Kostenfestsetzungsbescheid nach Exchange-Datenschutzverletzung

Etwas erstaunt mussten wir feststellen, dass die Datenschutzbehörde Niedersachsen scheinbar ein neues Geschäftsmodell zur Refinanzierung Ihrer Behörde gefunden hat.

Im Zusammenhang mit der kritischen Sicherheitslücke von selbst gehosteten Exchange-Servern im März diesen Jahres 2021, bei der mehrere tausend Server allein in Deutschland betroffen waren, wurde einer Verantwortlichen Stelle nun nach Abschluss des Ermittlungsverfahrens ein Kostenfestsetzungsbescheid zugestellt.

Sachverhalt: Was steckte dahinter

Wie bei den vielen tausend anderen Servern in Deutschland auch war auf den Servern des Unternehmens durch die Sicherheitslücke der Microsoft-Software eine Webshell eingeschleust worden. Hierdurch war es Hackern potentiell möglich auf sämtliche auf dem Server gespeicherten Daten zuzugreifen, ohne dass dies zwingend entdeckt hätte werden können. Auf dem Exchange-Server läuft die E-Mail-Kommunikation des gesamten Unternehmens zusammen, so dass darunter fast zwangsläufig eine Vielzahl sensibler Informationen zu finden sind. Nach der Datenschutzgrundverordnung (DSGVO) sind Unternehmen dazu verpflichtet, eine Meldung bei der Datenschutzbehörde einzureichen, wenn eine Sicherheitsverletzung zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt.

Folgerichtig hat die Datenschutzbehörde Niedersachsen, wie die meisten anderen Länderbehörden auch, in einer Pressemitteilung ausdrücklich auf die Meldepflicht hingewiesen.

https://lfd.niedersachsen.de/startseite/themen/wirtschaft/kompromittierte-exchange-server-meldepflichtig-198287.html

Die Landesbeauftragte für den Datenschutz Niedersachsen_Meldung Datenschutzverletzung Kostenbescheid geschwärzt

Analogie Einbruchdiebstahl:

Vergleichen lässt sich der Vorfall mit einem Einbruchdiebstahl. Stellen Sie sich vor, in Ihr Unternehmen würde eingebrochen werden. Um potentielle Täter zu ermitteln, erstatten Sie Anzeige bei der Polizei. Ohne dass bei dem Ermittlungsverfahren irgendein eigenes Verschulden Ihrerseits nachgewiesen werden kann, erlässt die Polizeibehörde nach Abschluss des Verfahrens einen Kostenbescheid gegen Sie, da Sie ja die Anzeige erstattet haben.

Einziger Unterschied zu dem virtuellen Einbruch ist, dass Sie anders als bei dem digitalen Einbruch nicht verpflichtet gewesen wären, den Einbruch bei der Polizei zur Anzeige zu bringen. „Doppeltes Pech“ scheint sich die Behörde da wohl zu denken.

Rechtliche Einschätzung:

Gestützt wird der Kosten-Bescheid auf

§ 1, 3 und 5 Niedersächsisches Verwaltungskostengesetz. Hiernach können demjenigen Kosten auferlegt werden, der dafür Anlass gegeben hat. Eine Begründung dafür, inwiefern das Unternehmen hierzu Anlass gegeben hat, fehlt dem Bescheid leider gänzlich.

Die zugrunde liegenden „Sensibilisierungsmaßnahmen“ (Art. 57 Abs. 1 lit. d DSGVO), als die sich der Bescheid kleidet, bestehen aus allgemeinen Platzhaltern, die sich in keiner Weise mit den konkreten Begebenheiten des Sachverhalts auseinandersetzt und so auch auf jeder Webseite als allgemeine Hinweise gefunden werden könnten.

Fazit:

Die Meldepflicht von Datenschutzverletzungen steht ohnehin immer mal wieder in der verfassungsrechtlichen Kritik, da hierdurch in gewissem Maße verpflichtend gefordert wird, eine Selbstbezichtigung vorzunehmen. Ein solches Vorgehen der Behörde hilft sicherlich nicht dabei, diese Bedenken auszuräumen.

Sollte ein eigenes Verschuldenselement der verantwortlichen Stelle gefunden werden, ist der Sachverhalt ggf. noch einmal anders zu bewerten. Um noch einmal die Analogie zu bemühen: so zum Beispiel, wenn ein Hausbesitzer seine Tür offen stehen lässt, und damit erst den Anreiz für Einbrecher schafft. Dies wurde im zugrunde liegenden Bescheid allerdings nicht dargelegt. Vergleichbar wäre das Verhalten eher damit, dass sich ein Hausbesitzer ein Sicherheits-geprüftes Schloss einbaut, für das der Hersteller allerdings für alle Schlossbesitzer einheitliche Schlüssel herausgegeben hätte.

Bislang ist dies der erste Sachverhalt, der uns in dieser Art begegnet ist, und wir hoffen, dass dies ein Einzelfall bleiben wird. Sollten Sie selbst einen solchen Bescheid erhalten, empfehlen wir, rechtliche Schritte dagegen zu unternehmen. Unseren Kunden empfehlen wir, sich mit uns zu beraten. Wir werden berichten, wenn sich in dieser Frage neue Entwicklungen ergeben.

Nicole Krause

Juristische Mitarbeiterin der GINDAT GmbH