundverordnung zu melden. (…) Des Weiteren ist zu kontrollieren, ob die betroffenen Personen zu benachrichtigen sind.“
Auswirkung auf die Praxis
Vorbeugen schützt: Die Datenschutz-Aufsichtsbehörden der einzelnen Länder räumen den verantwortlichen Betreibern von Exchange-Servern – jedenfalls derzeit – ein unterschiedliches Ermessen bei ihrer Entscheidung ein, was nach dem Patch zu tun ist.
Wenn nur ansatzweise unklar ist, ob eine Meldung an die Aufsichtsbehörde erforderlich ist, und ob und wie von einem Datenleck betroffene Personen zu informieren sind, sollte lieber zu viel als zu wenig getan werden. Hier kommt es darauf an, mit kühlem Kopf strukturiert zu handeln: Wer wird wann benachrichtigt? Welchen Inhalt hat die Nachricht? Wie sieht die weitere Krisenkommunikation aus, damit beschädigtes Vertrauen wiederhergestellt werden kann?
Auch für Unternehmen, die von der aktuellen Sicherheitslücke bei Exchange-Servern nicht betroffen sind, könnten die Ereignisse Anlass sein, ein vorbeugendes datenschutzrechtliches Krisenmanagement zu implementieren. Datenschutzrecht, technische IT-Sicherheit und Krisenkommunikation müssen im Ernstfall Hand in Hand gehen.
Die alphabetische Übersicht gibt den Stand vom Mittag des 14.03.2021 wieder. Noch nicht alle Aufsichtsbehörden haben ihre jeweilige Stellungnahme oder Handlungsempfehlung zur Exchange-Sicherheitslücke veröffentlicht. Die Übersicht wird ggf. weiter aktualisiert.
© RA Stefan Loebisch | Kontakt