Zum Inhalt der Seite springen
DruckansichtSeite drucken
Kontaktformular
Kontaktformular
Rückruf anfordern
Rückruf anfordern
Support
Support
  1. Home
  2. Unternehmen
  3. Kostenfestsetzungsbescheid nach Exchange-Datenschutzverletzung

Kostenfestsetzungsbescheid nach Exchange-Datenschutzverletzung

Etwas erstaunt mussten wir feststellen, dass die Datenschutzbehörde Niedersachsen scheinbar ein neues Geschäftsmodell zur Refinanzierung Ihrer Behörde gefunden hat.

Im Zusammenhang mit der kritischen Sicherheitslücke von selbst gehosteten Exchange-Servern im März diesen Jahres 2021, bei der mehrere tausend Server allein in Deutschland betroffen waren, wurde einer Verantwortlichen Stelle nun nach Abschluss des Ermittlungsverfahrens ein Kostenfestsetzungsbescheid zugestellt.

Sachverhalt: Was steckte dahinter

Wie bei den vielen tausend anderen Servern in Deutschland auch war auf den Servern des Unternehmens durch die Sicherheitslücke der Microsoft-Software eine Webshell eingeschleust worden. Hierdurch war es Hackern potentiell möglich auf sämtliche auf dem Server gespeicherten Daten zuzugreifen, ohne dass dies zwingend entdeckt hätte werden können. Auf dem Exchange-Server läuft die E-Mail-Kommunikation des gesamten Unternehmens zusammen, so dass darunter fast zwangsläufig eine Vielzahl sensibler Informationen zu finden sind. Nach der Datenschutzgrundverordnung (DSGVO) sind Unternehmen dazu verpflichtet, eine Meldung bei der Datenschutzbehörde einzureichen, wenn eine Sicherheitsverletzung zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt.

Folgerichtig hat die Datenschutzbehörde Niedersachsen, wie die meisten anderen Länderbehörden auch, in einer Pressemitteilung ausdrücklich auf die Meldepflicht hingewiesen.

https://lfd.niedersachsen.de/startseite/themen/wirtschaft/kompromittierte-exchange-server-meldepflichtig-198287.html

Die Landesbeauftragte für den Datenschutz Niedersachsen_Meldung Datenschutzverletzung Kostenbescheid geschwärzt

Analogie Einbruchdiebstahl:

Vergleichen lässt sich der Vorfall mit einem Einbruchdiebstahl. Stellen Sie sich vor, in Ihr Unternehmen würde eingebrochen werden. Um potentielle Täter zu ermitteln, erstatten Sie Anzeige bei der Polizei. Ohne dass bei dem Ermittlungsverfahren irgendein eigenes Verschulden Ihrerseits nachgewiesen werden kann, erlässt die Polizeibehörde nach Abschluss des Verfahrens einen Kostenbescheid gegen Sie, da Sie ja die Anzeige erstattet haben.

Einziger Unterschied zu dem virtuellen Einbruch ist, dass Sie anders als bei dem digitalen Einbruch nicht verpflichtet gewesen wären, den Einbruch bei der Polizei zur Anzeige zu bringen. „Doppeltes Pech“ scheint sich die Behörde da wohl zu denken.

Rechtliche Einschätzung:

Gestützt wird der Kosten-Bescheid auf

§ 1, 3 und 5 Niedersächsisches Verwaltungskostengesetz. Hiernach können demjenigen Kosten auferlegt werden, der dafür Anlass gegeben hat. Eine Begründung dafür, inwiefern das Unternehmen hierzu Anlass gegeben hat, fehlt dem Bescheid leider gänzlich.

Die zugrunde liegenden „Sensibilisierungsmaßnahmen“ (Art. 57 Abs. 1 lit. d DSGVO), als die sich der Bescheid kleidet, bestehen aus allgemeinen Platzhaltern, die sich in keiner Weise mit den konkreten Begebenheiten des Sachverhalts auseinandersetzt und so auch auf jeder Webseite als allgemeine Hinweise gefunden werden könnten.

Fazit:

Die Meldepflicht von Datenschutzverletzungen steht ohnehin immer mal wieder in der verfassungsrechtlichen Kritik, da hierdurch in gewissem Maße verpflichtend gefordert wird, eine Selbstbezichtigung vorzunehmen. Ein solches Vorgehen der Behörde hilft sicherlich nicht dabei, diese Bedenken auszuräumen.

Sollte ein eigenes Verschuldenselement der verantwortlichen Stelle gefunden werden, ist der Sachverhalt ggf. noch einmal anders zu bewerten. Um noch einmal die Analogie zu bemühen: so zum Beispiel, wenn ein Hausbesitzer seine Tür offen stehen lässt, und damit erst den Anreiz für Einbrecher schafft. Dies wurde im zugrunde liegenden Bescheid allerdings nicht dargelegt. Vergleichbar wäre das Verhalten eher damit, dass sich ein Hausbesitzer ein Sicherheits-geprüftes Schloss einbaut, für das der Hersteller allerdings für alle Schlossbesitzer einheitliche Schlüssel herausgegeben hätte.

Bislang ist dies der erste Sachverhalt, der uns in dieser Art begegnet ist, und wir hoffen, dass dies ein Einzelfall bleiben wird. Sollten Sie selbst einen solchen Bescheid erhalten, empfehlen wir, rechtliche Schritte dagegen zu unternehmen. Unseren Kunden empfehlen wir, sich mit uns zu beraten. Wir werden berichten, wenn sich in dieser Frage neue Entwicklungen ergeben.

Nicole Krause

Juristische Mitarbeiterin der GINDAT GmbH

Weitere Datenschutz-News

rgi-Sitemap

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

NameZweckAblaufTypAnbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im rgi-Kundenbereich anmelden. Er wird zudem durch einige Webformulare gesetzt, um Sessiondaten zu speichern. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

NameZweckAblaufTypAnbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo
_ga Wird verwendet, um Benutzer zu unterscheiden. 2 Jahre HTML Google
_gid Wird verwendet, um Benutzer zu unterscheiden. 1 Tag HTML Google
_gat Kurzzeitiges Cookie, der zum Drosseln der Anfragerate verwendet wird. 1 Minute HTML Google