In einer derart dynamischen, weitestgehend digitalisierten Welt, wie wir sie heutzutage wahrnehmen, rückt der Themenkomplex Cyberkriminalität und IT-Sicherheit immer weiter in den Vordergrund. Wer in den letzten Wochen die Berichterstattungen verfolgt hat, konnte vor allem folgende Stichworte lesen: Cyberattacken und Hackerangriffe. Die nachfolgende Beitragsreihe greift das Thema Hackerangriffe und Datenschutzverletzungen auf und ordnet das Phänomen datenschutzrechtlich unter Einbeziehung diverser Aspekte ein.
Was sind Hackerangriffe und wie sind diese datenschutzrechtlich einzuordnen?
Cyberangriffe sind laut dem Bundesamt für Verfassungsschutz „gezielte Attacken auf Computer oder Computernetzwerke“. Als beispielhafte Auswirkungen von erfolgreichen Cyberangriffen werden dabei Störungen von Betriebsabläufen, der Abfluss von Informationen sowie die Verweigerung von Zugängen und Manipulationen oder gar auch Zerstörung von Hardware, Daten, Netzwerken und technischen Systemen genannt. Dabei kann vor allem ein unbefugter Zugriff auf personenbezogene Daten nicht ausgeschlossen werden und den Anwendungsbereich des Datenschutzrechts eröffnen. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat in den Aktuellen Kurz-Informationen 57 „Strafanzeige als technisch-organisatorische Maßnahme nach Hackerangriff?“ und 58 „Meldung nach Art. 33 Datenschutzgrundverordnung bei Hackerangriff“ das Themengebiet näher beleuchtet und eine Art Handlungsempfehlung für öffentliche Stellen ausgesprochen. Hervorgehoben werden dabei neben der Meldepflicht für Datensicherheitsverletzungen nach Art. 33 DSGVO ebenso die Angriffe auf Auftragsverarbeiter und technisch-organisatorische Maßnahmen.
Im vorliegenden ersten Teil dieser Beitragsreihe wird dabei zunächst auf die Meldung nach Art. 33 DSGVO bei Hackerangriffen und somit auf die Aktuelle Kurz- Information 58 Bezug genommen, wohingegen in einer Fortsetzung dieser Beitragsreihe spezifischer auf die technisch- organisatorischen Maßnahmen eingegangen werden soll.
Wie sollten öffentliche Stellen vorgehen, wenn sie Opfer eines Cyber-/Hackerangriffs wurden?
Falls ein Hacker erfolgreich personenbezogene Datenbestände verschlüsseln, verändern, löschen oder abziehen konnte und/oder durch Zugriff auf Administrator-Kennung auf personenbezogene Datenbestände zurückgreifen konnte, liegt in aller Regel eine Datenschutzverletzung vor, deren Meldepflicht jeweils individuell zu prüfen ist. Über die grundsätzliche Definition von Datenschutzverletzungen verfassten wir bereits Anfang des Jahres einen entsprechenden Blogartikel. Falls eine Meldepflichtigkeit der Datenschutzverletzung angenommen wird, bietet sich laut dem bayerischen Landesbeauftragten für Datenschutz im Fall eines Hackerangriffs ein „abschichtendes“ Vorgehen an. Wie aus Art. 33 Abs. 1 DSGVO zu entnehmen ist, sollte auch bei Hackerangiffen – falls Risiken für die Rechte und Freiheiten der betroffenen Personen nicht gänzlich ausgeschlossen werden können – eine Erstmeldung innerhalb von 72 Stunden erfolgen. Im Rahmen dieser Erstmeldung sollte dabei auch bereits eine erste Einschätzung zur Sensibilität der Daten und Anzahl der betroffenen Personen abgegeben werden. Da aufgrund forensischer Analysen oder auch polizeilicher Ermittlungen die Sachverhaltsklärung einige Zeit beanspruchen kann, sollten Verantwortliche unaufgefordert einen Zwischenbericht alle zwei Wochen erstatten. Diese Empfehlung wurde dabei vor allem für Krankenhäuser und andere medizinische Einrichtungen ausgesprochen. Nach Aufklärung des Hackerangriffs oder sonstigen Sicherheitsvorfalls sollte ein entsprechender Abschlussbericht zur Verfügung gestellt werden, welcher nach Auffassung des BayLfD, soweit möglich, Informationen zur endgültigen Anzahl der betroffenen Personen und Kategorien von personenbezogenen Daten, konkreter Risikoanalyse, forensischem Abschlussbericht, Ermittlungsergebnisse der zuständigen Polizeidienststelle, Ergebnisse einer Darknet-Recherche, Erläuterung der ergriffenen und geplanten Maßnahmen sowie die Angabe zur Erfüllung der Benachrichtigungspflicht nach Art. 34 DSGVO beinhalten sollte.
Die Erfüllung der Meldepflicht ist dabei ebenso bei einem etwaigen Einsatz von IT- Dienstleistern zu beachten. Entgegen der Auffassung, dass für Sicherheitsvorfälle bei IT- Dienstleistern der Auftragnehmer bzw. der Dienstleister selbst verantwortlich ist, bleibt der Auftraggeber Verantwortlicher, sofern im Rahmen eines Auftragsverarbeitungsverhältnisses die Daten des Auftraggebers von der Sicherheitsverletzung betroffen sind. Dem steht auch nicht entgegen, dass der Vorfall sich – theoretisch gesehen – in der Sphäre des Dienstleisters abgespielt hat.
Fazit
Zusammenfassend lässt sich somit festhalten, dass Hackerangriffe für öffentliche Stellen regelmäßig eine Meldepflicht der Datenschutzverletzung nach Art. 33 DSGVO auslösen. Die Meldepflicht kann dabei jedoch dreischichtig erfüllt werden, indem zunächst eine Erstmeldung innerhalb der gesetzlich vorgeschriebenen 72-stündigen Frist erfolgt, ehe im Rahmen der weitergehenden internen Sachverhaltsaufklärung entsprechende Zwischenberichte in einem zweiwöchigen Turnus an die Aufsichtsbehörde übermittelt werden. Nach Abschluss der internen Sachverhaltsaufklärung ist ein Abschlussbericht zu verfassen, der die oben genannten Informationen beinhalten sollte. Im Rahmen von bestehenden Auftragsverarbeitungsverhältnissen sollten Verantwortliche bzw. Auftraggeber bedenken, dass sie auch im Falle einer Datenschutzverletzung bei einem von ihnen eingesetzten Auftragsverarbeiter als Verantwortlicher im Sinne der DSGVO gelten, sofern sich die Datenschutzverletzung beim Auftragsverarbeiter auf ihre Daten erstreckt.
Da die nicht ordnungsgemäße Erfüllung der Meldepflicht nach Art. 33 DSGVO Beanstandungen, Verwarnungen i. S. d. Art. 58 Abs. 2 lit. d DSGVO, etwaige Anordnungen einer Verarbeitungsbeschränkung oder eines Verarbeitungsverbots oder gar eine Geldbuße Art. 83 Abs. 4 lit. a DSGVO nach sich ziehen können, appelliert der BayLfD, die Meldepflicht nach Art. 33 DSGVO ernst zu nehmen.