Mit dem Regelwerk der Datenschutzgrundverordnung (DSGVO) sollen die personenbezogenen Daten von Kunden, Interessenten und anderen Personen effektiv und nachhaltig geschützt werden. Unternehmen haben die Pflicht, die Regelungen einzuhalten und entsprechende Kontrollen in ihren Betrieb einzubauen. Dennoch können externe Faktoren auf ein Unternehmen einwirken und schlimmstenfalls zu einer Verletzung des Datenschutzes führen. Ein solches Beispiel stellt der Hafnium Exchange-Server-Hack bei Microsoft dar.
Sicherheit für den Datenschutz
Am 3. März 2021 hatte Microsoft ein außerplanmäßiges Sicherheitsupdate aufgespielt und dadurch vier Schwachstellen in Exchange-Servern geschlossen. Grundlegend müssen IT-Sicherheitslücken an die Datenschutzbehörden gemeldet werden. Sie haben einen datenschutzrechtlichen Aspekt und sind insbesondere in Verbindung mit personenbezogenen Daten relevant. Der Angriff auf die Microsoft Exchange Server wurde insbesondere durch die vier Schwachstellen in der Software ermöglicht, weshalb eine Meldung essenziell gewesen wäre.
Die Pflicht, solche Sicherheitslücken der Datenschutzbehörde im jeweiligen Bundesland zu melden, ergibt sich aus Art. 33 DSGVO. Demnach ist eine solche Meldung erforderlich, wenn die „Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Diese Definition der DSGVO kann sehr weit ausgelegt werden, wodurch selbst kleinste Verfehlungen und Sicherheitslücken eine Pflicht zur Meldung auslösen können.
Die Behörden appellieren nun an sämtliche Nutzer von Exchange-Servern, die von Microsoft zur Verfügung gestellten Sicherheitsupdates zu installieren. Microsoft hat den Betroffenen ein Prüf-Skript zur Verfügung gestellt. Bei dieser Überprüfung festgestellte Mängel bringen eine Benachrichtigungspflicht durch den Verantwortlichen mit sich (Art. 33 DSGVO). Solchen Unternehmen, welche bis zum 9. März untätig geblieben sind, kann eine meldepflichtige Datenschutzverletzung unterstellt werden.
Auswirkungen im Hinblick auf personenbezogene Daten
Durch Angriffe auf Exchange-Server können Dritte auf sämtliche abgelegte Daten zugreifen. Im Falle von Microsoft zählen hierzu beispielsweise unternehmensinterne Mails, Protokolle oder Termine. Beinhalten diese personenbezogenen Daten von Kunden oder Mitarbeitern, liegt ein Verstoß gegen den Datenschutz vor. Wichtige Fragen sind anschließend, ob ein solcher Verstoß hätte verhindert werden können sowie ob das Unternehmen die Sicherheitslücke bzw. das verspätete Update entsprechend gemeldet hat.
Wir stehen Ihnen gerne mit Rat und Tat zur Seite. Weitere Informationen und Kontaktmöglichkeiten finden Sie unter https://kajo-datenschutz.de
