DSK: Ergänzende Prüfungen und Maßnahmen trotz neuer EU-Standardvertragsklauseln für Datenexporte nötig

/in /von

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 21.06.2021

Mit Durchführungsbeschluss vom 4. Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln erlassen, die eine rechtskonforme Übermittlung personenbezogener Daten in Drittländer ermöglichen sollen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) weist wie auch der Europäische Datenschutzausschuss (EDSA) darauf hin, dass auch bei Verwendung der neuen EU-Standardvertragsklauseln eine Prüfung der Rechtslage im Drittland und zusätzlicher ergänzender Maßnahmen erforderlich ist.

In ihrem Beschluss ist die EU-Kommission unter anderem auf die „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) eingegangen. Der EuGH hatte in seinem Urteil vom 16. Juli 2020 (Rs. C-311/18 – Schrems II) festgestellt, dass Übermittlungen personenbezogener Daten in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Die von der EU-Kommission beschlossenen Standardvertragsklauseln können zwar grundsätzlich weiterhin als Rechtsgrundlage für Übermittlungen personenbezogener Daten in Drittländer herangezogen werden. Allerdings müssen alle Verantwortlichen ergänzend eine Prüfung durchführen, ob die Rechtslage oder die Praxis in dem jeweiligen Drittland negativen Einfluss auf das durch die Standardvertragsklauseln gewährleistete Schutzniveau haben können. Ist dies der Fall, etwa weil die Behörden des Drittlands übermäßige Zugriffsrechte auf verarbeitete Daten haben, müssen die Verantwortlichen vor der Datenübermittlung in das Drittland zusätzliche Maßnahmen ergreifen, um wieder ein Schutzniveau zu gewährleisten, das dem in der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Ist dies nicht möglich, müssen die Übermittlungen unterbleiben.

Für die Prüfung der Rechtslage im Drittland und der ergänzenden Maßnahmen können Verantwortliche die „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ heranziehen. Deren endgültige Fassung hat der EDSA nach öffentlicher Konsultation am 18. Juni 2021 beschlossen (https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf ).

An der beschriebenen Situation und den sich daraus ergebenden Verpflichtungen hat sich durch die neuen Standardvertragsklauseln nichts geändert. Diese regeln die bisher nur aus der Rechtsprechung des EuGH folgenden Anforderungen nun vielmehr ausdrücklich (Klausel 14). Die EU-Kommission und der EDSA haben die neuen Standardvertragsklauseln und die Empfehlungen 01/2020 bewusst aufeinander abgestimmt. Das heißt, auch bei Verwendung der neuen Klauseln muss der Datenexporteur die Rechtslage und -praxis des Drittlands prüfen und ggf. zusätzliche Schutzmaßnahmen ergreifen bzw., wenn dies nicht gelingt, von der Übermittlung Abstand nehmen.

In seinem Urteil „Schrems II“ hat der Europäische Gerichtshof das Datenschutzniveau in den USA im Detail geprüft und für unzureichend befunden. Im Fall von Datenübermittlungen in die USA sind daher regelmäßig ergänzende Maßnahmen erforderlich, die einen Zugriff der US-Behörden auf die verarbeiteten Daten verhindern. Solche Maßnahmen sind allerdings nur für wenige Fälle denkbar.

Unternehmen und andere Akteure, die personenbezogene Daten in Drittländer übermitteln, müssen gegenüber der Aufsichtsbehörde nachweisen können, dass sie die hier dargestellte Prüfung zum Schutzniveau im Drittland im Einzelfall durchgeführt haben und zu einem positiven Ergebnis gekommen sind. Die deutschen Aufsichtsbehörden haben mit Beratungen und Prüfungen dazu begonnen, ob und wie die Anforderungen des „Schrems II“-Urteils eingehalten werden.

Weitere Informationen zur DSK: www.datenschutzkonferenz-online.de

BayLDA: Hilfestellungen bei der Kontaktdatenerfassung und anderen infektionsschutzrechtlichen Aufgaben

/in /von

Verantwortliche sind hier in der Pflicht, einen wichtigen Beitrag zur Pandemiebekämpfung zu leisten und zugleich die sensiblen Daten ihrer Kundinnen und Kunden sorgsam zu verarbeiten. Michael Will, Präsident des Landesamts für Datenschutzaufsicht appelliert deshalb an die Verantwortlichen: „Datenschutz und Pandemiebekämpfung sind weder unversöhnliche Gegenspieler noch doppelte Bürokratie für die Unternehmen. Nur beide gemeinsam sichern das Vertrauen der Kundinnen und Kunden auf dem Weg zurück in unserer gewohnten Alltag.“

Das Landesamt für Datenschutzaufsicht hat bereits in der Vergangenheit vielfältige Hinweise entwickelt, die die praxisgerechte Umsetzung infektions- und datenschutzrechtlicher Anforderungen unterstützen: https://www.lda.bayern.de/de/thema_corona_gastronomie.html. Eine besondere Warnung gilt allen, die Kontaktdaten sorglos mit offenen Kontaktlisten auf Papier erfassen wollen und damit den Datenschutz ihrer Gäste missachten. Stattdessen empfiehlt das Landesamt bei Papiernutzung Einzelbögen mit den aktuell geforderten Angaben, für die ein Muster zum Download bereitsteht.

Angebote digitaler Kontaktdatenerfassung können eine wertvolle Entlastung bieten und stellen durch leistungsfähige Verschlüsselungsverfahren sicher, dass Unbefugte die Daten nicht für eigene Zwecke missbrauchen. Weitere Informationen finden Sie unter https://www.lda.bayern.de/de/thema_luca.html sowie hier: https://www.datenschutzkonferenz-online.de/media/oh/20210429_DSK_OH_Kontaktnachverfolgung.pdf.

Will stellt dazu fest: „Der unbedachte Umgang mit Kontaktdaten auf Papier war im ersten Jahr der Pandemie viel zu oft Anlass für Einzelfalluntersuchungen bis hin zu Geldbußen. Solche Verfahren sind unnötig und vermeidbar. Neben unseren Hilfestellungen für papiergebundene Kontaktdatenerfassung sehen wir mittlerweile einige leistungsfähige elektronische Kontaktdatenerfassungsverfahren, die datenschutzrechtlich gute Lösungen ermöglichen. Unsere bisherigen Prüfungen geben trotz einiger kritischer Diskussionen bislang keinen Anlass, von solchen Verfahren abzuraten, soweit die Anwendungshinweise der Hersteller zuverlässig umgesetzt werden.“

Sollten Verantwortliche die Vorlage von negativen Testergebnissen, Impf- oder Genesungsbestätigungen oder Atteste zur Befreiung von der Maskenpflicht überprüfen müssen, dürfen diese Nachweise nach dem Wortlaut der einschlägigen gesetzlichen Bestimmungen lediglich vorgelegt, also gesichtet, jedoch nicht kopiert werden. Weitere Informationen dazu finden Sie hier: https://www.lda.bayern.de/media/veroeffentlichungen/20210310_Befreiung_MNB.pdf.

Datenschutz-Aufsichtsbehörden: Koordinierte Prüfung internationaler Datentransfers

/in /von

Länderübergreifende Kontrolle der Datenschutzaufsichtsbehörden von Unternehmen zur Umsetzung der Schrems II Entscheidung des Europäischen Gerichtshofs

Presseinformation der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht vom 01.06.2021

Im Rahmen einer länderübergreifenden Kontrolle werden Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Das Ziel ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Schrems-II-Entscheidung vom 16. Juli 2020 (Rs. C-311/18). Darin hat das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist ferner nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann. Das Urteil des EuGH erfordert in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.

Die an der Kontrolle teilnehmenden Behörden – darunter die brandenburgische Landesdatenschutzbeauftragte – schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragekatalogs an. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen. Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird.

Der Gerichtshof hat seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung kann voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert. Die Aufsichtsbehörden sind sich der besonderen Herausforderungen, die das EuGH-Urteil zu Schrems II für die Unternehmen in Deutschland und Europa mit sich bringt, bewusst. Sie stehen für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist.

Der Fragenkatalog zu den jeweiligen Fallgruppen kann am Ende dieser Seite abgerufen werden:

Die Pressemitteilungen der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg können hier abgerufen werden.

Luca-App ist ein Einfallstor für Viren

/in /von

Während die Macher der Luca-App weiterhin versuchen, die Sicherheitsbedenken zahlreicher Entwickler abzuwiegeln, zeigt ein Security-Experte eindrücklich, wie leicht sich darüber sogar Malware in Gesundheitsämter einschleusen lässt.

Schon seit Wochen tobt in Deutschland ein heftiger Streit um die Luca-App zur Kontaktverfolgung. Während sie in der Bevölkerung, wohl nicht zuletzt durch den rührigen Marketing-Einsatz schwäbischer Pop-Prominenz, vorwiegend als hippe Hoffnung auf mehr Freiheiten gesehen wird, sehen andere in ihr ein regelrechtes Teufels(werk)zeug. Neben grundsätzlichen Fragen über die Notwendigkeit und den Datenschutz entsprechender Lösungen im Allgemeinen geht es dabei vor allem ganz konkret um die mangelhafte Sicherheit von Luca. Immer wieder zeigen Software- und Security-Experten anhand von Schwachstellen auf, dass die Lösung technisch offensichtlich nicht ganz ausgereift ist. Bislang konnten die Macher diese jedoch in der öffentlichen Wahrnehmung recht locker als vermeintliche Kleinigkeiten vom Tisch wischen. In aktuellen Umfragen schenken die Deutschen der Luca-App sogar mehr Vertrauen, als der offiziellen Corona-Warn-App.

Dass es sich bei den Schwachstellen aber keineswegs nur um unbedeutende Kinderkrankheiten handelt, macht jetzt der Security-Experte Marcus Mengs anhand einer kürzlich entdeckten Lücke  mehr als deutlich. Diese betrifft die bei der Namenseingabe erlaubten Zeichen. Nachdem Luca-Chef Patrick Hennig gegenüber der Zeit behauptet hatte, eine Code-Injektion sei darüber nicht möglich, schaute sich Mengs die Sache noch einmal genauer an und bewies jetzt wenige Tage später prompt das genaue Gegenteil. Er zeigt dabei nicht nur, dass sich über die Ausnutzung der Schwachstelle sehr wohl Code einschleusen ins Luca-Backend lässt, sondern auch, was damit alles möglich wird. Da Hacker über diese Hintertür sogar Zugang zu angeschlossenen Gesundheitsämtern bekommen könnten, ist das Gefahrenpotenzial enorm.

Mit einem simulierten Gesundheitsamtssystem demonstriert Mengs in seiner Demo etwa, dass sich auf diesem Weg sensible Daten aus den Netzwerken der Behörden absaugen lassen. In die andere Richtung könnten Hacker damit auch Malware einschleusen. In seinen Versuchen tauchte dabei lediglich eine kleine Warnmeldung von Office bei den zu infizierenden Clients auf, die viele Behördenmitarbeiter wohl einfach wegklicken würden. Ist diese Hürde genommen, könnten die Angreifer beispielsweise weitere Schädlinge nachladen um damit im internen Netz auf Raubzug zu gehen, oder die Ämter gar mit einer Ransomware-Attacke lahmlegen.

Damit ist es für Bürger wie Politik und Verwaltung gleichermaßen spätestens jetzt an der Zeit, die App-Strategie noch einmal genau zu überdenken. Dabei stehen sie vor einem paradoxen Problem. Während die offizielle Warn-App eher durch zu hohe Sicherheitsansprüche und eine traditionelle Skepsis gegenüber Behörden ausgebremst wird, setzen die gegenüber Bürger und auch viele Unternehmer lieber auf die offensichtlich deutlich riskante Alternative. Dass diese zudem zusätzliche Steuergelder kostet, ohne dafür einen echten Mehrwert zu bieten, wie Experten schon länger kritisieren, wird damit fast schon zur Randnotiz.

BAG zum Auskunftsanspruch Erteilung einer Kopie nach Art. 15 Abs. 3 DS-GVO

/in /von

Das Bundesarbeitsgericht (BAG, Urteil vom 27. April 2021 – 2 AZR 342/20) musste sich mit der Frage befassen, in welchem Umfang eine Arbeitgeberin ihren Beschäftigten im Rahmen eines Auskunftsverlangens nach Art. 15 Abs. 3 DS-GVO Kopien von deren personenbezogenen Daten zur Verfügung stellen muss. Die Parteien stritten im konkreten Fall darüber, ob der Kläger von der Beklagten die Erteilung einer Kopie seines E-Mail-Verkehrs mit ihr sowie der E-Mails, die ihn persönlich erwähnen, verlangen kann.

Der Kläger war bei der Beklagten als Wirtschaftsjurist beschäftigt. Nachdem die Beklagte das Arbeitsverhältnis gekündigt hatte, erteilte sie dem Kläger auf dessen Verlangen im März 2019 Auskunft über seine von ihr verarbeiteten personenbezogenen Daten bzw. deren Kategorien. Außerdem stellte sie dem Kläger die gespeicherten personenbezogenen Daten als sog. ZIP-Dateien zur Verfügung. Mit seiner Klage hat der Kläger u.a. geltend gemacht, die Beklagte schulde ihm gemäß Art.15 Abs. 3 DS-GVO weiterhin eine Kopie seiner von ihr verarbeiteten personenbezogenen Daten. Zu diesen gehörten auch der zwischen ihm und der Beklagten geführte E-Mail-Verkehr sowie diejenigen E-Mails, in denen er genannt werde. Das Arbeitsgericht hat die Klage, soweit sie auf die Erteilung einer Kopie seiner personenbezogenen Daten gerichtet ist, abgewiesen. Das Landesarbeitsgericht hat ihr teilweise entsprochen und sie im Übrigen abgewiesen. Es hat angenommen, der Kläger habe zwar einen Anspruch auf Erteilung einer Kopie seiner personenbezoge-nen Daten, die Gegenstand der Verarbeitung sind. Ein weitergehender Anspruch, insbesondere auf Kopien des vollständigen E-Mail-Verkehrs, bestehe dagegen nicht. Mit seiner Revision verfolgte der Kläger sein Begehren, soweit er damit unterlegen ist, weiter.

Das BAG hat nun entschieden, dass ein Klageantrag auf Überlassung einer Kopie von E-Mails nicht hinreichend bestimmt sei (iSv. § 253 Abs. 2 Nr. 2 ZPO), wenn die E-Mails, von denen eine Kopie zur Verfügung gestellt werden soll, nicht so genau bezeichnet sind, dass im Vollstreckungsverfahren unzweifelhaft ist, auf welche E-Mails sich die Verurteilung bezieht.

BvD: Rückschlag für UK Angemessenheitsbeschluss

/in /von

Am Donnerstag (20.05.2021) hat das EU-Parlament mit knapper Mehrheit die Zustimmung zum Angemessenheitsbeschluss mit UK abgelehnt.
Das genaue Verfahren, wie das EU-Parlament mit seinem LIBE-Ausschuss in die Entscheidungsfindung für Durchführungsrechtsakte der EU-Kommission eingebunden ist, wird in diesem informativen Beitrag von BHO-Legel beschrieben.
Die Ablehnung war mit 353 Stimmen zu 334 Stimmen bei 7 Enthaltungen knapp.
Momentan laufen die nächsten Entschließungsanträge im EU-Parlament. Es bleibt spannend…

Und wer Unternehmen mit Hauptsitz in Großbritannien berät, sollte nicht vergessen, zu prüfen, ob ein Vertreter nach Art. 27 DS-GVO eingerichtet werden muss, bevor dies als Datenschutzverstoß bewertet wird.

/

LfDI RP: Datenübermittlung in Drittländer – Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, sollte umgehend aktiv werden

/in /von

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 12.05.2021

Im Rahmen einer Informationsoffensive hat der Landesdatenschutzbeauftragte Dutzende Unternehmen, Verbände und staatliche Stellen in Rheinland-Pfalz angeschrieben, um Verstößen bei der Übermittlung von Daten ins außereuropäische Ausland vorzubeugen.

Nach einem Urteil des Europäischen Gerichtshofs (EuGH) vom vergangenen Jahr sind Datenübermittlungen zum Teil auf eine neue Rechtsgrundlage zu stellen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Professor Dieter Kugelmann, weist in dem nun versandten Schreiben darauf hin: „Ich rate dringend dazu, alle in ihrem Unternehmen stattfindenden Datenverarbeitungsvorgänge im Zusammenhang mit Drittländern anhand des von meiner Behörde bereitgestellten Prüfschemas auf ihre Zulässigkeit hin zu überprüfen und eventuellen Handlungsbedarf zu identifizieren, um Datenschutzverstöße schnellst möglich abzustellen oder zu verhindern.“

Professor Dieter Kugelmann sagt: „Das Grundsatzurteil des Europäischen Gerichtshofs, das sogenannte Schrems II-Urteil, betrifft fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis. Denn sie verarbeiten automatisiert personenbezogene Daten, übermitteln diese dabei – oft unbewusst – in Länder außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums. Sie bewegen sich damit datenschutzrechtlich auf dünnem Eis. Im Laufe dieses Jahr ist es unsere Aufgabe zu prüfen, ob gegebenenfalls Datenschutzvergehen vorliegen und Sanktionen verhängt werden müssen. Zuvor wollen meine Mitarbeiterinnen und Mitarbeiter nochmals die Unternehmen und Behörden sensibilisieren. Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, muss umgehend aktiv werden, sofern dies denn nötig ist.“

Ziel der Informationsoffensive ist, das Bewusstsein der datenverarbeitenden Stellen zu schärfen und damit die Datenschutzrechte der betroffenen Personen, also aller Bürgerinnen und Bürger, mit Blick auf das Schrems II-Urteil zu stärken. In der Entscheidung vom 16. Juli 2020 hatte das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist ferner generell nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann. Das Urteil des EuGH erfordert in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.

Der Gerichtshof hat überdies seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung kann voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert.

Nach den nun erfolgten Informationsschreiben wird es stichprobenartige Kontrollen geben. „Kommt der Verantwortliche oder Auftragsverarbeiter zu dem Schluss, dass eine Umstellung seiner Verträge oder Prozesse nicht erforderlich sei, sollte er dies sowie die Gründe für die Entscheidung dokumentieren. Dies kann sanktionsmildernd wirken, sollte meine Behörde zu dem Ergebnis kommen, dass sehr wohl Anpassungen zu treffen waren und sind“, sagt der Leiter der Datenschutzaufsichtsbehörde Professor Dieter Kugelmann.

Weitere Informationen zu Schrems II finden Sie hier.

Die Pressemitteilungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz können hier abgerufen werden.

LfDI BW: Deutsche Firmen in der Datenschutzfalle – Behörden intensivieren Ermittlungen wegen US-Cloud-Nutzung

/in /von

„Firmen laufen Gefahr, durch die Nutzung von US-Cloud-Anbietern gegen EU-Recht zu verstoßen. Jetzt weiten die Aufsichtsbehörden ihre Ermittlungen aus. Hohe Bußgelder drohen.“

Zum Artikel: https://www.handelsblatt.com

BvD: Sicherheitslücken bei Microsoft Exchange-Servern: Weiterhin akute Datenschutzrisiken

/in /von

Durch Ausnutzung kritischer Sicherheitslücken in der Software des Microsoft Exchange-Servers ist es jüngst zu einer massiven, globalen Cyber-Angriffswelle gekommen, die erhebliche Datenschutzrisiken ausgelöst hat.

Der BvD bietet hierzu kurzfristig zwei Webinare an: 

Sicherheitslücken bei Microsoft Exchange – Wie umgehen mit dem Risiko?

Termine: Donnerstag, 25.03.2021 und Montag, 29.03.2021

In den Webinaren erhalten Sie aus Sicht des IT Systembetriebs einen Überblick über die Attacke, ihre Folgen und welche Risiken sie birgt. Wir erklären, wie Sie herausfinden, ob Sie betroffen sind und wie Sie gegen den Angriff vorgehen können. Um solche und andere Cyber-Attacken zu verhindern oder zumindest zu erschweren und aufzuarbeiten, besprechen wir dafür geeignete technische und organisatorische Maßnahmen und ihre Grenzen.

Melden Sie sich jetzt an!

Zu den Sicherheitslücken bei Microsoft Exchange-Servern haben die beiden bayerischen Datenschutzaufsichtsbehörden LDA und LfD eine gemeinsame „Praxishilfe zu Microsoft Exchange Sicherheitslücken“ veröffentlicht sowie einen gemeinsamen Frage-und-Antwort-Bereich (FAQ) online zur Verfügung gestellt.

Lesen Sie hier aktuelle Pressemitteilungen zum Thema:

BayLDA: Akuter Handlungsbedarf wegen Sicherheitslücken bei Microsoft Exchange-Mail-Servern

/in /von

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 09.03.2021

Nach der aktuellen Presseveröffentlichung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist eines klar: Die neu bekannt gewordenen Schwachstellen in Microsoft Exchange-Mail-Servern betreffen auch eine Vielzahl deutscher Firmen. Eine Ad-hoc-Online-Untersuchung des BayLDA hat alleine im ersten Prüflauf eine dreistellige Zahl von Unternehmen identifiziert, deren Systeme auch mehrere Tage nach den ersten Sicherheitswarnungen weiterhin akut gefährdet sind. BayLDA-Präsident Will: „Wir sehen mit großer Sorge, dass trotz eindringlicher Warnungen durch die Sicherheitsbehörden und sofortiger Hilfestellungen durch Microsoft immer noch verwundbare Mail-Server im Netz zu finden sind. Für die von uns identifizierten Unternehmen besteht jetzt akuter Handlungsbedarf. Die betroffenen Systeme müssen umgehend gepatcht und dann umfassend überprüft werden. Für Unternehmen, die bis jetzt untätig geblieben sind, gehen wir von einer meldepflichtigen Datenschutzverletzung aus.“

Schwachstellen als IT-Bestandteil
Ein professioneller Umgang mit Sicherheitslücken sollte längst zum Alltag jedes IT-Betriebes gehören. Unabhängig von der Art und der Größe des Unternehmens ist es vor allem bei IT-Systemen, die über das Internet erreichbar sind, neben einer richtigen Konfiguration von entscheidender Bedeutung, bekannt gewordene Schwachstellen möglichst zeitnah zu beheben. Automatisierte Scans quer durch das Internet ermöglichen es ansonsten Angreifern aus der Ferne, auf Knopfdruck einen Überblick über verwundbare Server zu erhalten und nach Belieben Cyberattacken darauf zu starten. Das Zeitfenster zum Beheben von Sicherheitslücken ist somit meistens sehr gering.

BSI informiert über neue kritische Schwachstellen in Microsoft Exchange
Mit der Pressemitteilung vom 05.03.2021 informierte das BSI über eine neue, außerordentlich kritische Gefährdungslage, die bei den auch in Deutschland sehr weit verbreiteten Exchange Servern sofortiges Handeln der betroffenen Unternehmen erfordert. Durch die kombinierte Anwendung der neuen Exchange-Schwachstellen ist eine Code-Ausführung aus der Ferne für Angreifer möglich. Das BSI geht davon aus, dass die so verwundbaren Systeme mit hoher Wahrscheinlichkeit bereits attackiert und mit Schadsoftware infiziert sind.

Erfolgreiche Attacken setzen allerdings unter anderem voraus, dass eine nicht-vertrauenswürdige Verbindung zu einem Exchange Server etabliert werden kann, z. B. über Outlook Web Access. Laut Informationen des BSI sind Server, welche nur per VPN erreichbar sind oder eben solche nicht-vertrauenswürdige Verbindungen blockieren, nicht betroffen. Dennoch geht das BSI nach bisherigen Veröffentlichungen von einer fünfstelligen Anzahl an betroffenen Systemen alleine in Deutschland aus.

Microsoft Patches einspielen
Das Einspielen der von Microsoft bereitgestellten Updates sollte von Exchange-Administratoren unverzüglich durchgeführt werden. Microsoft stellt mittlerweile zudem ein eigenes Prüf-Skript für betroffene Betriebe zur Verfügung (siehe unten in „Weiterführende Links“). Mit diesem können die Systemadministratoren der Firmen Anhaltspunkte dafür finden, ob der eigene Exchange Server erfolgreich angegriffen wurde.

Datenschutzrechtliche Bewertung zur Exchange-Sicherheitsproblematik
Viele Unternehmen sind verunsichert, inwieweit der eigene Betrieb gefährdet ist und personenbezogene Daten tatsächlich abgegriffen worden sind. Während zu Beginn laut Microsoft primär Forschungseinrichtungen mit Pandemie-Fokus, Hochschulen, Anwaltsfirmen und Organisationen aus dem Rüstungssektor angegriffen wurden, steht mittlerweile die Annahme im Raum, dass Angriffe branchenunabhängig erfolgen.

Unabhängig von einer genaueren Bewertung eines möglichen datenschutzrechtlichen Schadens einer Cyberattacke sind Verantwortliche mit gefährdeten Systemen zunächst verpflichtet, umgehend die bereitgestellten Patches für ihre Systeme zu installieren und damit ihrer Verpflichtung gemäß Art. 32 DS-GVO nachzukommen, die Sicherheit ihrer Verarbeitungstätigkeiten zu gewährleisten. Verantwortliche, die dieser Aufgabe bislang nicht nachgekommen sind, trifft angesichts des auch durch die zentrale Funktion von Exchange Servern im Kommunikationssystem der Unternehmen außerordentlich erhöhten Sicherheitsrisikos unabhängig von weiteren Befunden die Verpflichtung, die Sicherheitslücke als Schutzverletzung binnen 72 Stunden zu melden. Dies stellt sicher, dass die weiteren Schritte zur Wiederherstellung der Sicherheit des Gesamtsystems unter Aufsicht des BayLDA durchgeführt werden.

Angesichts des hohen Schadenspotentials bei Ausnutzung der Sicherheitslücke und der deutlich erhöhten Wahrscheinlichkeit solcher Angriffe bestehen auch für Verantwortliche, die das erforderliche Update bereits zeitnah durchgeführt haben, noch weitere Untersuchungspflichten: Um auszuschließen, dass ein Einspielen der Microsoft-Updates zu spät gelungen ist und zwischenzeitlich Schadcode installiert wurde, sind sämtliche betroffenen Systeme dahingehend zu überprüfen, ob sie noch den Anforderungen des Art. 32 DS-GVO gebotenen Schutz gewährleisten. Treten dabei Schutzverletzungen, etwa sogenannte Hintertüren im System auf, ist in diesen Fällen ebenfalls eine Meldung an die Datenschutzaufsichtsbehörde durchzuführen, da dann für die betroffenen Personen ein Risiko besteht.

Inwieweit in manchen Fällen sogar ein hohes Risiko für betroffene Personen besteht und eine Benachrichtigung derer nach Art. 34 DS-GVO notwendig ist, ist letztendlich abhängig vom Einzelfall. Hier ist eine Individualprüfung durch den eigenen Datenschutzbeauftragten der Unternehmen erforderlich.

Datenschutzprüfung des BayLDA in Bayern
Seit der Presseinformation des BSI vergangene Woche erhält das BayLDA Beratungsanfragen und Meldungen zu Datenschutzverletzungen von verschiedenen Unternehmen. Daher hat das BayLDA die Prüfkapazitäten des eigenen Cyberlabors eingesetzt, um betroffene bayerische Unternehmen auf die akute Gefährdungslage hinzuweisen. Eines der Ziele der Prüfung ist es, anfällige Exchange Server in Bayern zu identifizieren und deren Betreiber zu kontaktieren.

Das BayLDA hat dafür in einem ersten Prüflauf am 08.03.2021 stichprobenartig 16.502 bayerische Systeme auf ihre mögliche Verwundbarkeit untersucht. Bei den Organisationen, die auf eine Microsoft Exchange-Kommunikationsstruktur setzen, wurde kontrolliert, ob der notwendige Patch-Level zum Schließen der Lücken vorhanden ist. Bereits im ersten Prüflauf wurde eine dreistellige Zahl potentiell verwundbarer Server identifiziert, deren Verantwortliche nun umgehend über die datenschutzrechtlichen Verpflichtungen und Konsequenzen unterrichtet werden.

Aufgrund der Vielzahl an betroffenen Firmen kann im Regelfall keine Individualberatung stattfinden. Deshalb etabliert das BayLDA einen Frage-und-Antwort-Bereich (FAQ) auf seiner Website für Unternehmen, die zu diesem Thema Datenschutzfragen haben. Dieser ist unter folgender Adresse erreichbar: www.lda.bayern.de/exchange

Das BayLDA beabsichtigt nach der ersten Information der Unternehmen weitere Prüfläufe. Bei Verstößen gegen die Vorgaben der Datenschutz-Grundverordnung drohen dann den Verantwortlichen, die nicht angemessen reagieren, aufsichtliche Verfahren bis hin zu Geldbußen.

Weitere Links:

Download Sicherheitslücken bei Microsoft Exchange-Mail-Servern: Akuter Handlungsbedarf für bayerische Unternehmen als PDF