Meldepflichten bei Cyber-Angriffen

(openPR) Im Frühjahr und Sommer 2017 ereigneten sich binnen kurzer Zeit viele Cyber-Angriffe auf Krankenhäuser, Unternehmen und Behörden. So legte eine Schadsoftware im Mai 2017 viele Krankenhäuser und Praxen des britischen Gesundheitsdienstes NHS lahm. Lange Zeit war unklar ob auch ein Zugriff auf besonders sensible Patientendaten erfolgt war. Als Reaktion auf die Angriffe verlangte die britische Innenministerin, dass der NHS seine IT-Systeme besser schütze. Trotz der unbestritten vorhandenen, kriminellen Energie der Angreifer, ging also auch und gerade ein Vorwurf an die vom Angriff betroffenen Unternehmen.
Ähnliche Reaktionen erfolgten nach Cyber-Angriffen auf das dänische Unternehmen Maersk, das die größte Transportschifffahrtsgesellschaft der Welt betreibt und das britische Unternehmen Reckitt Benckiser, das viele Drogerie-Produkte vertreibt. Auf beide Unternehmen erfolgte ein Angriff durch NotPetya-Trojaner. Reckitt Benckiser prognostizierte für 2016 einen Umsatzrückgang von zwei Prozent, weil die installierte Anti-Viren-Software nicht in der Lage war den Trojaner abzuwehren. Nach den Unternehmensangaben von Maersk waren auch installierte Windows-Updates nicht in der Lage den Schaden zu verhindern.

Eine Studie des Digitalverbandes Bitkom, die im September 2017 veröffentlich wurde, stellte fest, dass nur 4 von 10 Unternehmen auf Cyber-Angriffe durch ein Notfallsystem vorbereitet sind. Insbesondere kleinere und mittlere Unternehmen verfügen nicht über entsprechende Absicherungen. Bei Betreibern kritischer Infrastrukturen (KRITIS), z.B. Energieversorgern, liegt die Zahl nur unwesentlich höher. Notfallsysteme enthalten in Schriftform Maßnahmen, die sofort eingeleitet werden müssen, wenn Cyber-Angriffe erkannt werden. Neben dem Ziel den Angriff abzuwehren, kann auf diesem Weg auch der Schutz personenbezogener Daten verbessert werden. Die Maßnahmen können dabei vielschichtig sein, etwa in der sofortigen Einholung von Rechtsrat, der Verständigung der Aufsichtsbehörden und der Betroffenen (zu den entsprechenden Meldepflichten s. weiter unten) oder einem Verhaltenskodex für Mitarbeiter bestehen.

Die Bedrohungslage:
Cyberangriffe führen dabei häufig zu Imageschäden und enormen Kosten bei der Folgenbeseitigung und Verbesserung der IT-Systeme. Imageschäden entstehen dabei vor allem durch Identitäts- und Datendiebstahl und immer häufiger auch durch Cybererpressung. Das gezielte Lahmlegen von IT-Systemen durch DDoS-Attacken wie sie vor einigen Jahren gegenüber Sony erfolgte, könnte erhebliche Umsatzeinbußen bewirken. Insgesamt sind es also vor allem die Folgen der Cyberattacke und nicht die Attacke selbst, die erhebliche Schäden für die betroffenen Unternehmen bewirken.
Darüber hinaus treffen Unternehmen im Falle von Cyber-Angriffen wichtige Meldepflichten bei sog. „Datenpannen“. Werden diese verletzt, so drohen Bußgeldzahlungen (und weitere Imageschäden). Nach Inkrafttreten der EU-Datenschutzgrundverordnung im Mai 2018 werden diese Bußgelder erheblich erhöht. Unternehmen sollten daher dringend darauf achten, diese Meldepflichten zu wahren, um die entstandenen Schäden im Falle von Cyber-Angriffen möglichst einzugrenzen und im Rahmen zu halten.

Angriffsarten:
„Jeder mit dem Internet verbundene Computer ist Angriffen ausgesetzt“
Doch welche Arten von Angriffen drohen konkret? Die Mittel und Methoden für Cyber-Angriffe sind heute sehr vielfältig:
• Spam-Mail
• Schadsoftware (Mal- oder Junkware)
• Drive-by-Exploits
• Brute-Force Angriffe
• DDoS-Attacken
• Phishing-Mails
• Ransomsoftware
Bei den hier aufgezählten Angriffsmethoden handelt es sich lediglich um die prominentesten Varianten. Sie bilden daher nur einen kleinen Ausschnitt ab.
Gegenmaßnahmen sind bezüglich der überwiegenden Zahl der Angriffsarten auf technischer Ebene zu ergreifen. Spamfilter sind heute bereits Standard und erkennen den größten Teil fragwürdiger E-Mails. Brute-Force Angriffe machen sich bspw. schlechte Passwortsicherheit zu Nutze, sodass hier ein besonderer Schwerpunkt bei der Verbesserung der eigenen IT-Sicherheit liegen sollte. Regelmäßige Passwortwechsel erhöhen im Allgemeinen den Schutz vor Brute-Force Angriffen.
Der Faktor Mensch und dessen Sensibilisierung darf jedoch ebenso wenig vernachlässigt werden. Diese „Schwachstelle“ wird insbesondere beim sog. Social Engineering durch Phishing-Mails ausgenutzt. Bei Angriffen dieser Art versuchen Kriminelle, ihre Opfer dazu zu verleiten selbständig eigene Daten preiszugeben, eigenhändig Malware auf ihrem System zu installieren oder Schutzmaßnahmen zu umgehen. Dabei gehen die Täter sehr geschickt vor, indem sie Neugier und andere menschliche Schwächen ausnutzen, um so Zugriff auf sensible Daten zu erhalten. Waren diese in der Vergangenheit oftmals schon bei oberflächlicher Betrachtung als potentielle Angriffe erkennbar, etwa weil sie durch fragwürdige Absender, schlechte deutsche Sprache oder gar in Fremdsprachen verfasst, auffielen, werden diese E-Mails zunehmend professioneller und unauffälliger. Gute deutsche Grammatik, seriöse Absenderadressen und teilweise persönliche Ansprache des Empfängers, machen die Identifizierung immer schwieriger und die Gefahr für Unternehmen und Einzelpersonen damit umso größer.
Zur Informationen über mögliche Schutzmaßnahmen bei Cyber-Angriffen dient die Website des Bundesamtes für Sicherheit in der Informationstechnik.

Meldepflichten:
Liegt ein Cyberangriff auf personenbezogene Daten vor, wird häufig von einer „Datenpanne“ gesprochen. Eine solche liegt z.B. bei unberechtigtem Zugriff Dritter auf Datensammlungen vor. Unberechtigt ist ein solcher Zugriff immer dann, wenn keine Legitimationsgrundlage hierfür besteht. Wie nach der bisherigen Rechtslage auch, liegt eine solche Rechtfertigung nach der neuen EU-Datenschutzgrundverordnung vor allem dann vor, wenn der Betroffene eingewilligt hat (Art. 6 Abs.1 a DSGVO) oder die Interessen des Zugreifenden diejenigen des Betroffenen überwiegen (Art. 6 Abs.1f DSGVO). Ein solches Interesse dürfte im Falle eines Cyber-Angriffs nur höchst selten angenommen werden können und ist daher restriktiv auszulegen, zumal öffentliche Interessen wie Sicherheitsaspekte bereits eigene Rechtfertigungsnormen in der DSGVO erfahren. Zu erwähnen ist, dass eine Datenpanne auch beim Verlust eines Datenträgers oder anderen Verstößen gegen datenschutzrechtliche Vorschriften angenommen werden kann. Auch in diesen Fällen können Meldepflichten entstehen. Sie sind also nicht auf den Fall von Cyberangriffen beschränkt.
Wegen des unmittelbaren Betroffenseins des Rechts auf informationelle Selbstbestimmung bestehen Meldepflichten beim unberechtigten Zugriff auf personenbezogene Daten mittlerweile in erheblichem Umfang. Waren Unternehmen früher noch stärker von der Verlockung getrieben „Datenpannen“ unter den Teppich zu kehren, wird heute durch strenge Regelungen versucht, eine solche Vertuschung auszuschließen.

Meldepflichten ergeben sich aus:
• dem Bundesdatenschutzgesetz (BDSG)
• dem Bundesdatenschutzgesetz (BDSG NEU)
• dem Telemediengesetz (TMG)
• dem Telekommunikationsgesetz (TKG)
• dem IT- Sicherheitsgesetz (ITSG)
sowie aktuell besonders relevant:
• Der EU-Datenschutzgrundverordnung (EU-DSGVO)
Die Grundvorschrift zu den datenschutzrechtlichen Meldepflichten bildet der § 42a BDSG. Aus diesem ergibt sich für Unternehmen die Pflicht, im Fall eines begründeten Verdachtes über den Verlust und den Zugriff auf Daten – auf welchem Weg auch immer – die Datenschutz-Aufsichtsbehörde und die Betroffenen zu informieren. Eine solche Benachrichtigung hat dabei unverzüglich zu erfolgen. Zu beachten ist insofern, dass im Rahmen des § 42a BDSG allein der Verlust von Daten der entsprechenden Datenkategorien noch nicht zu einer Meldepflicht führt. Vielmehr wurde vom Gesetzgeber – als Korrektiv – zusätzlich das Erfordernis einer drohenden schwerwiegenden Beeinträchtigung der Rechte des Betroffenen als Folge des Verlustes eingefügt. Ob eine solche gegeben ist, ist einzelfallabhängig und sollte erst nach erfolgter rechtlicher Beratung entschieden werden. Wichtig ist, dass § 42a BDSG sich nicht auf alle Arten von personenbezogenen Daten, sondern nur auf besonders sensible Daten bezieht. Erfasst sind besondere Arten personenbezogener Daten gemäß § 3 Abs.9 BDSG (z.B. zu Sexualität oder ethnische Herkunft), personenbezogene Daten, die einem Berufsgeheimnis unterliegen, personenbezogene Daten mit straf- oder ordnungswidrigkeitsrechtlichem Bezug sowie personenbezogene Daten, die sich auf Bank- und Kreditkartenkonten beziehen.

Eine Einbeziehung von Telemedienanbietern in den Kreis der Meldepflichtigen ergibt sich aus den Verweisungen des § 15a TMG. Sie treffen Meldepflichten im Falle unrechtmäßiger Kenntniserlangung von personenbezogenen Daten durch Dritte. §15a TMG verweist dabei auf § 42a BDSG, der damit entsprechend gilt. Der Begriff der Telemedienanbieter ist nach der Rechtsprechung weit zu verstehen, sodass in der Praxis jeder Betreiber einer Webseite als solcher angesehen werden kann. Die daraus resultierenden Meldepflichten bestehen als Spezialnorm unabhängig beziehungsweise neben denen des BDSG, was häufig übersehen wird. Besonders zu beachten ist diesbezüglich, dass es sich insofern nicht um besonders sensible Daten handeln muss. Für eine parallele Anwendung von TMG und BDSG genügt es, wenn Bestands- oder Nutzungsdaten betroffen sind, soweit § 42a BDSG im Wege der Verweisung des TMG zur Anwendung kommt. Für Telekommunikationsdienstleister ergeben sich Meldepflichten gegenüber der Bundesnetzagentur und den Bundesdatenschutzbeauftragen aus § 93 Abs.3 TKG i.V.m. § 109a TKG, falls eine Datenschutzverletzung festgestellt wurde.

Problematisch ist die Kategorisierung im Hinblick auf die Meldepflichten des § 15 a TMG aktuell vor allem im Bereich der Webshopbetreiber. Es ist nicht abschließend geklärt unter welchen Umständen die Meldepflicht für Webshopbetreiber ausgelöst wird. Nach dem Wortlaut des § 15 a TMG liegen Bestandsdaten, die eine Meldepflicht auslösen, dann vor, wenn diese zur Nutzung des Telemediums erhoben werden. Klassisches Beispiel für die Nutzung von Telemedien sind aktuell Streaming-Plattformen wie etwa Netflix oder Itunes. Die in diesem Zusammenhang erhobenen Daten (wie bspw. Name, Alter etc.) werden zur Nutzung des entsprechenden Telemediums (etwa zur Berücksichtigung von Altersbeschränkungen) gebraucht. Demgegenüber dienen die von Webshops erhobenen Daten (Name, Anschrift, Passwort) vor allem zur Eingehung und Erfüllung von Kaufverträgen. Trotz der sichtbaren Unterschiede der angebotenen Leistungen behandelt die Rechtsprechung beide Fällen momentan gleich. Die personenbezogenen Daten, die ein Webshop über den Nutzer speichert, werden als Bestandsdaten eingeordnet, soweit sie unmittelbar die Nutzung des Shops betreffen, und lösen bei Zugriff Dritter die Meldepflicht nach § 15a TMG aus. Als Inhaltsdaten, die im Falle rechtswidrigen Zugriffs keine Meldepflicht auslösen, würden diese nach aktueller Lage allenfalls dann gelten, wenn der Nutzer des Shops als „Gast“ bestellt, ohne seine Daten zu speichern.
Bezüglich Telekommunikationsdiensten trifft die Anbieter bei Verletzung des Schutes personenbezogener Daten eine Meldepflicht gemäß § 93 Abs.3 TKG in Verbindung mit § 109a Abs.1 Satz 2 in Verbindung mit § 109 Abs.2 TKG.

Die Meldepflichten nach der EU-DSGVO
Das System der Meldepflichten erfährt durch die neue EU-Datenschutzgrundverordnung, die am 25. Mai 2018 in gilt, eine Reform. Die Meldepflichten sind nun in zwei separaten Artikel geregelt und werden danach unterschieden ob sie gegenüber den Datenschutzaufsichtsbehörden (Artikel 33 DSGVO) oder dem Betroffenen (Artikel 34 DSGVO) bestehen.
Die Mitteilungspflichten gegenüber den Aufsichtsbehörden
Art. 33 DSGVO enthält im Vergleich zu § 42a BDSG verschärfte Anforderungen an die Meldepflichten. Zunächst regelt Art. 33 DSGVO, dass „Im Falle einer Verletzung des Schutzes personenbezogener Daten“ der Verantwortliche eine unverzügliche Meldepflicht gegenüber der zuständigen Aufsichtsbehörde hat, der er („möglichst“) binnen 72 Stunden nachzukommen hat. Diese Meldepflicht besteht nur dann nicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Sollte der Verantwortliche seiner Meldepflicht nicht binnen 72 Stunden nachkommen, so hat er die Fristversäumnis zu begründen. Hierfür genügt grundsätzlich kein bloßes Organisationsverschulden oder die Fahrlässigkeit oder fehlende Kenntnis der Meldepflichten bei Mitarbeitern. Unternehmen ist es daher dringend anzuraten ihre Mitarbeiter rechtzeitig über die Meldepflichten der DSGVO zu schulen um den hohen Bußgelddrohungen der Art. 82ff. DSGVO zu entgehen.

Erster wesentlicher Unterschied zu § 42a BDSG ist, dass alle Arten von personenbezogenen Daten und nicht nur solche besonderer Art umfasst sind. Berücksichtigt man diese Tatsache so wird deutlich, wie weit der Anwendungsbereich der Meldepflichten nach Art. 33 DSGVO bei der „Verletzung des Schutzes personenbezogener Daten“ ist. Denn Art. 4 Nr.12 DSGVO definiert die „Verletzung des Schutzes personenbezogener Daten“ als „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung (…) führt“. Damit sind mehr als die klassischen „Datenpannen“, sondern nahezu jegliche Gefahren für personenbezogene Daten erfasst.
Zudem wird die erhöhte Wahrscheinlichkeit von Meldepflichten durch Art. 33 DSGVO im Vergleich zu § 42a BDSG dadurch deutlich, dass kein „unrechtmäßiges Übermitteln“ und keine „unrechtmäßige Kenntnisnahme“ durch Dritte mehr erforderlich sind, sondern die bloße Verletzung der Sicherheit personenbezogener Daten (z.B. durch bloßen Verlust eines Datenträgers) genügt.
Eingeschränkt wird diese Weite lediglich durch den Ausschluss der Meldepflicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Dabei besteht gemäß Erwägungsgrund 75 ein solches Risiko insbesondere, wenn für die betroffene Person ein physischer, materieller oder immaterieller Schaden drohe. Ein solcher sei eher dann anzunehmen, wenn besonders sensible Daten, die Aufhebung einer Pseudonymisierung, Daten von Kindern oder Daten in großer Menge oder einer großen Zahl von Personen betroffen sind.

Werden Auftragsdatenverarbeitern entsprechende Verletzungen der Datensicherheit bekannt, so haben sie gemäß Art. 33 Abs. 2 DSGVO eine Meldepflicht gegenüber dem sie beauftragenden Unternehmen, das dann wiederum eine Meldepflicht gegenüber den Aufsichtsbehörden hat.
Art. 33 Abs.3 DSGVO konkretisiert den Inhalt der Meldepflichten gegenüber den Aufsichtsbehörden. Sie hat zu enthalten:
1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die entsprechenden Informationen können gemäß Art. 33 Abs.4 DSGVO auch nachgereicht werden, wenn sie innerhalb der 72 Stunden-Frist nicht gleich bereitgestellt werden können. Art. 33 Abs.5 DSGVO beinhaltet neben der Meldepflicht auch eine Dokumentationspflicht aller relevanten Vorgänge. Dieser sollten Unternehmen unbedingt nachkommen. Zum einen wird dadurch den Aufsichtsbehörden die Schadensbehebung erleichtert, zum anderen können Unternehmen damit u.U. Nachweise über erbrachte technische Schutzmaßnahmen erbringen und damit die Bußgeldzahlungen minimieren.
Die Mitteilungspflichten gegenüber der betroffenen Person
Führt die Verletzung des Schutzes personenbezogener Daten zu einem „hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“, so besteht neben der Mitteilungspflicht an die Aufsichtsbehörden auch eine Mitteilungspflicht gegenüber der betroffenen Person (Art. 34 DSGVO). Diese Mitteilung hat in klarer und einfacher Sprache zu erfolgen und hat einen ähnlichen Inhalt wie die Mitteilungspflicht gegenüber den Aufsichtsbehörden. Erwägungsgrund 86 verweist darauf, dass die betroffene Person insbesondere darüber informiert werden sollte, wie sie die Folgen der Verletzung minimieren kann. Zudem sei die Mitteilung in Absprache mit den Aufsichtsbehörden und gegebenenfalls mit den Strafverfolgungsbehörden zu erfolgen. Eine unverzügliche Benachrichtigung sei etwa geboten, um einen unmittelbar drohenden Schaden abzuwenden, etwas mehr Zeit bestehe, wenn etwa fortlaufende Verletzungen vorlägen.
Diese Mitteilungspflicht ist ausgeschlossen, wenn vor der datenschutzrechtlich relevanten Verletzung ausreichend dafür Sorge getragen wurde, dass Dritte von den Daten keine unbefugte Kenntnis erlangen (Art. 34 Abs.3a DSGVO). Art. 34 Abs.3a DSGVO nennt als Beispiel die Verschlüsselung von Daten, die etwa im Falle des Verlusts eines Datenträgers verhindern, dass Dritte Zugriff auf die Daten nehmen können. Gleiches gilt, wenn der Verantwortliche nach der Verletzung entsprechende Maßnahmen ergreift und dadurch das hohe Risiko für die Verletzung der Rechte und Freiheiten natürlicher Personen beseitigt (Art. 34 Abs.3b DSGVO). Im Unterschied zur Mitteilungspflicht gegenüber den Aufsichtsbehörden ist hier also die Kenntniserlangung durch Dritte ein wesentliches Ausschlusskriterium. Zu beachten ist, dass trotz dieses Ausschlusskriteriums auch bei ausreichendem Schutz vor Kenntniserlangung durch Dritte, die Mitteilungspflicht gegenüber den Aufsichtsbehörden nach Art. 33 DSGVO bestehen bleibt. Ist die Benachrichtigung der einzelnen betroffenen Personen nur mit unverhältnismäßigen Aufwand möglich, so genügt eine öffentliche Bekanntmachung oder ähnliche Mitteilung (wie z.B. eine E-Mail über den zentralen Kundenverteiler).
Wichtig ist, dass Erwägungsgrund 87 ausdrücklich darauf verweist, dass sie die Meldepflichten nicht in bloßen Pflichten zur Mitteilung erschöpfen. Vielmehr haben Unternehmen dafür Sorge zu tragen, dass Verletzungen auch unverzüglich erkannt werden können. Die Verletzung dieser Pflicht kann ebenfalls die hohen Bußgelddrohungen der DSGVO auslösen.

Fazit:
Am 25. Mai 2018 treten mit der DSGVO selbst auch ihre hohen Bußgelddrohungen in Kraft. Sie können bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes betragen. Um diese Bedrohungen zu verringern, sollten Unternehmen Cyber-Angriffe rechtzeitig erkennen und ihre Meldepflichten wahren, was vor allem durch entsprechende Mitarbeiterschulungen gewährleistet werden kann. Neben Investitionen in die Cyber-Sicherheit können damit Vorwürfe an das eigene Verschulden ebenso minimiert werden, wie Bußgeldzahlungen.