DSGVO: ein Fazit nach 3 Jahren: warum Datenschutz ernst genommen werden sollte
Die Corona-App und Recht

Microsoft Exchange Schwachstelle Datenpannen Meldungen nach Art 33 DSGVO

von Rechtsanwalt Peter Kaumanns, LL.M.

Meldung der Exchange Schwachstelle

Per aktueller Pressemitteilung warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor kritischen Schwachstellen in Exchange-Servern. Nach Angaben des BSI sind derzeit "Zehntausende Exchange-Server in Deutschland über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert".

Nachdem Microsoft in der Nacht des 3. März 2021 kurzfristig Sicherheitsupdates zur Schließung von Schwachstellen bereit gestellt hat, wurde mitgeteilt, dass diese aktiv von einer Hackergruppe ausgenutzt werden. Das BSI empfiehlt daher dringend das Einspielen der von Microsoft bereitgestellten Sicherheitsupdates. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden.

Meldung des BSI zur Exchange Schwachstelle

Wer steckt hinter dem Hackerangriff?

Hinter den Angriffen wird die Hackergruppe Hafnium vermutet, die automatisiert in großem Stil Zehntausende E-Mail-Server täglich mit Hintertüren versieht. Nach derzeitigen Schätzungen sind zehntausende Unternehmen sowie Behörden und Bundesbehörden betroffen.

Meldepflicht nach Art. 33 DSGVO, Benachrichtigung der Betroffenen Art. 34 DSGVO

Sofern ein System kompromittiert ist, stellt dies einen meldepflichtigen Datenschutzvorfall nach Art. 33 DSGVO dar. In diesem Fall muss eine Meldung innerhalb von nur 72 Stunden erfolgen. Liegt eine Verletzung personenbezogener Daten mit voraussichtlich hohem Risiko für die Betroffenen vor, so muss zusätzlich nach Art. 34 DSGVO eine unverzgliche Benachrichtigung der Betroffenen erfolgen. Wird die Melde- und Benachrichtigungspflicht nicht eingehalten, drohen die bekanntlich hohen Bußgelder des DSGVO.

Inzwichenhaben auch einige Datenschutzbehörden Meldungen zur Exchange Schwachstelle herausgegeben und auf die datenschutzrechtlichen Pflichten der betroffenen Unternehmen hingewiesen. Sofern eine Zugriff auf ein System erfolgt ist, wird dabei von einer Meldepflicht ausgegangen, teilweise aber auch schon dann, wenn in ein System Updates nicht rechtzeitig eingespielt wurden und daher nur ein potenzieller Zugriff durch Hacker bestand. Die Meldung muss dabei detailliert darstellen, welche Maßnahmen von dem Verantwortlichen ergriffen wurden oder noch werden.

Es gilt nun kühlen Kopf zu bewahren. Zum einen muss die IT mögliche Schwachstellen prüfen und beheben. Zum anderen müssen datenschutzrechtliche Meldepflichten geprüft werden.

Das könnte Sie auch interessieren:

Kommt jetzt die Corona-App und muss/soll ich sie nutzen?
Heimliche Videoaufzeichnungen können in der mietrechtlichen Ausseinandersetzung zu einem Beweisverwertungsverbot führen
EuGH wieder zum „Recht auf Vergessen“ im Internet und insbesondere bei Google (UPDATE)
Datenschutzgrundverordnung (DSGVO) - Kommen jetzt die Bußgelder?