65.000 Datenschutzverletzungen wurden im ersten Jahr der Datenschutz-Grundverordnung (DSGVO) in der EU gemeldet. Allein in Österreich waren es mit 839 mehr als 15 Meldungen pro Woche. Was für Verantwortliche und Betroffene bei Datenschutzverletzungen zu tun ist, hat der STANDARD Andreas Krisch, Geschäftsführer der Datenschutzagentur, gefragt. Und zwar am aktuellen Beispiel der Büchereien Wien. Hier seine Antworten:

Richtig reagieren

Datenschutzverletzungen, auch data-breach genannt, sind leider keine Seltenheit. Umso wichtiger ist es, im Ernstfall richtig zu reagieren und unverzüglich die erforderlichen Maßnahmen zu setzen.

Eine der Neuerungen der Datenschutz-Grundverordnung (DSGVO) war die Ausweitung der Meldepflichten für Datenschutzverletzungen an die zuständige Datenschutzbehörde. Innerhalb von 72 Stunden ist nun eine Meldung zu erstatten.

Gefahrensituation

Für Verantwortliche einer Datenverarbeitung bedeutet dies einerseits, unverzüglich geeignete Gegenmaßnahmen zu ergreifen. Dazu zählt eine rasche und möglichst eingehende Analyse der Gefahrensituation. Welche Ursachen hat die Datenschutzverletzung? Dauert sie immer noch an? Welche und wie viele personenbezogene Daten sind betroffen? Handelt es sich um besondere Kategorien von Daten, wie etwa Gesundheitsdaten? Welche Handlungsoptionen stehen zur Verfügung?

Im konkreten Fall der Büchereien Wien kam es zu unbefugten Zugriffen auf zentrale IT-Systeme. Umfangreiche Informationen zu mehr als 710.000 Personen wurden entwendet. Als Sofortmaßnahme wurde nach Angaben der Büchereien Wien der betroffene Server offline genommen. Nach Angaben von A1 Offensity, die den Vorfall zeitnah analysiert haben, war der Server allerding noch 6 Tage nach Bekanntwerden online. Es war weiterhin möglich neue Bücher auszuleihen und vergangene Ausleihen einzusehen.

Risikoeinschätzung

Parallel zu den unmittelbaren Abhilfemaßnahmen muss auch unverzüglich eine Bewertung der Risiken erfolgen, die sich aus der Datenschutzverletzung für die Betroffenen ergeben. Diese Risikobewertung ist der Maßstab für die weitere datenschutzrechtliche Vorgangsweise.

Bereits bei einem einfachen Risiko für die Betroffenen haben Verantwortliche innerhalb von 72 Stunden ab Kenntnis von der Datenschutzverletzung eine Meldung an die zuständige Datenschutzbehörde zu erstatten (Artikel 33 DSGVO). Bei hohem Risiko sind auch die Betroffenen unmittelbar zu informieren. (Artikel 34 DSGVO).

Wendet man die Kriterien der europäischen Datenschutzbehörden auf die öffentlich zugänglichen Informationen zum data-breach der Büchereien Wien an, so ergibt sich daraus im Ergebnis ein hohes Risiko für die Betroffenen.

Folgende Faktoren fallen hier besonders ins Gewicht:

1.Umfang und Qualität der Daten.2.Daten die Rückschlüsse auf Verhalten zulassen, Profilbildung ermöglichen und Auskunft über Bonität beinhalten.3.Entlehndaten können ggf Rückschlüsse auf die Gesundheit der Betroffenen zulassen (Entlehnung zu Gesundheitsthemen).4.Die Veröffentlichung der Daten lässt auf eine Schädigungsabsicht schließen.

Die möglichen negativen Folgen für Betroffene reichen von einem Identitätsdiebstahl, über mögliche Belästigung und beharrliche Verfolgung (beispielswese können Adressen und Telefonnummern von Frauen der jeweils präferierten Altersgruppe problemlos herausgefiltert werden) bis hin zu Angriffen auf andere Onlinedienste, indem Informationen aus diesem Datenbestand zur Erschleichung von Zugangsdaten verwendet werden.

Betroffene müss(t)en informiert werden

Seitens der Büchereien Wien scheint es hier zu einer veritablen Fehleinschätzung gekommen zu sein. So erklärte die Leiterin der Büchereien Wien doch noch am 14. Juni, dass die Datenschutzbehörde noch prüfe, ob die betroffenen Nutzer informiert werden müssten. Die Risikoeinschätzung der Büchereien Wien, die verpflichtend durch Verantwortliche selbst durchzuführen ist, hatte bis dahin also offenbar ergeben, dass kein hohes Risiko für die Betroffenen vorlag. Ansonsten hätten unverzüglich Schritte zur Information der Betroffenen gesetzt werden müssen.

Eine direkte Information der Betroffenen, beispielsweise an die im Datensatz enthaltene E-Mail-Adresse, erfolgte nicht. Stattdessen erfolgten nach derzeitigem Kenntnisstand lediglich eine Veröffentlichung auf einer Webseite sowie eine Information der Medien.

Ob es tatsächlich einen unverhältnismäßigen Aufwand bedeutet hätte, die Betroffenen per E-Mail über den Verlust und die Veröffentlichung ihrer Daten zu informieren, werden die Datenschutzbehörde und möglicherweise Gerichte zu beurteilen haben.

Warum wurden Daten nicht gelöscht?

Nach Angaben der Leiterin der Büchereien Wien verfügen diese über 170.000 aktive Nutzerinnen und Nutzer. Von der Datenschutzverletzung sind jedoch bis zu circa 710.000 Menschen betroffen.

Angesichts dieser Zahlen liegt die Vermutung nahe, dass der überwiegende Teil der Betroffenen die Angebote der Büchereien Wien nicht mehr aktiv nutzt.

Auf Grundlage der DSGVO darf jedermann darauf vertrauen, dass Daten unverzüglich gelöscht werden, sobald sie nicht mehr benötigt werden. Je länger die letzte Nutzung des Dienstes also zurückliegt, umso weniger werden sich ehemalige Nutzerinnen und Nutzer von dieser Datenschutzverletzung betroffen fühlen. Und umso mehr wären datenschutzrechtlich Verantwortliche wohl gefordert für eine direkte Information der Betroffenen zu sorgen.

Analyse des Problems

Nach der Behebung der unmittelbaren Datenschutzverletzung geht es als nächstes an die Analyse und Sanierung des zugrundeliegenden Problems. Hierbei ist mit einer gründlichen Ursachenerforschung sicherzustellen, dass nicht nur oberflächliche Problemstellungen saniert werden, sondern der Kern des Problems adressiert wird. Sanierungsmaßnahmen können dabei abhängig von der jeweiligen Situation sowohl aus technischen als auch aus organisatorischen Maßnahmen bestehen.

Wie die Büchereien Wien am 28. Juni mitteilten wurde inzwischen ein neuer Online-Katalog online gestellt, nachdem dieser ausführlichen Sicherheitstests durch SpezialistInnen für IT-Security unterzogen worden wäre. Die bisherigen Passwörter wären zurückgesetzt und durch neue nutzergenerierte und verschlüsselte Passwörter ersetzt worden.

Neues Passwort – Problem gelöst?

In einer – nunmehr offenbar zumutbaren – E-Mail-Aussendung an NutzerInnen vom 2. Juli teilten die Büchereien Wien hingegen mit, dass auf Anforderung ein zufallsgeneriertes Passwort per E-Mail übermittelt würde. Dieses könne man selbst jederzeit auf ein selbst gewähltes Passwort ändern.

Offenbar ist es also nicht zwingend erforderlich das per E-Mail unverschlüsselt über das Internet übertragene Passwort nach der ersten Nutzung zu ändern. Sollte es sich bei dieser Darstellung nicht nur um einen Kommunikationsfehler handeln, wirft dies kein besonders gutes Licht auf die neuen Sicherheitsmaßnahmen. Dass unverschlüsselt übertragene Passwörter lediglich einmal verwendet werden und sofort zu ändern sind, gehört zu den grundlegenden Anforderungen der IT-Sicherheit.

Was kann man als Betroffener tun?

Werden Betroffene von einer Datenschutzverletzung informiert, sollten sie im eigenen Interesse umgehend eigene Schutzmaßnahmen ergreifen. Dazu hat einerseits der Verantwortliche der Datenverarbeitung Hinweise auf mögliche Gefahren und mögliche Gegenmaßnahmen zu geben.

Andererseits sollte je nach Konstellation besonderes Augenmerk auf ungewöhnliche Bewegungen am eigenen Bankkonto bzw. der Kreditkartenabrechnung gelegt werden. Weiters sollten auch die übrigen Nutzerkonten, über die man bei anderen Diensten verfügt, kritisch beobachtet werden. Häufig werden illegal beschaffte Daten dazu genutzt, um sich Zugang zu weiteren Systemen zu verschaffen.

Grundsätzlich sollte man Passwörter immer nur für den Zugang zu einem einzigen Dienst verwenden. Hat man ein Passwort bei mehreren Diensten in Verwendung, sollte dies anlässlich einer Datenschutzverletzung dringend geändert werden.

Im konkreten Fall der Büchereien Wien wurden verifizierte Adress- und Geburtsdaten sowie Telefonnummern im Internet veröffentlicht. Diese können für Identitätsdiebstahl, Betrugsversuche sowie gezielte Belästigung oder Verfolgung genutzt werden. Betroffene sollten daher besonderes Augenmerk auf Zusendungen von Unternehmen legen, mit denen sie in keiner Geschäftsbeziehung stehen. Bei diesen könnte es sich um erste Hinweise darauf handeln, dass die eigenen Daten diesen Unternehmen gegenüber missbräuchlich verwendet wurden. Dann ist eine sofortige Klärung des Sachverhalts erforderlich, um weitere Schäden abzuwenden.

Die Folgen eines Identitätsdiebstahls können die finanzielle Existenz gefährden. Dieses Risiko sollte jedenfalls ernst genommen werden.

Trotzdem gibt es gute Nachrichten für die Büchereien Wien. Öffentliche Stellen sind von den hohen Bußgeldern der DSGVO ausgenommen. Nicht befreit sind sie jedoch von allfälligen Schadenersatzforderungen betroffener NutzerInnen. Diese wären gegebenenfalls gerichtlich geltend zu machen. (red, 16.7. 2019)