Sign in Subscribe
Krisenmanagement

Meldepflichten - Teil 1 Datenschutz

Sabine Griebsch

7 min read
Meldepflichten - Teil 1 Datenschutz

Man muss sich daran gewöhnen. Cyber-Angriffe gehören mittlerweile zum alltäglichen Geschäftsrisiko. Selbst das BSI stellt fest: Wenn Sie nicht angegriffen werden, haben Sie kein funktionierendes Geschäftsmodell (D. Häger, 17.09.2024, VOICE-Sicherheitstag NRW). Im Falle eines (erfolgreichen) Cyberangriffs sind Meldepflichten innerhalb einer bestimmten Frist zu erfüllen. Die Aufsichtsbehörden nehmen sowohl die Pflicht als auch die Frist ernst, der Verantwortliche sollte dies daher auch tun. Die Meldepflichten nach der Datenschutz-Grundverordnung gelten für alle, die unter die DS-GVO fallen. Für Kommunen und kommunale Unternehmen gilt das ausnahmslos. Und da sich der Blog im Wesentlichen an diese Zielgruppe richtet, möchte ich hier nicht weiter ausholen, wer noch darunter fällt und wer nicht. Nicht meine Spielwiese.

Wir betrachten das Thema heute aus der Sicht des Cyber-/IT-Krisenmanagements. Zunächst einmal sind für die Kommunen die „Landesdatenschutzbeauftragten“ zuständig. Ich schreibe bewusst "Kommunen", denn wenn ich "Behörden" schreiben würde, wären auch die Behörden des Bundes gemeint und deren Aufsichtsbehörde ist die "Bundesbeauftragte für den Datenschutz und Informationsfreiheit". Unternehmensvertreter, deren Unternehmen unter die DS-GVO fallen, beachten bitte, dass auch hier der oder die Landesdatenschutzbeauftragte zuständig ist - nur in Bayern gibt es für den nicht-öffentlichen Bereich den Landesbeauftragten für Datenschutzaufsicht. Mehr dazu erfahren Sie hier. Meine Intention ist es, zu schauen, was alles in den Meldeformularen abgefragt wird und worüber man daher als (vom Cyberangriff) „Betroffener“ - der gleichzeitig „Verantwortlicher“ ist - auskunftsfähig sein sollte.

Meldepflicht bei Cyberangriff

Also Anwendungsfall „Cyberangriff“. Art. 33 (1) DS-GVO lautet „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Identische Regelungen finden sich in den Landesgesetzen, sofern diese heranzuziehen sind.

Eine Cyberkrise nach einem erfolgreichen Cyberangriff beginnt, wenn sie unvorbereitet erfolgt, mit einer Chaos-Phase, in der die betroffenen Kollegen zusammenkommen, der Krisenstab gebildet wird, das Incident Management anläuft und Forensiker gesucht und eingesetzt werden. Die Meldung bei der Aufsichtsstelle muss innerhalb von 72 Stunden nach Bekanntwerden erfolgen. Das sind drei Tage. Innerhalb dieser drei Tage wissen Sie in der Regel nicht, welche Daten verschlüsselt und/oder abgeflossen sind. Schauen wir uns den Satz „es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ an. Dieses „Risiko für die Rechte und Freiheiten natürlicher Personen“ kann nicht ausgeschlossen werden. Daher ist eine Meldung erforderlich. Betrachten wir den gesamten Artikel.

Art. 33 DS-GVO Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.

(3) Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:

a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(4) Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.

(5) Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.

Daraus ergibt sich folgende Checkliste:

  • verantwortliche Person
  • unverzüglich / möglichst innerhalb von 72 Stunden nach Kenntniserlangung der zuständigen Datenschutzaufsichtsbehörde melden
    • sonst Verzögerung begründen, verspätete Meldung beifügen
  • Auftragsverarbeiter müssen unverzüglich an den Verantwortlichen melden
  • Ausführungen zu Art der Datenschutzverletzung:
    • Kategorien (Personen) und Anzahl
    • Kategorien (Datensätze) und Anzahl
  • Kontakt Datenschutzbeauftragte/r oder Ansprechperson
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen/vorgeschlagenen (technischen und organisatorischen) Maßnahmen zur Behebung der Datenschutzverletzung
  • gegebenenfalls Beschreibung der Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen

Können nicht alle Informationen sofort bereitgestellt werden, sind zeitnahe Nachmeldungen möglich. Richtig, die Forensiker können gegebenenfalls Auskunft treffen, ob und welche Daten abgeflossen sind. Je nach Dauer der Arbeiten, verweist auch der Angreifer auf seine Leak-Seite, auf dem die schrittweise Veröffentlichung der Daten, zur Zahlung des Lösegeldes motivieren soll.

Wichtig ist auch, dass die Datenschutzverletzung, die Auswirkungen und die Abhilfemaßnahmen dokumentiert werden und dies in einer Art und Weise geschieht, die eine Prüfung durch die Aufsichtsbehörde möglich macht. Datenschutzbeauftragte sollten also durchaus an den Sitzungen des Krisenstabes teilnehmen.

Ansprechpartner unterscheiden sich nach Land

Es hat sich schon angedeutet. Jedes Land hat seinen eigenen Ansprechpartner. Hier geht es zur Übersicht.

Formulare unterscheiden sich nach Land

Erfahrungsgemäß folgt auf die Meldung der Datenschutzverletzung zeitnah ein ergänzendes Gespräch mit den Vertretern der jeweiligen Landesbeauftragten für den Datenschutz. Vor diesem Hintergrund habe ich mir ein solches Formular angesehen. Ich wollte kurz und knapp aufschreiben, was abgefragt wird. Dann habe ich mir ein anderes Formular angesehen, um die beiden zu vergleichen. Die beiden Formulare waren so unterschiedlich im Aufbau und in der Ausführlichkeit der Befragung, dass es mir letztendlich sinnvoll erschien, alle 16 Formulare miteinander zu vergleichen. Es war also ein wenig Copy’n’Paste-Handarbeit, alle Felder in eine Excel-Tabelle zu übertragen, die Fragen den Abschnitten zuzuordnen, zu sortieren und dann zu konsolidieren. Und ganz pragmatisch wurden die Informationen, die in einigen Ländern abgefragt wurden, zu den allgemeinen Fragen hinzugefügt. Es kann ja sein, dass diese im ergänzenden Interview mit der Aufsichtsbehörde abgefragt werden.

Völlig wertfrei lässt sich schnell feststellen, dass sie alle unterschiedlich und alle korrekt sind. Alle Fragen, die sich aus Art. 33 DS-GVO für den Verantwortlichen ergeben, werden abgefragt.

Doch was sind die Unterschiede? Zunächst fällt auf, dass häufig der Begriff „Datenpanne“ verwendet wird. Häufiger wird aber von einer Datenschutzverletzung gesprochen. Wer nach den Formularen googelt, wird mit „Meldung Datenpanne $Land“ fündig.

Bei den Formularen handelt es sich in den meisten Fällen um Webformulare, manchmal aber auch um Dokumente in den Formaten PDF, DOC, ODT oder RTF. Daraus kann sich schon die erste Herausforderung ergeben, wenn die IT nicht mehr funktioniert. Wie soll man eine solche Meldung ohne IT absetzen?

Auch der Detaillierungsgrad der Befragung ist unterschiedlich. Mal wird nach dem Namen der Schadsoftware gefragt, wenn es sich um einen Cyberangriff handelte. Ein anderes Mal wird gefragt, durch welche technischen Sicherheitsmaßnahmen die Daten geschützt wurden.

Die Fragen zu den Kategorien der Datensätze waren sehr unterschiedlich.
Die Kategorien der betroffenen Personen unterscheiden sich weniger. Ein Land fragt explizit nach Angehörigen des Militärs. Die vereinzelt gestellte Frage nach Personen des öffentlichen Lebens oder Politikern ist durchaus eine Frage, die man im Auge behalten sollte, wenn man bedenkt, dass für einige Adressen aus guten Gründen eine Auskunftssperre besteht.

Im Hinblick auf das Schutzziel wird teilweise näher erläutert, wie sich eine Verletzung äußert. Neben dem Verlust der Integrität spielen im Zusammenhang mit einem Ransomware-Angriff die Einschränkung der Verfügbarkeit und der Verlust der Vertraulichkeit eine wichtige Rolle. Verlust der Integrität bedeutet, dass Daten verändert wurden oder verwendet werden, obwohl sie nicht mehr gültig sind oder die Herkunft der Daten nicht mehr nachvollziehbar ist. Spannend ist das, wenn die ersten (schon existierenden) Tools genutzt werden, KI-Modelle zu „vergiften“ - während KI überall in den Verwaltungen Einzug hält. Auch die Verschlüsselung bei einem Ransomware-Angriff ohne nachvollziehbaren Datenabfluss ist damit sich bereits meldepflichtig. Aber was ist mit einem Eindringen ins System und die Möglichkeit der unberechtigten Kenntnisnahme von personenbezogenen Daten? Vielleicht wurden weitere Täterhandlungen wie Verschlüsselung erfolgreich abgewehrt – trotzdem liegt hier möglicherweise eine Verletzung der Vertraulichkeit vor.    

Die Antwortmöglichkeiten zu den Folgen wurden ebenfalls unterschiedlich aufbereitet. In der Konsolidierung wurden nachstehende Folgen zusammengetragen: Diskriminierung/Einschränkung von Rechten, Identitätsdiebstahl und -betrug, Gefahr für Leib und Leben, finanzieller Schaden, Bloßstellung, Rufschädigung, Existenzgefährdung, Gefährdung des Berufsgeheimnisses, Verlust des Arbeitsplatzes, unbefugte Aufhebung der Pseudonymisierung, Verlust der Kontrolle über personenbezogene Daten. Diese Aufzählung ist meines Erachtens geeignet, für ein entsprechendes Budget für IT-Sicherheit zu werben. Natürlich geht es auch darum, dass Kommunen zum Teil monatelang nicht arbeiten und Dienstleistungen kaum oder nur mit erheblichem Mehraufwand anbieten können, weniger oft werden in der Öffentlichkeit die Folgen für die von einem Datenschutzvorfall Betroffenen betrachtet. Hier zeigt sich einmal mehr die Breite und Tiefe des Vertrauens, das die Bürgerinnen und Bürger den Verwaltungen aufgrund der örtlichen und sachlichen Zuständigkeit zwangsläufig entgegenbringen müssen.

Die Möglichkeiten zur Information der Betroffenen sind teilweise nicht vorgeschrieben, erfordern aber auch keine besondere Kreativität. Schriftlich, elektronisch, persönlich, per Pressemitteilung. Wobei hier zu befürchten ist, dass die Betroffenen nicht informiert werden, da immer weniger Menschen lokales Radio, Fernsehen oder Zeitungen konsumieren. Grundsätzlich bleibt das Problem, solange nicht bekannt ist, welche Daten verschlüsselt oder abgeflossen sind, sind die Betroffenen nicht konkret bekannt.

Vereinzelt wurde gefragt, ob Betroffene zunächst nicht informiert wurden. Begründet werden könnte dies mit einer möglichen Gefährdung der Aufgabenerfüllung, Gefährdung der öffentlichen Sicherheit, Gefährdung von Rechtsgütern Dritter.

Die Frage, ob es sich um eine kritische Infrastruktur (KRITIS) handelt, wird in zwei Ländern gestellt. Kommunen tun dies nicht, kommunale Unternehmen teilweise schon.

Außerdem wurde einmal gefragt, ob es sich um eine Person mit oder ohne Schädigungsabsicht handelt. Bei einem Cyberangriff ist die Frage klar und die Antwort eindeutig.

Einmal wurde nach einem genauen technischen Zeitplan gefragt. Die Frage bezieht sich sicherlich auf die geplanten technischen und organisatorischen Maßnahmen, ist aber auch immens aufwendig und vor allem erfahrungsgemäß nicht innerhalb der ersten 72 Stunden zu beantworten. Definitiv eine Frage für die Nachmeldung, das Gespräch und die notwendige Dokumentation. Diese wird nur in einem einzigen Meldeformular noch einmal erwähnt und muss bestätigt werden.

Einige Formulare fragen ab, ob andere Datenschutzaufsichtsbehörden informiert wurden und sensibilisieren meines Erachtens gut dafür, dass gegebenenfalls auch die Aufsichtsbehörde in der EU informiert werden muss.

Neben der Tatsache, dass vereinzelt Dokumente mit übermittelt werden können, sind die Arten der Übermittlung / Weiterleitung an sich sehr interessant. Aus den Online-Formularen heraus ist die Übermittlung recht einfach, auf diese Weise ist auch die Transportverschlüsselung gewährleistet. Die Länder, die Dokumente zur Verfügung stellen, verweisen auf eine PGP-Verschlüsselung. Ein Land lässt die Interessenten einen Upload-Link anfordern, damit das Formular hochgeladen werden kann. Apropos anfordern: In einem Land muss sich der Interessent mit seiner E-Mail-Adresse verifizieren, um an das Formular zu gelangen.

Das konsolidierte [ideale, jedoch nicht nutzbare *edit: Es besteht keine Pflicht die Formulare der Aufsichtsbehörden zu nutzen. Danke für den wachen Blick, Stephan Schmidt.] Formular kann hier eingesehen werden. Es fasst alle Fragen zusammen, auch die, die in Ihrem Land möglicherweise nicht im Meldeformular enthalten sind.

In einigen Ländern ist es möglich, das Formular vor dem Versand auszudrucken. Darauf wird auch hingewiesen. In einem Land wird die Zusammenfassung nachträglich mit einem Zeitstempel versehen. Der Postausgang und die ausgefüllte Datei müssen in den Ländern, die Dokumente zur Verfügung stellen, ausreichen.

Das Land, das eine Verifizierung der E-Mail-Adresse voranstellt, verweist am Rande auch auf die Meldung eines IT-Sicherheitsvorfalls an das BSI. Mit dieser Meldung wird sich Teil 2 dieser kleinen Reihe beschäftigen. Dann wird auch untersucht, welche Fragen sich bereits jetzt überlagern. Ziel ist es, herauszufinden, wie oft Informationen gegeben und verfolgt werden müssen und aufzuzeigen, wie wichtig es ist, diese Informationen zentral im Krisenstab zu steuern.