Cyberangriffe auf IT-Systeme stellen eine immer gröĂer werdende Herausforderung im Datenschutzrecht dar. In regelmĂ€Ăigen AbstĂ€nden wird in einer Vielzahl relevanter Medien ĂŒber groĂ angelegte Hackerangriffe auf Unternehmen berichtet. So waren bereits bekannte Unternehmen und Programme - bspw. Windows 10 - Ziel von Cyberangriffen. Aber auch in Zeiten steigender digitaler Wandlung - verstĂ€rkt durch die Covid-19 Pandemie - sowie politischer Spannungen sollten sich Verantwortliche umso mehr mit der Thematik auseinandersetzen. Der folgende Beitrag soll daher eine kurze EinfĂŒhrung in die in der DS-GVO vorgesehenen Melde- und Benachrichtigungspflichten liefern und dabei auf einige Besonderheiten bei Angriffen auf die unternehmensinterne IT-Infrastruktur eingehen. Trotz des Umstands, dass der EuropĂ€ische Datenschutzausschuss (EDSA) erst kĂŒrzlich seine âGuidelines 01/2021 on Examples regarding Personal Date Breach Notificationâ aktualisiert hat, zeigt die datenschutzrechtliche Praxis, dass auch weiterhin Unklarheiten bei der Auslegung der maĂgeblichen Vorschriften auftreten können.
Meldepflicht gegenĂŒber der Aufsichtsbehörde gemÀà Art. 33 DS-GVO
Art. 33 Abs. 1 DS-GVO statuiert zunĂ€chst die Pflicht fĂŒr Verantwortliche, im Falle einer sogenannten Verletzung des Schutzes personenbezogener Daten, diese unverzĂŒglich und möglichst binnen 72 Stunden bei der zustĂ€ndigen Aufsichtsbehörde zu melden. Wann von einer entsprechenden Verletzung des Schutzes personenbezogener Daten auszugehen ist, wird in Art. 4 Nr. 12 DS-GVO konkretisiert. Hiernach muss eine Verletzung der Sicherheit - ob unbeabsichtigt oder unrechtmĂ€Ăig - zur Vernichtung, zum Verlust, zur VerĂ€nderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten fĂŒhren. Dies darf allerdings nicht dahingehend missverstanden werden, dass jedwede Datenschutzverletzung meldepflichtig ist. Auf die Frage, ob eine Datenverarbeitung bspw. rechtmĂ€Ăig - also unter Beachtung einer datenschutzrechtlichen Rechtsgrundlage - erfolgte, kommt es nicht maĂgeblich an. Es liegt auf der Hand, dass bereits an dieser Stelle einige Abgrenzungsprobleme auftauchen können.
Sofern eine zuvor identifizierte Verletzung des Schutzes personenbezogener Daten âvoraussichtlich nicht zu einem Risiko fĂŒr die Rechte und Freiheiten natĂŒrlicher Personen fĂŒhrtâ, entfĂ€llt die grundsĂ€tzlich vorgeschriebene Meldepflicht. Die insoweit nicht stets einfach zu handhabende Risikobewertung muss am jeweiligen Einzelfall erfolgen und kann nicht uneingeschrĂ€nkt âvorbereitetâ werden. Zur Beurteilung der Frage, welche Faktoren hierbei zu berĂŒcksichtigen sind, haben jedoch verschiedene nationale Datenschutzaufsichtsbehörden Hilfestellungen veröffentlicht, um Verantwortlichen einen Anhaltspunkt zur Hand zu geben (vgl. bspw. der Hamburgische Beauftragte fĂŒr Datenschutz und Informationsfreiheit). Neben der Art und dem Umfang der betroffenen Daten können bspw. die zu erwartenden Konsequenzen - etwa ein IdentitĂ€tsdiebstahl des Betroffenen - eine Rolle spielen. Auch macht es einen entscheidenden Unterschied, wie einfach und wahrscheinlich es ist, dass die betroffene Person anhand der jeweiligen Daten tatsĂ€chlich identifiziert werden kann.
Kommt eine nach den vorbezeichneten Kriterien durchzufĂŒhrende Bewertung zu dem Ergebnis, dass voraussichtlich ein Risiko fĂŒr die Rechte und Freiheiten natĂŒrlicher Personen anzunehmen ist, muss der Verantwortliche die in Art. 33 Abs. 1 DS-GVO normierte 72 Stunden Frist beachten. MaĂgeblicher Beginn fĂŒr den Fristlauf ist dabei derjenige Zeitpunkt, indem die Datenpanne dem Verantwortlichen âbekannt wurdeâ. RegelmĂ€Ăig wird diese Voraussetzung dann vorliegen, sofern eine hinreichende Gewissheit darĂŒber besteht, dass ein Sicherheitsvorfall aufgetreten ist. Wann wiederum eine solche Gewissheit anzunehmen ist, hĂ€ngt von den UmstĂ€nden des Einzelfalls ab. Hierbei spielt es jedoch keine Rolle, auf welchem Wege dem Verantwortlichen der entsprechende Sachverhalt bekannt wurde - bspw. durch externe Dritte. Bei der Beachtung der 72 Stunden Frist kann sich zudem die Frage stellen, ob bspw. Wochenendtage - in Anlehnung an die Regelungen des deutschen Prozessrechts - zu einer FristverlĂ€ngerung auf den nĂ€chsten Werktag fĂŒhren. Auch wenn an einem Sonntag regelmĂ€Ăig nicht mit einer unmittelbaren Reaktion einer Aufsichtsbehörde zu rechnen ist, sieht Art. 33 DS-GVO eine solche FristverlĂ€ngerung grundsĂ€tzlich nicht vor. Daher sollte bspw. im Falle des Fristablaufs an einem Feiertag zumindest eine kurze AnkĂŒndigung dergestalt erfolgen, dass am nĂ€chsten Werktag eine ausfĂŒhrliche Meldung entsprechend Art. 33 DS-GVO vorgesehen ist. Bieten Aufsichtsbehörden spezielle Formulare auf ihren Webseiten an, können diese ohne Weiteres auch an einem Feiertag verwendet werden. Keinesfalls sollte âabgewartetâ werden, bis eine Behörde tatsĂ€chlich erreichbar ist.
Weitere Probleme können auftreten, sofern externe Dritte - bspw. IT-Dienstleister - involviert sind. Erlangen solche Dienstleister Kenntnis ĂŒber eine Datenpanne, melden dies jedoch erst nach einer gewissen Zeitspanne, so stellt sich die Frage, wann die 72 Stunden Frist fĂŒr eine Meldung zu laufen beginnt. Da Art. 33 DS-GVO jedoch ausdrĂŒcklich auf die Kenntnisnahme beim Verantwortlichen verweist, ist nach unserem DafĂŒrhalten nicht auf den jeweiligen Dienstleister abzustellen. Der Verantwortliche muss in der Lage sein, die ihm zur VerfĂŒgung gestellte Frist auszuschöpfen, um eine Meldung des relevanten Vorfalls gegenĂŒber der Behörde zu ermöglichen.
Benachrichtigungspflicht gegenĂŒber dem Betroffenen gemÀà Art. 34 DS-GVO
Neben der Pflicht zur Meldung der Datenpanne gegenĂŒber der Aufsichtsbehörde kann der Verantwortliche - je nach den UmstĂ€nden des Einzelfalls - auch dazu verpflichtet sein, den Betroffenen direkt ĂŒber den Vorfall zu benachrichtigen. Dies setzt gemÀà Art. 34 Abs. 1 DS-GVO allerdings voraus, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko fĂŒr die persönlichen Rechte und Freiheiten natĂŒrlicher Personen zur Folge hat. WĂ€hrend eine Meldepflicht gegenĂŒber der Aufsichtsbehörde hĂ€ufig der Fall sein wird, muss dies im Hinblick auf die Verpflichtung zur Benachrichtigung des Betroffenen intensiver ĂŒberprĂŒft werden. Auch bei der hierbei anzustellenden Risikobeurteilung, sind die bereits aufgefĂŒhrten Kriterien maĂgeblich zu berĂŒcksichtigen.
Anwendung dieser GrundsÀtze auf Cyberangriffe
Um die Schwierigkeiten bei der Rechtsanwendung im Einzelfall aufzuzeigen, soll das folgende Beispiel zur Veranschaulichung dienen.
Viele Unternehmen stellen sich insbesondere die Frage, inwiefern eine VerschlĂŒsselung der Daten im Falle eines Cyberangriffs einen Einfluss auf das Risiko fĂŒr die Betroffenen und somit auch auf eine etwaige Melde-, bzw. Benachrichtigungspflicht haben kann. So können Situationen denkbar sein, in denen ein Angreifer zwar Zugriff auf bestimmte - verschlĂŒsselte - DatensĂ€tze erhĂ€lt, den entsprechenden SchlĂŒssel zum EntschlĂŒsseln der Daten jedoch gerade nicht in Erfahrung bringt. Auch ist es denkbar, dass die betroffenen Daten vorĂŒbergehend nicht mehr verfĂŒgbar sind. Wie so hĂ€ufig, wird es auch in diesen Konstellationen maĂgeblich auf den Einzelfall ankommen. ZunĂ€chst kann festgehalten werden, dass eine VerschlĂŒsselung keinen Automatismus dergestalt auslöst, wonach ein Risiko fĂŒr die Betroffenen von vornherein auszuschlieĂen ist. Der Verantwortliche sollte in einer solchen Konstellation stets ĂŒberprĂŒfen, welche Folgen fĂŒr die betroffenen Personen denkbar sind - bspw. in Form von finanziellen oder gesellschaftlichen Nachteilen - und ĂŒber welchen Zeitraum ein Zugriff des Angreifers auf die entsprechenden Daten bestand. Ist eine Wiederherstellung der Daten erst nach Ablauf der Meldefrist aus Art. 33 Abs. 1 DS-GVO möglich, kann auch dies nach Ansicht des EDSA in eine durchzufĂŒhrende Risikobewertung einflieĂen. Sind von dem Cyberangriff sensible Daten gemÀà Art. 9 Abs. 1 DS-GVO betroffen, so muss auch dieser Umstand maĂgeblich berĂŒcksichtigt werden.
Zum VerstĂ€ndnis sei an dieser Stelle folgendes angemerkt: Auch sofern personenbezogene Daten verschlĂŒsselt wurden, findet die DS-GVO uneingeschrĂ€nkte Anwendung. Die âSchwelleâ zur Anonymisierung der Daten ist sehr hoch anzusetzen und wird im Falle einer âbloĂenâ VerschlĂŒsselung regelmĂ€Ăig nicht den Anwendungsbereich der DS-GVO ausschlieĂen. Andererseits kann eine nach dem Stand der Technik erfolgte VerschlĂŒsselung Risiken fĂŒr die Rechte und Freiheiten natĂŒrlicher Personen ausschlieĂen, bzw. zumindest minimieren. Unternehmen ist daher angeraten, die interne IT-Infrastruktur entsprechend den in Art. 32 DS-GVO vorgesehenen technischen und organisatorischen MaĂnahmen zu schĂŒtzen, um denkbare Risiken im Falle einer Datenpanne möglichst gering zu halten.
Weitere Besonderheiten können auftreten, sofern zwar ein Cyberangriff identifiziert wurde, die entsprechende Schadsoftware jedoch unschĂ€dlich gemacht werden konnte. Insbesondere sofern keine Anhaltspunkte dafĂŒr bestehen, dass ein tatsĂ€chlicher Zugriff auf die unternehmensinternen Daten erfolgte, muss eine grĂŒndliche Risikobewertung durchgefĂŒhrt werden. Auch in dieser - auf den ersten Schein - âungefĂ€hrlichenâ Konstellation gilt es zu beachten, dass keine allgemeingĂŒltigen Aussagen fĂŒr eine Risikobeurteilung getroffen werden können. HĂ€ufig lassen sich die Folgen eines Cyberangriffs gerade nicht ohne Weiteres abschĂ€tzen. Verantwortliche mĂŒssen daher auch in dem vorbenannten Szenario alle UmstĂ€nde des Einzelfalls in einer GesamtwĂŒrdigung bewerten.
Praxis-Tipp:
Cyberangriffe sind nicht bloĂ âlĂ€stigâ, sondern können im Ernstfall zu hohen Risiken fĂŒr die betroffenen natĂŒrlichen Personen fĂŒhren. Auch fĂŒr Unternehmen steht einiges auf dem Spiel. Neben der eigenen Reputation sind stets aufsichtsrechtliche MaĂnahmen - bis hin zu BuĂgeldern - im Blick zu behalten. Wir raten daher dringend dazu, die unternehmensinterne IT-Infrastruktur auf den PrĂŒfstand zu stellen und dem Thema IT-Sicherheit eine gesteigerte Bedeutung zuzusprechen. Wird tatsĂ€chlich eine Datenpanne identifiziert, sollte nicht lange gezögert werden; in ZweifelsfĂ€llen ist Rechtsrat einzuholen.
FĂŒr Verantwortliche bietet es sich zudem an, sich im Rahmen der Vielzahl an Veröffentlichungen von Behörden zu informieren. So hat bspw. das Bayerische Landesamt fĂŒr Datenschutzaufsicht in einem Flyer zum Thema âCybercrimeâ verschiedene Informationen zusammengetragen, um einen Ăberblick zu der Thematik zu liefern und Unternehmen entsprechend zu sensibilisieren. Aber auch der Bayerische Landesbeauftragte fĂŒr den Datenschutz hĂ€lt zum Thema âCyberabwehrâ eine eigenstĂ€ndige Informationsseite bereit. SchlieĂlich hat auch das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) einen âLeitfaden zur Reaktion auf IT-SicherheitsvorfĂ€lleâ veröffentlicht und informiert in diesem Zusammenhang ĂŒber unterschiedliche Angriffsszenarien sowie entsprechende GegenmaĂnahmen. DarĂŒber hinaus bieten die Webseiten des BSI einen stets aktualisierten Ăberblick ĂŒber den Stand der Abwehrtechnik, den Unternehmen im Rahmen der fĂŒr sie angemessenen Möglichkeiten umsetzen sollten. Wer diese BSI Empfehlungen beachtet, dem wird man kaum vorwerfen können, seine Pflichten zur Herstellung von Datensicherheit aus Art. 32 DSGVO nicht erfĂŒllt zu haben.
SKW Schwarz verfĂŒgt ĂŒber eine eigenstĂ€ndige Taskforce zum Thema Datenpannen (insbesondere zu Problemstellungen von Cyberangriffen) und unterstĂŒtzt Unternehmen im Ernstfall gerne bei einem datenschutzkonformen Umgang. Aufgrund der AktualitĂ€t des Themas wird SKW Schwarz zudem kurzfristig zu einem Webinar laden, um aktuelle Rechtsfragen zu Cyberangriffen mit Interessenten zu besprechen. SchlieĂlich ist uns als Empfehlung an die Unternehmen noch einmal der Hinweis auf die Umsetzungsmöglichkeiten und -probleme bei der Inanspruchnahme eines Versicherungsschutzes gegen Cyberbedrohungen wichtig (vgl. auch der Beitrag: âHauptsache cyberversichert!â) Ob und wie der Schutz einer Cyberversicherung geeignet sein kann, die Folgen eines Cyberangriffs fĂŒr die Unternehmen abzufedern, setzt in vielen FĂ€lle voraus sich - bereits vor Abschluss eines entsprechenden Vertrages - mit den spezifischen Problemen dieser Versicherung auseinanderzusetzen.
Autoren: Dr. Oliver Hornung, Marius Drabiniok, Dr. Matthias Orthwein
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
