Sicherheitslücken in Microsoft Exchange – Besteht eine Meldepflicht nach DSGVO?

Aufgrund der jüngst aufgedeckten Sicherheitslücke in Microsoft Exchange Servern hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Pressemitteilung vom 05.03.2021 ausdrücklich eine Sicherheitswarnung ausgesprochen. Zehntausende Microsoft Exchange Server seien in Deutschland über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert.

1. Was ist passiert?

Anfang März hat Microsoft kurzfristig neue Sicherheitsupdates für Exchange Server veröffentlicht, mit dem die bislang bekannten Schwachstellen geschlossen werden. Diese Schwachstellen würden laut BSI derzeit aktiv von Angreifer-Gruppen ausgenutzt. Das BSI spricht von einem sehr hohen Angriffsrisiko für Unternehmen. Es bestehe die Gefahr, dass neben dem Zugriff auf die E-Mail-Kommunikation auch der Zugriff auf das komplette Unternehmensnetzwerk erlangt werden könne. Es wird dringend empfohlen, die mittlerweile von Microsoft bereit gestellten Sicherheitsupdates durchzuführen.

2. Wann besteht eine Meldepflicht?

Durch die Ausnutzung solcher IT-Sicherheitslücken können personenbezogene Daten betroffen sein, so dass bei einem Datenleck eine Meldepflicht an die zuständige Datenschutzbehörde bestehen kann. Eine bloße Sicherheitslücke und die Notwendigkeit eine Sicherheitsupdate zu installieren löst per se noch keine datenschutzrechtliche Meldeverpflichtung aus.

Wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, normiert Art. 33 DSGVO eine Meldepflicht des Verantwortlichen. Diese Meldung muss unverzüglich und möglichst binnen 72 Stunden nach Kenntnisnahme bei der Datenschutzbehörde eingehen.

Eine Verletzung des Schutzes personenbezogener Daten liegt grundsätzlich dann vor, wenn eine unbefugte Manipulation oder ein Datenabfluss von personenbezogenen Daten nachweislich erfolgt ist. Auch wenn nicht mit hinreichender Sicherheit ausgeschlossen werden kann, dass personenbezogene Daten aus dem System abgegriffen oder in diesem manipuliert worden sind, liegt eine Verletzung des Schutzes personenbezogener Daten vor.

Verantwortliche müssen zur Prüfung der Meldepflicht im Falle eines festgestellten Angriffs auf Microsoft Exchange Server neben der Wahrscheinlichkeit, dass personenbezogene Daten unbefugt verändert, gelöscht oder abgegriffen wurden, auch die möglichen Risiken bewerten, die für die Rechte und Freiheiten der Betroffenen bestehen können. Wenn die Risikoabwägung ergibt, dass durch die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, ist der betroffene Personenkreis durch den Verantwortlichen nach Art. 34 DSGVO unverzüglich zu unterrichten.

3. Was empfehlen Aufsichtsbehörden?

Mehrere Datenschutzaufsichtsbehörden haben teilweise unterschiedliche Stellungnahmen mit Handlungsempfehlungen zur Prüfung der Meldepflicht veröffentlicht. Inwieweit Vorfälle im Zusammenhang mit den Exchange-Server-Schwachstellen meldepflichtig sind, ist unter den deutschen Aufsichtsbehörden jedoch umstritten.

Einheitlich wird von den Datenschutzbehörden vertreten, dass bei einer festgestellten Kompromittierung des Exchange-Servers in der Regel eine Meldepflicht bestehe.

Eine strengere Bewertung nehmen hingehen das bayerische Landesamt für Datenschutzaufsicht (BayLDA) und die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen vor, die auch ohne Kompromittierung des Systems per se von einer Meldepflicht ausgehen, wenn die Updates verspätet eingespielt wurden.

4. Fazit

Es wird dringend empfohlen, eine ordnungsgemäße Installation der Sicherheitsupdates vorzunehmen und die Systeme auf eine mögliche Kompromittierung zu prüfen.

Prüfen Sie sodann, ob bei Ihrem Unternehmen eine Meldepflicht nach den bereits genannten Grundsätzen und den Empfehlungen Ihrer Aufsichtsbehörde besteht.

Beachten Sie auch das mit einer unterlassenen Meldung einhergehende Risiko eines Bußgeldes und ziehen Sie ggfls. eine präventive Meldung in Betracht.

So hilft Ihnen die Anwaltskanzlei Schenk Datenschutz Rechtsanwaltsgesellschaft mbH:

Sie möchten gerne beraten werden, ob Sie eine Meldung durchführen müssen? Sie benötigen Unterstützung bei einer Meldung?