| Unternehmen stehen bei einem Datenschutzvorfall vor der Frage, ob sie die betroffenen Personen informieren müssen. Viele möchten den Schritt nur ungerne tun, schließlich leidet die Reputation des Unternehmens. Wie man damit umgeht, erläutern wir am Beispiel des Elektronikversandhändlers Conrad, bei dem Unbekannte über Monate hinweg auf 14 Millionen Kundendatensätze zugreifen konnten. Worst Case: Datenschutzvorfall Der Elektronikversandhändler Conrad veröffentlichte auf seiner Webseite die Information, dass eine Sicherheitslücke in den firmeneigenen IT-Systemen festgestellt wurde, durch die Unbekannte über mehrere Monate hinweg auf eine Datenbank mit 14 Millionen Kundendatensätzen zugreifen konnten. Die Angreifer hatten sich über einen Server Zugang zu einer Datenbank mit Daten von vorrangig deutschen Kunden verschafft. Sie hatten dabei Zugriff auf die Postadressen sowie teilweise E-Mail-Adressen, Fax- und Telefonnummern. Bei knapp einem Fünftel der betroffenen Datensätze waren auch die IBANs hinterlegt. Immerhin waren keine Kreditkarteninformationen, Login-Daten und Kundenpasswörter betroffen. Die Sicherheitslücke wurde mittlerweile geschlossen. Zudem wurde Strafanzeige beim bayerischen Landeskriminalamt gestellt und, wie das Unternehmen mitteilte, man arbeite eng mit dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) als zuständige Aufsichtsbehörde zusammen. Conrad teilte mit, dass aus Sicht der Behörden keine Benachrichtigung der Kunden erforderlich gewesen sei. Man sich aber „im Sinne eines guten und partnerschaftlichen Umgangs“ dennoch dazu entschieden habe, die Kunden vorsorglich auf der Website zu informieren. Pflicht zur Benachrichtigung der Betroffenen? Die Benachrichtigung der betroffenen Personen richtet sich nach Art. 34 Abs. 1 DSGVO: „Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“ Es bedarf demnach einer Prognoseentscheidung, ob ein hohes Risiko für die Betroffenen besteht. Prognose des Risikos Der Verantwortliche muss die betroffene Person also unverzüglich von der Verletzung informieren, wenn der Vorfall voraussichtlich ein hohes Risiko für deren persönlichen Rechte und Freiheiten der betroffenen Personen zur Folge hat. Dabei ist zu bedenken, dass ein Datenschutzvorfall bereits bei einem normalen Risiko der Aufsichtsbehörde zu melden ist (1. Stufe) und erst bei Bestehen eines hohen Risikos auch die betroffenen Personen zu benachrichtigen sind (2. Stufe). Entsprechend ergibt sich bei einem „normalen“ Risiko die Situation, dass der Verantwortliche zwar zur Information der Aufsichtsbehörde gem. Art. 33 DSGVO, nicht aber des Betroffenen gem. Art. 34 DSGVO verpflichtet ist. Dies gilt auch dann, wenn dem Verantwortlichen noch nicht genügend Informationen zur Verfügung stehen, um vorhersehen zu können, dass in Abgrenzung zu einem Risiko ein hohes Risiko vorliegt. Fehlender Maßstab für Prognose Problematisch ist, dass die DSGVO nicht ausführt nach welchen Kriterien zwischen „keinem Risiko“, „einem (durchschnittlichen) Risiko“ und einem „hohen Risiko“ zu differenzieren ist. Die Datenschutzkonferenz liefert hierzu Anhaltspunkte in dem Kurzpapier Nr. 18. Und auch das BayLDA geht darauf in der Orientierungshilfe zur Meldung von Datenschutzvorfällen ein. Conrad äußert sich nicht dazu, wie sie hier zu der Prognose eines voraussichtlich durchschnittlichen Risikos gekommen sind. Da gemäß Art. 34 Abs. 4 DSGVO die hier zuständige bayerische Aufsichtsbehörde bei eigener positiver Prognose eines hohen Risikos das Recht gehabt hätte, Conrad zur Benachrichtigung der Betroffenen zu verpflichten, spricht vieles dafür, dass auch die Aufsichtsbehörde kein hohes Risiko sieht. Darauf deutet auch der Erwägungsgrund 86 S. 3 DSGVO hin, wonach Benachrichtigungen der Betroffenen „in enger Absprache mit der Aufsichtsbehörde und nach Maßgabe der von dieser oder von anderen zuständigen Behörden wie beispielsweise Strafverfolgungsbehörden erteilten Weisungen erfolgen“ müssen. Erforderlich ist auch eine Abwägung zwischen den Interessen des Verantwortlichen an der Vermeidung eines Reputationsverlusts und den der Betroffenen an einer transparenten Information. Die Entscheidung, dass letztendlich kein hohes Risiko besteht, verwundert jedoch, da mit immerhin ca. 2,8 Mio. IBAN-Nummern auch Zahlungsinformationen offengelegt wurden. Zudem besteht eine Gefahr, dass die Angreifer an die erbeuteten E-Mails Malware oder Phishing-Mails verschicken. Dabei können die erbeuteten Informationen helfen, den Anschein der Rechtmäßigkeit zu erzeugen. Der Umstand, dass die Daten noch nicht missbräuchlich genutzt wurden, mag auch nicht zu beruhigen, weil das immer noch jederzeit geschehen kann. Art der Benachrichtigung der Betroffenen Adressaten der Benachrichtigung sind alle Personen, die von der Datenschutzverletzung betroffen sind. Der Wortlaut des Art. 34 Abs. 1 DSGVO, der betroffene Person im Singular verwendet, legt nahe, dass jeder Betroffene individuell zu benachrichtigen ist. Dies ist gemäß Art. 34 Abs. 3 nur dann nicht der Fall, wenn: • der Verantwortliche technische und organisatorische Sicherheitsvorkehrungen getroffen hat, durch die die personenbezogenen Daten für alle Personen, die nicht zu deren Zugang befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung. • der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko nicht mehr besteht. • die individuelle Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden gewesen wäre. All das ist hier nicht der Fall. Ein unverhältnismäßiger Aufwand kann nicht angenommen werden, weil Conrad nur – die ja offensichtlich vorhandenen – E-Mail-Adressen der 14 Mio. Betroffenen hätte nutzen müssen, um sie per Mail über den Vorfall zu informieren. Ansonsten wäre auch eine Information über die Telefonnummer (z.B. per SMS) möglich gewesen. Dass sich Conrad stattdessen für eine Benachrichtigung über die Webseite entschlossen hat, hat wahrscheinlich den Hintergrund, dass sie keine Pflicht zur Benachrichtigung sehen und sich daher bei der Art der Benachrichtigung auch nicht an die DSGVO gebunden fühlen. Wichtigkeit der IT-Sicherheit Der Vorfall zeigt, wie wichtig die IT-Sicherheit für einen effektiven Datenschutz ist. Mängel in der IT-Sicherheit können auf einen Schlag zur Offenlegung von Millionen Datensätzen führen. Beruhigend ist, dass Conrad anscheinend Vorsorge getroffen hat und die besonders sensiblen Daten wie Passwörter und Kreditkartendetails separat oder verschlüsselt bzw. gehasht gespeichert hat. Es zeigt aber auch eindrücklich, dass die Berliner Beauftragte für Datenschutz mit ihrer Warnung vor Datenfriedhöfen ins Schwarze trifft. Denn wenn etwas passiert, ist der Schaden häufig irreparabel. Sowohl für die betroffenen Personen, als auch für die Reputation der Unternehmen. — Das Thema ist für Sie oder in Ihrem Unternehmen relevant und Sie möchten Ihre Kompetenzen erweitern? Informieren Sie sich hier über unser Seminarangebot. Blogleser erhalten mit dem Code „DR. DATENSCHUTZ“ 15% Rabatt auf die Seminare, vorerst gültig bis zum 31.12.2019. Beitrag hier kommentieren | 