Die DS-GVO verpflichtet verantwortliche Stellen und Auftragsverarbeiter, personenbezogene Daten ausreichend vor unberechtigtem Zugriff bzw. Offenlegung (Vertraulichkeit), vor unberechtigter Veränderung (Integrität) sowie vor Verlust (Verfügbarkeit) zu schützen. Wird eines dieser Schutzziele nicht erreicht, handelt es sich um eine Datenschutzverletzung – auch Datenpanne genannt. Datenschutz- und Sicherheitsvorfälle können verschiedenste Ursachen haben und sind oft Ausdruck menschlicher Fehler im Arbeitsalltag. In den meisten Fällen sind die Vorfälle nach Art. 33 DS-GVO der zuständigen Aufsichtsbehörde zu melden. Je nach Risiko besteht sogar eine Informationspflicht der betroffenen Personen.

Dieser Artikel gibt einen Überblick über aktuell bekannt gewordene Datenpannen und Ereignisse, die Datenschutzverletzungen zur Folge hatten, wie den Hackerangriff auf Microsoft Exchange Server, den Großbrand in einem Rechenzentrum oder den Versand von E-Mails an offene Verteiler.

Versand einer Namensliste mit zu entlassenden Mitarbeitern

Nach der Insolvenz sollten Hafenmitarbeiter durch den Personaldienstleister der Hafenunternehmen in Bremerhaven und Bremen entlassen werden. Bei Menschen mit Schwerbehinderung ist hierfür die Zustimmung des Integrationsamts erforderlich. Das zuständige Integrationsamt in Bremerhaven verschickte Mitte März 2021 allerdings versehentlich eine ungeschwärzte Liste mit 140 Hafenmitarbeitern, die entlassen werden sollten. Beim Schriftverkehr mit den betreffenden Mitarbeitern wurde die vollständige Namensliste versendet, ohne dass Angaben geschwärzt wurden. Die Empfänger erhielten dadurch personenbezogene Daten anderer Mitarbeiter wie Geburtsdaten und Betriebszugehörigkeiten.

Obwohl das Amt den Fehler bemerkte und die Empfänger aufforderte, die Daten nicht weiterzugeben, wurde die Liste abfotografiert und im Internet veröffentlicht. Die zuständige Datenschutzbehörde wurde über den Vorfall informiert, weitere Ermittlungen und Folgen für das Amt bzw. dessen Mitarbeiter bleiben abzuwarten.

Datenpanne bei Sammel-E-Mail eines Impfzentrums

Bei einem Impfzentrum kam es Mitte März 2021 zu einer Datenschutzverletzung, als ein Mitarbeiter Impflinge über die Absage der Astrazeneca-Impftermine informieren wollte. Beim Versand der Sammel-E-Mail wurden die Mail-Adressen der Empfänger versehentlich alle in das „An“-Feld eingefügt und nicht die Blindkopie-Funktion („Bcc“) genutzt. Dadurch waren die E-Mail-Adressen für alle 1.500 Empfänger sichtbar. Damit wurde die Vertraulichkeit der Daten verletzt, was eine meldepflichtige Datenschutzverletzung gem. Art. 33 DS-GVO darstellt. Betroffen waren nach Aussagen des Pressesprechers lediglich die E-Mail-Adressen, aber keine Gesundheitsdaten.

In zwei weiteren Impfzentren kam es außerdem zu einer Datenpanne bei der Speicherung von Daten. Informationen von Personen, die sich telefonisch für einen Corona-Impftermin registrieren lassen wollten, wurden nicht zuverlässig gespeichert. Nach aktuellem Ermittlungsstand des Bayerischen Gesundheitsministeriums sind die Vorfälle wohl auf manuelle Fehler bei der Eingabe und nicht auf einen technischen Fehler in der verwendeten Software zurückzuführen. Die lokalen Gesundheitsbehörden machen dagegen Abstürze der Software für den Datenverlust verantwortlich.

Datenverlust nach Brand in Europas größtem Rechenzentrum

Verheerende Folgen hatte Anfang März 2021 ein Brand im größten Cloud-Rechenzentrum Europas in Straßburg. Das fünfstöckige Gebäude brannte nieder und die rund 12.000 Server wurden vollständig zerstört. Die Server in weiteren vier Hallen mussten aufgrund des Vorfalls ebenfalls heruntergefahren werden, weshalb 3,6 Millionen Websites offline gingen. Für eine Vielzahl der Unternehmen und anderen verantwortlichen Stellen, deren Daten auf den Servern gespeichert waren, war der Schaden aus datenschutzrechtlicher und wirtschaftlicher Sicht enorm: Aus Kostengründen hatten etliche Kunden auf ein Back-up verzichtet. Das bedeutet, sämtliche Daten, die in der Cloud des Anbieters gespeichert waren, sind unwiderruflich verloren und können nicht wiederhergestellt werden. Wie groß die Menge an Datensätzen ist, für die es kein Back-up gab, ist noch unklar.

Der Vorfall macht deutlich, dass die Nutzung von Cloud-Diensten zwar viele Vorteile mit sich bringt, ein Back-up der Daten aber keinesfalls entbehrlich macht. Ein Backup-Konzept ist nicht nur zwingender Bestandteil der erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten (Art. 32 DS-GVO) zur Sicherstellung der Verfügbarkeit und Wiederherstellbarkeit, sondern minimiert auch wirtschaftliche Risiken und Imageschäden durch Datenverluste.

Hackerangriff auf Microsoft Exchange Server

Anfang März 2021 nutzte eine Gruppe von Cyberkriminellen die bekannt gewordenen Sicherheitslücken in einigen Microsoft-Exchange-Server-Versionen für einen weitläufigen Hackerangriff. Auch zahlreiche deutsche Unternehmen waren von der Cyberattacke betroffen und hatten mit den Folgen kompromittierter Mailserver zu kämpfen. Die gefährdeten Systeme mussten umfangreich geprüft werden, um festzustellen, ob Daten von den Servern abgeflossen sind oder langzeit-persistente Schadsoftware aufgespielt wurde, um durch kompromittierte Server weitere Angriffe in der Domäne zu starten. Eine Vielzahl der infiltrierten Server musste komplett neu aufgesetzt werden.

Die umfangreichen Prüfungen sowie die Umsetzung weiterer Sicherheitsmaßnahmen mussten zudem detailliert dokumentiert werden. Konnte ein Abfluss von personenbezogenen Daten oder eine Kompromittierung nicht mit hoher Wahrscheinlichkeit ausgeschlossen werden, musste der Vorfall nach überwiegender Meinung der zuständigen Aufsichtsbehörde gemeldet werden. Da dieser Nachweis in den meisten Fällen nicht möglich war, gingen bei den deutschen Datenschutzbehörden mehrere hundert Meldungen von Datenschutzverletzungen ein. Die weiteren Auswirkungen der Cyberattacke bleiben abzuwarten, bis jetzt wurden noch keine Ergebnisse der Prüfungen der Meldungen durch die Aufsichtsbehörden veröffentlicht.

Abfluss von Kundendaten aus dem Webshop eines Zoos

Im Rahmen eines Hackerangriffs auf den Online-Ticket-Dienstleister des Zoos sowie des Tierparks Berlin erhielten Kriminelle Zugriff auf Kundendaten und versuchten, den Anbieter zu erpressen. Bei dem Dienstleister handelt es sich um ein Unternehmen aus den Niederlanden, das Online-Ticketbuchungen für mehr als 200 Freizeiteinrichtungen betreut. Während eines Systemupdates sei es zu einem Datenleck bei dem Anbieter gekommen und die Daten waren kurzzeitig öffentlich verfügbar, die Lücke sei mittlerweile wieder geschlossen.

Von dem Vorfall betroffen waren nach Angaben des Verantwortlichen Kunden, die vor dem 05. August 2020 online Buchungen getätigt hatten. Die Hacker gelangten an Namen, E-Mail-Adressen, Telefonnummern, IP-Adressen sowie Passwörter, wobei nach Aussage des Verantwortlichen nur ein kleiner Anteil der insgesamt 1,8 Millionen Datensätze aus der Datenbank abgeflossen ist. Der Tierpark hat bereits angekündigt, ab April den Dienstleister für den Online-Ticketverkauf zu wechseln.

Patientendaten auf unverschlüsseltem USB-Stick gespeichert

Im Eingangsbereich einer Stuttgarter Klinik wurde Mitte Januar 2021 ein USB-Stick mit unverschlüsselten Daten von Patienten des Universitätsklinikums Ulm gefunden und im dortigen Fundbüro abgegeben. Ein Zahnarzt, der bei der Uniklinik angestellt war, hatte Befundberichte von rund 7.000 Patienten unberechtigterweise auf einen unverschlüsselten USB-Stick gezogen. Da der Speicherstick namentlich beschriftet war, wurde er an den Mitarbeiter des Universitätsklinikums Ulm zurückgeschickt. Warum die Daten überhaupt auf einen externen Datenträger geladen wurden und wie dieser in die Stuttgarter Klinik gelangt ist, konnte noch nicht geklärt werden. Nach Angaben des betreffenden Arztes hatte er den USB-Stick verschlossen in seinem Schreibtisch in Ulm aufbewahrt.

Abgeflossen sind die Daten der Patienten nach derzeitigem Stand wohl nicht. Der Vorfall wurde der zuständigen Datenschutzaufsichtsbehörde gemeldet und die Betroffenen sollen ebenfalls informiert werden. Zudem will die Uniklinik das Arbeitsverhältnis mit dem Arzt beenden und Strafanzeige wegen der Datenschutzverletzung stellen.