Unternehmen stehen bei einem Datenschutzvorfall vor der Frage, ob sie die betroffenen Personen informieren müssen. Viele möchten den Schritt nur ungerne tun, schließlich leidet die Reputation des Unternehmens. Wie man damit umgeht, erläutern wir am Beispiel des Elektronikversandhändlers Conrad, bei dem Unbekannte über Monate hinweg auf 14 Millionen Kundendatensätze zugreifen konnten.
Der Inhalt im Überblick
Worst Case: Datenschutzvorfall
Der Elektronikversandhändler Conrad veröffentlichte auf seiner Webseite die Information, dass eine Sicherheitslücke in den firmeneigenen IT-Systemen festgestellt wurde, durch die Unbekannte über mehrere Monate hinweg auf eine Datenbank mit 14 Millionen Kundendatensätzen zugreifen konnten. Die Angreifer hatten sich über einen Server Zugang zu einer Datenbank mit Daten von vorrangig deutschen Kunden verschafft. Sie hatten dabei Zugriff auf die Postadressen sowie teilweise E-Mail-Adressen, Fax- und Telefonnummern. Bei knapp einem Fünftel der betroffenen Datensätze waren auch die IBANs hinterlegt. Immerhin waren keine Kreditkarteninformationen, Login-Daten und Kundenpasswörter betroffen. Die Sicherheitslücke wurde mittlerweile geschlossen. Zudem wurde Strafanzeige beim bayerischen Landeskriminalamt gestellt und, wie das Unternehmen mitteilte, man arbeite eng mit dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) als zuständige Aufsichtsbehörde zusammen.
Conrad teilte mit, dass aus Sicht der Behörden keine Benachrichtigung der Kunden erforderlich gewesen sei. Man sich aber „im Sinne eines guten und partnerschaftlichen Umgangs“ dennoch dazu entschieden habe, die Kunden vorsorglich auf der Website zu informieren.
Pflicht zur Benachrichtigung der Betroffenen?
Die Benachrichtigung der betroffenen Personen richtet sich nach Art. 34 Abs. 1 DSGVO:
„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“
Es bedarf demnach einer Prognoseentscheidung, ob ein hohes Risiko für die Betroffenen besteht.
Prognose des Risikos
Der Verantwortliche muss die betroffene Person also unverzüglich von der Verletzung informieren, wenn der Vorfall voraussichtlich ein hohes Risiko für deren persönlichen Rechte und Freiheiten der betroffenen Personen zur Folge hat.
Dabei ist zu bedenken, dass ein Datenschutzvorfall bereits bei einem normalen Risiko der Aufsichtsbehörde zu melden ist (1. Stufe) und erst bei Bestehen eines hohen Risikos auch die betroffenen Personen zu benachrichtigen sind (2. Stufe). Entsprechend ergibt sich bei einem „normalen“ Risiko die Situation, dass der Verantwortliche zwar zur Information der Aufsichtsbehörde gem. Art. 33 DSGVO, nicht aber des Betroffenen gem. Art. 34 DSGVO verpflichtet ist.
Dies gilt auch dann, wenn dem Verantwortlichen noch nicht genügend Informationen zur Verfügung stehen, um vorhersehen zu können, dass in Abgrenzung zu einem Risiko ein hohes Risiko vorliegt.
Fehlender Maßstab für Prognose
Problematisch ist, dass die DSGVO nicht ausführt nach welchen Kriterien zwischen „keinem Risiko“, „einem (durchschnittlichen) Risiko“ und einem „hohen Risiko“ zu differenzieren ist. Die Datenschutzkonferenz liefert hierzu Anhaltspunkte in dem Kurzpapier Nr. 18. Und auch das BayLDA geht darauf in der Orientierungshilfe zur Meldung von Datenschutzvorfällen ein.
Conrad äußert sich nicht dazu, wie sie hier zu der Prognose eines voraussichtlich durchschnittlichen Risikos gekommen sind. Da gemäß Art. 34 Abs. 4 DSGVO die hier zuständige bayerische Aufsichtsbehörde bei eigener positiver Prognose eines hohen Risikos das Recht gehabt hätte, Conrad zur Benachrichtigung der Betroffenen zu verpflichten, spricht vieles dafür, dass auch die Aufsichtsbehörde kein hohes Risiko sieht.
Darauf deutet auch der Erwägungsgrund 86 S. 3 DSGVO hin, wonach Benachrichtigungen der Betroffenen „in enger Absprache mit der Aufsichtsbehörde und nach Maßgabe der von dieser oder von anderen zuständigen Behörden wie beispielsweise Strafverfolgungsbehörden erteilten Weisungen erfolgen“ müssen.
Erforderlich ist auch eine Abwägung zwischen den Interessen des Verantwortlichen an der Vermeidung eines Reputationsverlusts und den der Betroffenen an einer transparenten Information.
Die Entscheidung, dass letztendlich kein hohes Risiko besteht, verwundert jedoch, da mit immerhin ca. 2,8 Mio. IBAN-Nummern auch Zahlungsinformationen offengelegt wurden. Zudem besteht eine Gefahr, dass die Angreifer an die erbeuteten E-Mails Malware oder Phishing-Mails verschicken. Dabei können die erbeuteten Informationen helfen, den Anschein der Rechtmäßigkeit zu erzeugen. Der Umstand, dass die Daten noch nicht missbräuchlich genutzt wurden, mag auch nicht zu beruhigen, weil das immer noch jederzeit geschehen kann.
Art der Benachrichtigung der Betroffenen
Adressaten der Benachrichtigung sind alle Personen, die von der Datenschutzverletzung betroffen sind. Der Wortlaut des Art. 34 Abs. 1 DSGVO, der betroffene Person im Singular verwendet, legt nahe, dass jeder Betroffene individuell zu benachrichtigen ist.
Dies ist gemäß Art. 34 Abs. 3 nur dann nicht der Fall, wenn:
- der Verantwortliche technische und organisatorische Sicherheitsvorkehrungen getroffen hat, durch die die personenbezogenen Daten für alle Personen, die nicht zu deren Zugang befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung.
- der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko nicht mehr besteht.
- die individuelle Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden gewesen wäre.
All das ist hier nicht der Fall. Ein unverhältnismäßiger Aufwand kann nicht angenommen werden, weil Conrad nur – die ja offensichtlich vorhandenen – E-Mail-Adressen der 14 Mio. Betroffenen hätte nutzen müssen, um sie per Mail über den Vorfall zu informieren. Ansonsten wäre auch eine Information über die Telefonnummer (z.B. per SMS) möglich gewesen.
Dass sich Conrad stattdessen für eine Benachrichtigung über die Webseite entschlossen hat, hat wahrscheinlich den Hintergrund, dass sie keine Pflicht zur Benachrichtigung sehen und sich daher bei der Art der Benachrichtigung auch nicht an die DSGVO gebunden fühlen.
Wichtigkeit der IT-Sicherheit
Der Vorfall zeigt, wie wichtig die IT-Sicherheit für einen effektiven Datenschutz ist. Mängel in der IT-Sicherheit können auf einen Schlag zur Offenlegung von Millionen Datensätzen führen. Beruhigend ist, dass Conrad anscheinend Vorsorge getroffen hat und die besonders sensiblen Daten wie Passwörter und Kreditkartendetails separat oder verschlüsselt bzw. gehasht gespeichert hat.
Es zeigt aber auch eindrücklich, dass die Berliner Beauftragte für Datenschutz mit ihrer Warnung vor Datenfriedhöfen ins Schwarze trifft. Denn wenn etwas passiert, ist der Schaden häufig irreparabel. Sowohl für die betroffenen Personen, als auch für die Reputation der Unternehmen.
„Ein unverhältnismäßiger Aufwand kann nicht angenommen werden, weil Conrad nur – die ja offensichtlich vorhandenen – E-Mail-Adressen der 14 Mio. Betroffenen hätte nutzen müssen, um sie per Mail über den Vorfall zu informieren. Ansonsten wäre auch eine Information über die Telefonnummer (z.B. per SMS) möglich gewesen.“
Ja stimmt, da hätten sie ruhig einen Praktikanten für abstellen können, der dann so 100 E-Mails am Tag schreibt…dann ist er ja schon in 140.000 Tagen damit fertig…ach nein…er könnte ja auch nur eine E-Mail schreiben und 14 Mio. E-Mail Adressen in BCC kopieren…die Wahrscheinlichkeit hier einen Fehler zu begehen ist ja auch gering.
Die E-Mails können einfach automatisiert verschickt werden. Das ist kein Hexenwerk und braucht, wenn die Funktionalität nicht eh schon gegeben ist, kaum mehr als ein paar Stunden Programmieraufwand.
Umfang und Art des Vorfalls sind nun nicht unbedingt als gering zu erachten. Das objektive Risiko von Pishing Angriffen ist durchaus gegeben. Insbesondere, da über 2 Millionen IBAN-Daten darunter sind – die Betroffenen sollten daher wachsam sein, wenn sie demnächst z.B. E-Mails ihrer Hausbank erhalten (ein Zusammenhang mit Conrad muss beim späteren Missbrauch der Daten nicht unbedingt bestehen).
Sofern man lediglich die Sicht des betroffenen Unternehmens einnimmt, mag man (oft) einen unverhältnismäßigen Aufwand unterstellen. Da Conrad Kundendaten für Marketingzwecke nutzt und wohl Personal für E-Mail-Marketing beschäftigt, dürfte dies allerdings kaum eine unverhältnismäßige Hürde für das Unternehmen darstellen – ein Kommunikationskanal zur werblichen Ansprache existiert offenbar.
Das kritische Fazit in diesem Artikel ist daher, aus meiner Sicht, berechtigt.
Guten Tag Dr. Datenschutz,
hinsichtlich Ihrer „Diagnose“ will ich mich dem 1. Kommentar anschließen. Wie kommen Sie zu dieser Einschätzung bzw. wie ist diese sachlich begründet? 14 Millionen Mails oder SMS erachte ich durchaus als einen „unverhältnismäßigen Aufwand“. Wo sind denn derartige Schwellen definiert und durch wen? Ich wäre Ihnen hier für eine aufhellende Ergänzung dankbar.
Mit den besten Grüßen
Schade, das Dr. Datenschutz nicht den Mut hat darauf zu antworten ;-)
Wir haben nicht geantwortet, weil der zweite Kommentar die Frage schon ganz treffend beantwortet. Aber nun auch noch von unserer Seite:
Es ist kein erheblicher Aufwand, Kunden automatisiert per E-Mail zu informieren. Man kann dafür einfach einen Newsletter verschicken. Wir müsste z.B. nur das Programm zum Newsletterversand mit einem Programmieraufwand von einigen Stunden anpassen. Vor dem Hintergrund, dass hier Daten von 14 Mio. Kunden offengelegt wurde, ist das unserer Einschätzung nach kein unverhältnismäßiger Aufwand im Sinne von Art. 34 Abs. 3 lit. c DSGVO, der die Pflicht zur individuellen Benachrichtigung entfallen lässt. Zumal nicht sichergestellt ist, dass Kunden zeitnah nach dem Hackerangriff die Webseite von Conrad besuchen und zudem noch die „Aktuellen Kundeninformationen“ aufrufen, die von ihrer Bezeichnung her nicht einmal erkennen lassen, dass es sich um Informationen zu einem Hackerangriff handelt.
Die Information wurde soweit ich das sehen kann als Pressemitteilung herausgegeben, nicht als NUR als Kundeninfo auf der Webseite. Ich habe hierzu auch mindestens 1 Radiobeitrag und unzählige Webseitenbeiträge gefunden…Sieht mir doch ziemlich nach „Bashing“ aus was hier betrieben wird…
Bashing, Bedeutung: heftige, herabsetzende Kritik
Inwiefern der Beitrag herabsetzend sein soll, erschließt sich uns nicht. Wir setzten uns in dem Beitrag mit der gesetzlichen Meldepflicht von Datenpanne anhand eines aktuellen Beispielfalls auseinander, insbesondere mit den unbestimmten Rechtsbegriffen hohes Risiko und Unverhältnismäßigkeit. In dem Rahmen äußern wir uns kritisch zu deren mutmaßlichen Interpretation durch Conrad und das BayLDA.
Man kann sich gewiss darüber streiten, welche Art der Benachrichtigung der Betroffenen angemessen ist. Die bayerische Aufsichtsbehörde hat die Bekanntmachung und Pressemitteilung anscheinend auch für ausreichend gehalten. Sie wurde schließlich im Vorfeld – wie im Beitrag dargestellt – konsultiert und hätte das Recht gehabt, korrigierend einzugreifen. Unserer Einschätzung nach ist es aber angesichts der Schwere (z.T. Zahlungsdaten) und des Umfangs des Vorfalls (ca. 14 Mio. Betroffene) nicht unverhältnismäßig, die Betroffenen gezielt und individuell zu benachrichtigen. Das auch bei der Frage nach der Unverhältnismäßigkeit bei den Behörden noch kein Konsens besteht, mag ein verwandter Fall verdeutlichen. Ein Unternehmen führte Daten aus öffentlichen Datenbanken zusammen und informierte die Betroffenen über ihre Rechte nur beim Vorliegen einer E-Mail-Adresse. Bei 60 Millionen Betroffenen von denen nur eine Postanschrift vorlag, berief man sich auf die unverhältnismäßigen Ausgaben für das Porto in Millionenhöhe und kassierte ein Bußgeld, weil die Aufsichtsbehörde diese Ansicht nicht teilte. Die Ansichten, ab wann ein Aufwand als unverhältnismäßig anzusehen ist, gehen also noch sehr krass auseinander.
Hallo Dr. Datenschutz, Mein Arbeitgeber wurde am Sonntag 09.04. gehackt, hat uns Mitarbeitern das aber erst heute am 13.04. Mitgeteilt, obwohl unsere Daten und Passwörter betroffen sind. Und wurde angehalten private Passwörter zu ändern und die Konten im Blick zu behalten. Hätte uns das nicht unverzüglich mitgeteilt werden müssen? Vielen Dank im Voraus. Mit freundlichen Grüßen
Bitte haben Sie dafür Verständnis, dass wir im Rahmen des Blogs keine Rechtsdienstleistungen wie die rechtliche Prüfung eines Einzelfalls erbringen dürfen.
Allgemein lässt sich sagen, dass anders als bei der Meldung gegenüber der Aufsichtsbehörde, für die die DSGVO eine maximale Frist von 72h vorsieht, für die Benachrichtigung der Betroffenen keine feste Frist vorgegeben ist. Diese muss lediglich unverzüglich erfolgen. Was noch unverzüglich ist, bestimmt sich nach den Gegebenheiten des Einzelfalls, siehe dazu auch unseren Beitrag Die Uhr tickt! Fristberechnung bei Datenschutzvorfall & Betroffenenanfrage. Faktoren, die dabei eine Rolle spielen können, sind z.B.: Sonn- und Feiertage, Zeitraum zwischen Vorfall und Bekanntwerden, Komplexität der Risikoeinschätzung sowie Abstimmung/Warten auf Antwort der Aufsichtsbehörde.