Ein häufiges Phänomen im Internet sind heutzutage sog. Denial-of-Service(DoS)- oder Distributed Denial-of-Service(DDoS)-Angriffe, die Websites oder Systeme – oftmals nur vorübergehend – außer Gefecht setzen. Bei diesen Attacken werden Server mit künstlichen, sinnlosen Anfragen überschwemmt. In der Folge kann es wegen der gezielten Überlastung zu Verzögerungen oder Ausfällen der betroffenen Ressourcen kommen. So meldete bspw. das Deutsche Rote Kreuz Ende März, Opfer solcher Attacken geworden zu sein, wodurch zahlreiche Webauftritte der Verbände nicht erreichbar sowie Onlineanmeldungen für Kurse nicht möglich waren. Eine genauere Beschreibung der technischen Hintergründe und Formen von DoS- bzw. DDoS-Angriffen bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) hier.

In diesem Beitrag soll nun beschrieben werden, ob solche Angriffe als Datenschutzvorfall (umgangssprachlich „Datenpanne“ genannt) gemäß Art. 33 der Datenschutz-Grundverordnung (DSGVO) der zuständigen Datenschutzaufsichtsbehörde gemeldet werden müssen.

Rechtliche Ausgangslage

Hierfür lohnt, wie häufig, zunächst ein Blick in den Gesetzestext. Nach Art. 33 Abs. 1 DSGVO besteht die Pflicht zur Meldung, wenn es erstens eine Verletzung des Schutzes personenbezogener Daten gibt und wenn zweitens diese Verletzung zu einem mehr als nur unerheblichen Risiko für die Betroffenen führt. Betroffene sind dabei die Personen, deren Daten von einer Verletzung des Schutzes betroffen sind. Die Meldepflicht hat also zwei Tatbestandsvoraussetzungen, die jeweils zu prüfen sind.

Was eine „Verletzung des Schutzes personenbezogener Daten“ ist, definiert Art. 4 Nr. 12 DSGVO wie folgt:

„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

In Fällen, in denen eine solche Verletzung des Schutzes personenbezogener Daten nach Art. 4 Nr. 12 DSGVO vorliegt, ist dann im zweiten Schritt zu ermitteln, was für ein Risiko aufgrund des Vorfalls für die Betroffenen eingetreten ist.

Es sollte klar sein, dass sich die Frage nach der Meldepflicht überhaupt nur stellen kann, wenn personenbezogene Daten betroffen sind. Andernfalls wäre der Anwendungsbereich der DSGVO gar nicht eröffnet.

Was bedeutet das für DoS- bzw. DDoS-Angriffe?

Hält man sich streng an den Wortlaut des Art. 4 Nr. 12 DSGVO, könnte man meinen, dass ein DoS- oder DDoS-Angriff schon keine Verletzung des Schutzes personenbezogener Daten darstellt. Schließlich kommt es auf den ersten Blick nicht zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten. Stattdessen kommt es i. d. R. „nur“ dazu, dass eine Website oder ein System vorübergehend wegen Überlastung nicht erreichbar ist.

Die Datenschutzaufsichtsbehörden legen den Betriff des „Verlusts von personenbezogenen Daten“ jedoch weit aus. Sie verstehen hierunter auch die vorübergehende Unerreichbarkeit von personenbezogenen Daten (siehe z. B. die Informationen des HmbBfDI zu „Data-Breach-Meldungen“).

Im Ergebnis KANN ein DoS- oder DDoS-Angriff also zur Meldepflicht führen. Es bedarf allerdings stets einer genaueren Analyse!

Die Aufsichtsbehörden schreiben selbst, dass die Unerreichbarkeit der personenbezogenen Daten von längerer Dauer sein muss. Ein kurzzeitiger Ausfall eines Systems oder einer Website führt also schon mal nicht zur Meldepflicht. Der normale Betrieb einer Organisation muss erheblich gestört sein, damit es zur Meldepflicht kommen kann (siehe Leitlinien der Artikel-29-Datenschutzgruppe für die Meldung einer Datenschutzverletzung).

Doch selbst wenn man diese Punkte in einem konkreten Fall bejahen muss, verbleibt immer noch die Prüfung des zweiten Tatbestandsmerkmals des Art. 33 Abs. 1 DSGVO, nämlich die Frage nach dem Risiko für die Betroffenen. Bei weitem nicht jede längere Unerreichbarkeit von personenbezogenen Daten wird ein mehr als nur unerhebliches Risiko für die Betroffenen bedeuten. Hier kommt es dann auf den Einzelfall an. Was für Daten betroffen sind, kann dabei bspw. eine Rolle spielen.

Fazit

Eine Meldepflicht nach Art. 33 Abs. 1 DSGVO aufgrund eines DoS- oder DDos-Angriffs KANN sich ergeben, sie besteht aber bei weitem nicht immer.

Eine Organisation, die Opfer eines Angriffs wird, sollte folgende Punkte prüfen, wenn es um die Pflicht zur Meldung nach Art. 33 Abs. 1 DSGVO geht:

  • Sind überhaupt personenbezogene Daten von der Unerreichbarkeit eines Systems oder einer Website betroffen?
  • Handelt das Opfer des Angriffs als Verantwortlicher und hat ggf. selbst eine Meldepflicht oder als Auftragsverarbeiter und muss nur seinen Auftraggeber informieren?
  • Ist die Unerreichbarkeit von längerer Dauer? Ist der Betrieb der Organisation erheblich gestört?
  • Entsteht für die Betroffenen aufgrund der Unerreichbarkeit ein mehr als nur unerhebliches Risiko?

Weitere Beiträge aus dieser Blogreihe finden Sie hier:

| | | , , , , , , , , , , , ,