In meiner Beratungspraxis häufen sich die nach Art. 33 und 34 DSGVO meldepflichtigen Datenschutzverletzungen. Die wichtigsten werde ich in loser Reihenfolge hier beschreiben. Auf dass sie noch dazu gut sein mögen, dass jemand die richtigen Schlüsse zieht, bevor etwas schief geht.
Alle Namen und Abläufe wurden soweit verändert, dass die wahren Beteiligten nicht erkennbar sind.
Der Geschäftsführer (H) eines Hamburger Unternehmens mit mehreren Standorten in Europa schickte eine E-Mail an eine Kollegin in der Geschäftsführung, die in Amsterdam ihren Sitz hat. Im Anhang befand sich eine Gesprächsnotiz als Worddokument über ein Gespräch mit dem Leiter eines weiteren Standortes, hier als X bezeichnet. Der Inhalt war für X als auch für mehrere andere Kollegen an seinem Standort unvorteilhaft, um es vorsichtig auszudrücken. Wenige Stunden später landete der Vermerk auf einem E-Mail-Verteiler, der für alle Mitarbeiter an allen Standorten des Unternehmens einsehbar war. Absender: die E-Mail-Adresse des Geschäftsführers aus Hamburg. Über einhundert Mitarbeitende hatten Einsicht in ein Gesprächsprotokoll, dessen Inhalt zwischen zwei Personen bleiben sollte.
Ein Anruf bei H ergab, dass er den ganzen Tag in einer Konferenz verbracht hatte, ohne dass er auch nur Mails abgerufen, geschweige denn geschrieben hatte. Die weitere Untersuchung brachte ans Licht, dass das E-Mail-Postfach des H schon seit rund drei Monaten von einem unbekannten Angreifer übernommen worden war. Offenbar hatte dieser stillschweigend und unbemerkt mitgelesen und erst jetzt „zugeschlagen“. Es war aufgrund der weiteren Umstände davon auszugehen, dass es sich bei dem Angreifer um einen Insider handeln musste - einen ehemaligen Mitarbeiter oder vielleicht sogar um jemanden, der noch im Unternehmen tätig war.
Für alle Kontaktpersonen und Kommunikationspartner des H bestand ein erhebliches Risiko, dass der Angreifer sein über Wochen gesammeltes Wissen aus den Mails gegen die jeweiligen Personen verwenden würde, immer mit dem Ziel letztlich H zu schaden. Aufgrund der wochenlangen Kontrolle des Angreifers über das Postfach war im Grunde alles möglich, von Erpressung über Rufschädigung bis Betrug. Alle Personen mussten daher über den Vorfall informiert werden. Dies geschah mit einem Rundbrief, der per Mail verschickt wurde, versehen mit dem Hinweis, dass Mails von dem alten, bekannten Account ab sofort nicht mehr H zuzurechnen sind. Die Anzahl lag in einem niedrigen vierstelligen Bereich.
Der Hamburger Standort meldete den Vorfall an die Datenschutzaufsichtsbehörde in den Niederlanden, da das Unternehmen dort seinen Hauptsitz hat (Art. 56 DSGVO), und informierte Hamburg parallel.
Als Sofortmaßnahme froren die IT-Verantwortlichen das Postfach des H ein, und setzten für ihn eine neue Mailadresse auf. Sie änderten sämtliche Administrator Passwörter zum Zugang in geschäftskritische Systeme und übergaben die geänderten Passwörter einem Treuhänder. Bis zur endgültigen Aufklärung des Vorfalls mussten die Administratoren die Passwörter bei dem Treuhänder anfordern und nach Gebrauch wurden sie wiederum geändert. Alle Nutzerpasswörter für die E-Mail-Konten wurden geändert, was für die IT-Verantwortlichen ein riesiger Aufwand war.
Geprüft wurde ebenso, ob X, der in dem unternehmesweit öffentlich gewordenen Vermerk so schlecht dastand, aufgrund der Datenschutzverletzung einen Schadensersatzanspruch nach Art. 82 DSGVO würde geltend machen können.
Im nächsten Artikel:
Kommunikation bei Sicherheitsvorfällen
Wenn Sie Rat möchten, wie Ihre interne Kommunikation vertraulich gehalten werden kann, nehmen Sie gerne Kontakt auf. Wir finden mit Ihnen eine Lösung.