Landesdatenschutzbehörden und die Meldepflicht zur aktuellen Exchange Server Schwachstelle

Seit einigen Tagen und nun schon Wochen bittet Microsoft die Nutzer von Exchange OnPremises Umgebungen eine kritische Sicherheitslücke zu schließen. Nun warnt auch das BSI eindringlich und man sieht, dass einfach zu viele nach Quelle der CERT-Bund über 63000 Server in Deutschland nicht gepatcht sind. Nun stellt sich die Frage: Muss ich dies meinem Landesdatenschutz melden? 

BSI- Warnung: BSI – Kritische Schwachstellen in Exchange-Servern (bund.de)

ACHTUNG: Dieser Artikel wird aktuell täglich aktualisiert.

Bisher reagierte Landesdatenschützer

Niedersachsen meldepflichtig bei kompromittierten Exchange Servern
Bayern meldepflichtig bei kompromittierten Exchange Servern und bei keinem Patch bis 09.03
Hamburg meldepflicht bei kompromittierten Exchange Server
Mecklenburg-Vorpommern meldepflicht bei kompromittierten Exchange Server
Rheinland-Pfalz meldepflicht bei kompromittierten Exchange Server
NRW meldepflicht bei kompromittierten Exchange Server
Hessen meldepflicht bei kompromittierten Exchange Server
Saarland meldepflicht bei kompromittierten Exchange Server
Sachsen meldepflicht bei kompromittierten Exchange Server
Thüringen meldepflicht bei kompromittierten Exchange Server

Niedersachsen

  • meldepflichtig bei kompromittierten Exchange Servern

Kompromittierte Exchange Server meldepflichtig | Die Landesbeauftragte für den Datenschutz Niedersachsen

Bayern

  •  meldepflicht, wenn bis 9.3. ungepatcht 

BayLDA Pressemitteilung zu Microsoft Exchange Sicherheitslücken (bayern.de)

Vermehrte Datenpannen-Meldungen in Rheinland-Pfalz wegen Sicherheitslücke auf Microsoft Exchange-Servern – Virtuelles Datenschutzbüro

detaillierte Übersicht mit Handlungsanweisungen 12.03.2021

Hamburg

  • bei festgestelltem Datenabfluss

Schwachstelle bei Microsoft Exchange-Servern (datenschutz-hamburg.de)

Mecklenburg Vorpommern

  • bei festgestellter Kompromittierung des Exchange Servers

Pressemitteilungen – Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (datenschutz-mv.de)

Rheinland-Pfalz

  • “Sollte ihr System nicht kompromittiert worden sein und Ihnen keine Erkenntnisse über eine unbefugte Einsichtnahme bzw. Abfluss personenbezogener Daten vorliegen, so ist eine Meldung an den LfDI RLP nicht erforderlich.

Vermehrte Datenpannen-Meldungen in Rheinland-Pfalz wegen Sicherheitslücke auf Microsoft Exchange-Servern (rlp.de)

Vermehrte Datenpannen-Meldungen in Rheinland-Pfalz wegen Sicherheitslücke auf Microsoft Exchange-Servern – Virtuelles Datenschutzbüro

NRW

  • bei kompromittiert Servern, sowie Datenabfluss ist zu melden

“Pflichten nach Artikel 33, 34 Datenschutz-Grundverordnung

Eine Verletzung des Schutzes personenbezogener Daten liegt dann vor, wenn ein Datenabfluss oder eine unbefugte Manipulation personenbezogener Daten nachweislich erfolgt ist bzw. wenn nicht mit hinreichender Sicherheit ausgeschlossen werden kann, dass personenbezogene Daten aus dem System abgegriffen oder in diesem manipuliert worden sind.

Zur Prüfung einer Meldepflicht an die LDI NRW nach Artikel 33 Abs. 1 Datenschutz-Grundverordnung müssen Verantwortliche im Falle eines festgestellten erfolgreichen Angriffs auf Exchange-Server neben der Wahrscheinlichkeit, dass personenbezogene Daten unbefugt verändert, gelöscht oder abgegriffen wurden, auch die möglichen Schäden, die hiervon für die Rechte und Freiheiten der betroffenen Personen ausgehen, bewerten. Sollten beispielsweise nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen und keine besonders sensiblen personenbezogenen Daten in den betroffenen Systemen verarbeitet worden sein, liegt zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vor. In diesen Fällen genügt eine interne Dokumentation der Verletzung beim Verantwortlichen gemäß Artikel 33 Abs. 5 Datenschutz-Grundverordnung. Sollte ein mehr als geringes Risiko festgestellt werden, besteht die Meldepflicht an die zuständige Aufsichtsbehörde gemäß Artikel 33 Abs. 1 Datenschutz-Grundverordnung. Sofern ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen festgestellt wird, kann nach Artikel 34 Datenschutz-Grundverordnung auch eine Benachrichtigung der betroffenen Personen erforderlich sein.

Weitere Informationen zur Meldepflicht und das Webformular zur Meldung an die LDI NRW finden Sie hier.”

Kritische Schwachstellen in Exchange-Servern (nrw.de)

Hessen

  • bei kompromittiert Servern, sowie Datenabfluss ist zu melden

“Weiterführende Maßnahmen sind dann zu ergreifen, wenn erfolgreiche Angriffe identifiziert beziehungsweise nicht mit hinreichender Sicherheit ausgeschlossen werden können. Hierzu gehört auch, unabhängig davon ob ein konkreter Datenabfluss identifiziert werden konnte, eine Meldung gemäß Art. 33 DS-GVO an die zuständige Datenschutzaufsichtsbehörde. Hierbei ist die zugehörige Frist von 72 Stunden für eine Meldung zu wahren ist. Für Hessen stehen unter https://datenschutz.hessen.de/service/meldungen-von-verletzungen-des-schutzes-personenbezogener-daten-durch-verantwortliche Informationen zur Abgabe derartiger Meldungen zur Verfügung. Das Vorliegen vollständiger und umfassender Informationen ist keine Voraussetzung für die Abgabe einer Meldung. Fehlende Informationen können gemäß Art. 33 Abs. 4 DS-GVO nachgereicht werden. Auch ist der Bedarf nach einer Information betroffener Personen gemäß Art. 34 DS-GVO zu prüfen.”

Unmittelbarer Handlungsbedarf wegen Schwachstellen in Microsoft Exchange-Server | Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (hessen.de)

Saarland

Stellen Betreiber nach erfolgter Selbstprüfung der Exchange-Server Anhaltspunkte für eine Kompromittierung oder einen Datenabfluss und somit eine Verletzung des Schutzes personenbezogener Daten fest, besteht nach Art. 33 Datenschutz-Grundverordnung  (DSGVO) die Pflicht, den Sachverhalt der zuständigen Datenschutzaufsichtsbehörde zu melden. Die Meldung muss dabei neben der Darstellung der zugrundeliegenden Verletzung auch die jeweils in diesem Zusammenhang ergriffenen Gegenmaßnahmen beschreiben. 

Kommt die datenverarbeitende Stelle nach eigener Prüfung zu dem Ergebnis, dass die Voraussetzungen für die Meldung des Sachverhalts nach Art. 33 DSGVO nicht vorliegen, ist dies nach Art. 33 Abs. 5 DSGVO zumindest intern zu dokumentieren.

Unabhängiges Datenschutzzentrum Saarland: Kritische Sicherheitslücken bei Microsoft Exchange-Mail-Servern

Sachsen

Sofern eine Kompromittierung des Exchange-Servers nach sachkundiger Prüfung mittels der vom BSI empfohlenen Vorgehensweise nicht ausgeschlossen werden kann, stellt dies einen meldepflichtigen Vorfall im Sinne des Art. 33 DSGVO dar. Darüber hinaus ist eine Risikoabwägung zu treffen. Wenn Ihre Prüfung ergibt, dass durch die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, ist der betroffene Personenkreis durch den Verantwortlichen nach Artikel 34 DSGVO unverzüglich zu unterrichten. Von einem hohen Risiko ist dann auszugehen, wenn die Eintrittswahrscheinlichkeit und die Schadensauswirkungen entsprechend hoch eingeschätzt werden. Dies ist insbesondere bei einer Betroffenheit von besonders sensiblen personenbezogenen Daten im Sinne des Artikels 9 DSGVO möglich.

Aktuell (saechsdsb.de)

Thüringen

„Bitte prüfen Sie auch, ob bereits Schadcodes installiert wurden. Festgestellte
Datenschutzverletzungen sind dem TLfDI gemäß Artikel 33 der DS-GVO zu melden.”

TLfDI

Wann muss man einen Vorfall melden? 

Die datenverarbeitende Stelle (Verantwortliche) sind verpflichtet Datenschutzverletzungen spätestens nach 72 Stunden bei der für sie zuständigen Datenschutzaufsichtsbehörde nach Artikel 33 DSGVO zu melden. 

Eine Datenschutzverletzung wird in Art. 4 Nr. 12 DSGVO definiert:

Verletzung des Schutzes personenbezogener Daten” eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

Die Landesdatenschutzbehörden legen dies aus: kompromittierte Server und teilweise zusätzlich den Datenabflusss.

“Liegen dem Verantwortlichen nicht alle relevanten Informationen im Zeitpunkt des Bekanntwerdens der Datenschutzverletzung vor, können diese ohne schuldhafte Verzögerung schrittweise nachgereicht werden (Art. 33 Abs. 4 DSGVO).”

Wo muss gemeldet werden? 

Die Landesdatenschutzbeauftragten haben unterschiedliche Wege definiert, so dass ein Blick auf die Webseite hier Klarheit beschert. 

Ein Beispiel ist eine Meldung per Webseite:

Unabhängiges Datenschutzzentrum Saarland: Meldung Datenpanne

 

Nachweise

 

Art 4 Nr. 12

12. “Verletzung des Schutzes personenbezogener Daten” eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

Art. 33
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.

(3) Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:

  a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(4) Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.

(5) Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.