Nein, wir werden Sie nicht mit der x-ten Meldung darüber langweilen, wie Sie feststellen, ob Sie vom Hafnium Exchange-Exploit betroffen sind, wie Sie dann vorgehen sollten bzw. dass Sie sich nun auf Cyberkriminelle einrichten dürfen, die diese Lücken nutzen – und nein, auch nicht dass Microsoft schon seit etwa 2 Monaten von dem Problem Kenntnis hatte … Nein, es soll vielmehr darum gehen, was Sie daraus in puncto Datenschutzmanagement für Ihre Organisation lernen können.

Gehen wir zu Ihren Gunsten davon aus, dass nicht erst das BSI Sie anschreiben musste, dass Sie Opfer der Attacke waren, sondern dass Sie selbst entdeckt haben, dass es ein Sicherheitsproblem gab. Ein Sicherheitsproblem, das aufgrund seiner Eigenart und der möglichen Kombination der einzelnen Sicherheitslücken tief in die Eingeweide Ihres Systems gepflanzt werden konnte. Erfreut stellen Sie fest, dass zwar Microsofts Healthcheck grün ist, Sie aber anhand der Logfiles erkennen, dass da „wer“ an Ihrem System war. Was Sie aber nicht wissen: Wurden (personenbezogene) Daten abgezogen? Ob es so ist, wissen Sie nicht. Sie wissen: Sie hatten eine Datenpanne, Sie stehen aber vor der Frage, ob dies eine meldepflichtige Datenpanne ist. Flugs schauen Sie, ob die für Ihr Unternehmen zuständige Datenschutzaufsichtsbehörde hierzu eine Stellungnahme abgegeben hat. Wenn der Unternehmenssitz Hamburg ist, freuen Sie sich, denn dort geht man erst bei festgestelltem Datenabfluss von einer Meldepflicht aus. In Bayern dagegen soll man melden, wenn man bis zum 9.3.2021 nicht gepatcht hatte. Andere Aufsichtsbehörden sehen die Meldepflicht bei festgestellter Kompromittierung. Sie sind verwirrt, haken all das aber als Föderalismus pur ab – übrigens in der Folge auch den Meldeweg und die Komplexität der auszufüllenden Meldeformulare.

Was jedoch nicht mit Föderalismus wegzudiskutieren ist: Diese Meldung hat möglichst binnen 72 Stunden ergangen zu sein. Nun stehen Sie vor der nächsten Frage: Wann beginnen die 72 Stunden denn zu laufen? Und was klicke ich denn an, wenn gefragt wird, ob es sich um eine vollständige, vorläufige oder ergänzende Meldung handelt? Muss ich die Betroffenen informieren und wie mache ich das? Fragen über Fragen, bei deren Beantwortung man eine Menge falsch machen kann – vor allem, wenn man nicht mal weiß, ob denn nun überhaupt personenbezogene Daten abgezogen wurden. Insgesamt ist es in Wochen wie der letzten, wenn die Presse vom BSI gemeldete Sicherheitslücken hochkocht, ratsam, sein Datenschutzmanagement im Griff zu haben. Denn dann schaut man in sein Verzeichnis der Verarbeitungstätigkeiten: Da sieht man nach, ob man überhaupt betroffen sein könnte, kümmert sich um die Security – und wird ggf. von seiner Datenschutzmanagementsoftware gleich auch noch bei der Meldung der Datenpanne an die Aufsichtsbehörde unterstützt.