Datenpannen in Folge von Hacking-Angriffen

Cyberangriffe auf IT-Systeme stellen eine immer größer werdende Herausforderung im Datenschutzrecht dar. In regelmäßigen Abständen wird in einer Vielzahl relevanter Medien über groß angelegte Hackerangriffe auf Unternehmen berichtet. So waren bereits bekannte Unternehmen und Programme - bspw. Windows 10 - Ziel von Cyberangriffen. Aber auch in Zeiten steigender digitaler Wandlung - verstärkt durch die Covid-19 Pandemie - sowie politischer Spannungen sollten sich Verantwortliche umso mehr mit der Thematik auseinandersetzen. Der folgende Beitrag soll daher eine kurze Einführung in die in der DS-GVO vorgesehenen Melde- und Benachrichtigungspflichten liefern und dabei auf einige Besonderheiten bei Angriffen auf die unternehmensinterne IT-Infrastruktur eingehen. Trotz des Umstands, dass der Europäische Datenschutzausschuss (EDSA) erst kürzlich seine „Guidelines 01/2021 on Examples regarding Personal Date Breach Notification“ aktualisiert hat, zeigt die datenschutzrechtliche Praxis, dass auch weiterhin Unklarheiten bei der Auslegung der maßgeblichen Vorschriften auftreten können.

Meldepflicht gegenüber der Aufsichtsbehörde gemäß Art. 33 DS-GVO

Art. 33 Abs. 1 DS-GVO statuiert zunächst die Pflicht für Verantwortliche, im Falle einer sogenannten Verletzung des Schutzes personenbezogener Daten, diese unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden.  Wann von einer entsprechenden Verletzung des Schutzes personenbezogener Daten auszugehen ist, wird in Art. 4 Nr. 12 DS-GVO konkretisiert. Hiernach muss eine Verletzung der Sicherheit - ob unbeabsichtigt oder unrechtmäßig - zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führen. Dies darf allerdings nicht dahingehend missverstanden werden, dass jedwede Datenschutzverletzung meldepflichtig ist. Auf die Frage, ob eine Datenverarbeitung bspw. rechtmäßig - also unter Beachtung einer datenschutzrechtlichen Rechtsgrundlage - erfolgte, kommt es nicht maßgeblich an. Es liegt auf der Hand, dass bereits an dieser Stelle einige Abgrenzungsprobleme auftauchen können.

Sofern eine zuvor identifizierte Verletzung des Schutzes personenbezogener Daten „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“, entfällt die grundsätzlich vorgeschriebene Meldepflicht. Die insoweit nicht stets einfach zu handhabende Risikobewertung muss am jeweiligen Einzelfall erfolgen und kann nicht uneingeschränkt „vorbereitet“ werden. Zur Beurteilung der Frage, welche Faktoren hierbei zu berücksichtigen sind, haben jedoch verschiedene nationale Datenschutzaufsichtsbehörden Hilfestellungen veröffentlicht, um Verantwortlichen einen Anhaltspunkt zur Hand zu geben (vgl. bspw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit). Neben der Art und dem Umfang der betroffenen Daten können bspw. die zu erwartenden Konsequenzen - etwa ein Identitätsdiebstahl des Betroffenen - eine Rolle spielen. Auch macht es einen entscheidenden Unterschied, wie einfach und wahrscheinlich es ist, dass die betroffene Person anhand der jeweiligen Daten tatsächlich identifiziert werden kann.

Kommt eine nach den vorbezeichneten Kriterien durchzuführende Bewertung zu dem Ergebnis, dass voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen anzunehmen ist, muss der Verantwortliche die in Art. 33 Abs. 1 DS-GVO normierte 72 Stunden Frist beachten. Maßgeblicher Beginn für den Fristlauf ist dabei derjenige Zeitpunkt, indem die Datenpanne dem Verantwortlichen „bekannt wurde“. Regelmäßig wird diese Voraussetzung dann vorliegen, sofern eine hinreichende Gewissheit darüber besteht, dass ein Sicherheitsvorfall aufgetreten ist. Wann wiederum eine solche Gewissheit anzunehmen ist, hängt von den Umständen des Einzelfalls ab. Hierbei spielt es jedoch keine Rolle, auf welchem Wege dem Verantwortlichen der entsprechende Sachverhalt bekannt wurde - bspw. durch externe Dritte. Bei der Beachtung der 72 Stunden Frist kann sich zudem die Frage stellen, ob bspw. Wochenendtage - in Anlehnung an die Regelungen des deutschen Prozessrechts - zu einer Fristverlängerung auf den nächsten Werktag führen. Auch wenn an einem Sonntag regelmäßig nicht mit einer unmittelbaren Reaktion einer Aufsichtsbehörde zu rechnen ist, sieht Art. 33 DS-GVO eine solche Fristverlängerung grundsätzlich nicht vor. Daher sollte bspw. im Falle des Fristablaufs an einem Feiertag zumindest eine kurze Ankündigung dergestalt erfolgen, dass am nächsten Werktag eine ausführliche Meldung entsprechend Art. 33 DS-GVO vorgesehen ist. Bieten Aufsichtsbehörden spezielle Formulare auf ihren Webseiten an, können diese ohne Weiteres auch an einem Feiertag verwendet werden. Keinesfalls sollte „abgewartet“ werden, bis eine Behörde tatsächlich erreichbar ist.

Weitere Probleme können auftreten, sofern externe Dritte - bspw. IT-Dienstleister - involviert sind. Erlangen solche Dienstleister Kenntnis über eine Datenpanne, melden dies jedoch erst nach einer gewissen Zeitspanne, so stellt sich die Frage, wann die 72 Stunden Frist für eine Meldung zu laufen beginnt. Da Art. 33 DS-GVO jedoch ausdrücklich auf die Kenntnisnahme beim Verantwortlichen verweist, ist nach unserem Dafürhalten nicht auf den jeweiligen Dienstleister abzustellen. Der Verantwortliche muss in der Lage sein, die ihm zur Verfügung gestellte Frist auszuschöpfen, um eine Meldung des relevanten Vorfalls gegenüber der Behörde zu ermöglichen.

Benachrichtigungspflicht gegenüber dem Betroffenen gemäß Art. 34 DS-GVO

Neben der Pflicht zur Meldung der Datenpanne gegenüber der Aufsichtsbehörde kann der Verantwortliche - je nach den Umständen des Einzelfalls - auch dazu verpflichtet sein, den Betroffenen direkt über den Vorfall zu benachrichtigen. Dies setzt gemäß Art. 34 Abs. 1 DS-GVO allerdings voraus, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Während eine Meldepflicht gegenüber der Aufsichtsbehörde häufig der Fall sein wird, muss dies im Hinblick auf die Verpflichtung zur Benachrichtigung des Betroffenen intensiver überprüft werden. Auch bei der hierbei anzustellenden Risikobeurteilung, sind die bereits aufgeführten Kriterien maßgeblich zu berücksichtigen.

Anwendung dieser Grundsätze auf Cyberangriffe

Um die Schwierigkeiten bei der Rechtsanwendung im Einzelfall aufzuzeigen, soll das folgende Beispiel zur Veranschaulichung dienen.

Viele Unternehmen stellen sich insbesondere die Frage, inwiefern eine Verschlüsselung der Daten im Falle eines Cyberangriffs einen Einfluss auf das Risiko für die Betroffenen und somit auch auf eine etwaige Melde-, bzw. Benachrichtigungspflicht haben kann. So können Situationen denkbar sein, in denen ein Angreifer zwar Zugriff auf bestimmte - verschlüsselte - Datensätze erhält, den entsprechenden Schlüssel zum Entschlüsseln der Daten jedoch gerade nicht in Erfahrung bringt. Auch ist es denkbar, dass die betroffenen Daten vorübergehend nicht mehr verfügbar sind. Wie so häufig, wird es auch in diesen Konstellationen maßgeblich auf den Einzelfall ankommen. Zunächst kann festgehalten werden, dass eine Verschlüsselung keinen Automatismus dergestalt auslöst, wonach ein Risiko für die Betroffenen von vornherein auszuschließen ist. Der Verantwortliche sollte in einer solchen Konstellation stets überprüfen, welche Folgen für die betroffenen Personen denkbar sind - bspw. in Form von finanziellen oder gesellschaftlichen Nachteilen - und über welchen Zeitraum ein Zugriff des Angreifers auf die entsprechenden Daten bestand. Ist eine Wiederherstellung der Daten erst nach Ablauf der Meldefrist aus Art. 33 Abs. 1 DS-GVO möglich, kann auch dies nach Ansicht des EDSA in eine durchzuführende Risikobewertung einfließen. Sind von dem Cyberangriff sensible Daten gemäß Art. 9 Abs. 1 DS-GVO betroffen, so muss auch dieser Umstand maßgeblich berücksichtigt werden.

Zum Verständnis sei an dieser Stelle folgendes angemerkt: Auch sofern personenbezogene Daten verschlüsselt wurden, findet die DS-GVO uneingeschränkte Anwendung. Die „Schwelle“ zur Anonymisierung der Daten ist sehr hoch anzusetzen und wird im Falle einer „bloßen“ Verschlüsselung regelmäßig nicht den Anwendungsbereich der DS-GVO ausschließen. Andererseits kann eine nach dem Stand der Technik erfolgte Verschlüsselung Risiken für die Rechte und Freiheiten natürlicher Personen ausschließen, bzw. zumindest minimieren. Unternehmen ist daher angeraten, die interne IT-Infrastruktur entsprechend den in Art. 32 DS-GVO vorgesehenen technischen und organisatorischen Maßnahmen zu schützen, um denkbare Risiken im Falle einer Datenpanne möglichst gering zu halten.

Weitere Besonderheiten können auftreten, sofern zwar ein Cyberangriff identifiziert wurde, die entsprechende Schadsoftware jedoch unschädlich gemacht werden konnte. Insbesondere sofern keine Anhaltspunkte dafür bestehen, dass ein tatsächlicher Zugriff auf die unternehmensinternen Daten erfolgte, muss eine gründliche Risikobewertung durchgeführt werden. Auch in dieser - auf den ersten Schein - „ungefährlichen“ Konstellation gilt es zu beachten, dass keine allgemeingültigen Aussagen für eine Risikobeurteilung getroffen werden können. Häufig lassen sich die Folgen eines Cyberangriffs gerade nicht ohne Weiteres abschätzen. Verantwortliche müssen daher auch in dem vorbenannten Szenario alle Umstände des Einzelfalls in einer Gesamtwürdigung bewerten.

Praxis-Tipp:

Cyberangriffe sind nicht bloß „lästig“, sondern können im Ernstfall zu hohen Risiken für die betroffenen natürlichen Personen führen. Auch für Unternehmen steht einiges auf dem Spiel. Neben der eigenen Reputation sind stets aufsichtsrechtliche Maßnahmen - bis hin zu Bußgeldern - im Blick zu behalten. Wir raten daher dringend dazu, die unternehmensinterne IT-Infrastruktur auf den Prüfstand zu stellen und dem Thema IT-Sicherheit eine gesteigerte Bedeutung zuzusprechen. Wird tatsächlich eine Datenpanne identifiziert, sollte nicht lange gezögert werden; in Zweifelsfällen ist Rechtsrat einzuholen.

Für Verantwortliche bietet es sich zudem an, sich im Rahmen der Vielzahl an Veröffentlichungen von Behörden zu informieren. So hat bspw. das Bayerische Landesamt für Datenschutzaufsicht in einem Flyer zum Thema „Cybercrime“ verschiedene Informationen zusammengetragen, um einen Überblick zu der Thematik zu liefern und Unternehmen entsprechend zu sensibilisieren. Aber auch der Bayerische Landesbeauftragte für den Datenschutz hält zum Thema „Cyberabwehr“ eine eigenständige Informationsseite bereit. Schließlich hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen „Leitfaden zur Reaktion auf IT-Sicherheitsvorfälle“ veröffentlicht und informiert in diesem Zusammenhang über unterschiedliche Angriffsszenarien sowie entsprechende Gegenmaßnahmen. Darüber hinaus bieten die Webseiten des BSI einen stets aktualisierten Überblick über den Stand der Abwehrtechnik, den Unternehmen im Rahmen der für sie angemessenen Möglichkeiten umsetzen sollten. Wer diese BSI Empfehlungen beachtet, dem wird man kaum vorwerfen können, seine Pflichten zur Herstellung von Datensicherheit aus Art. 32 DSGVO nicht erfüllt zu haben.

SKW Schwarz verfügt über eine eigenständige Taskforce zum Thema Datenpannen (insbesondere zu Problemstellungen von Cyberangriffen) und unterstützt Unternehmen im Ernstfall gerne bei einem datenschutzkonformen Umgang. Aufgrund der Aktualität des Themas wird SKW Schwarz zudem kurzfristig zu einem Webinar laden, um aktuelle Rechtsfragen zu Cyberangriffen mit Interessenten zu besprechen. Schließlich ist uns als Empfehlung an die Unternehmen noch einmal der Hinweis auf  die Umsetzungsmöglichkeiten und -probleme bei der Inanspruchnahme eines Versicherungsschutzes gegen Cyberbedrohungen wichtig (vgl. auch der Beitrag: „Hauptsache cyberversichert!“) Ob und wie der Schutz einer Cyberversicherung geeignet sein kann, die Folgen eines Cyberangriffs für die Unternehmen abzufedern, setzt in vielen Fälle voraus sich - bereits vor Abschluss eines entsprechenden Vertrages - mit den spezifischen Problemen dieser Versicherung auseinanderzusetzen.

Autoren: Dr. Oliver Hornung, Marius Drabiniok, Dr. Matthias Orthwein