1. Home
  2. Log4Shell-Sicherheitslücke kann...
DataAgenda

Log4Shell-Sicherheitslücke kann zur Datenpannen-Meldepflicht führen

log4j

Die kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer extrem kritischen Bedrohungslage. Das BSI hat daher seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft. Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte.

Als im März 2021 das Bundesamt für Sicherheit in der Informationstechnik (BSI) über eine neue und außerordentlich kritische Gefährdungslage informierte, die den weit verbreiteten Microsoft Exchange Server betraf, gab es eine ähnlich hohe Warnstufe. Das BSI gab bekannt, dass zehntausende Exchange-Server in Deutschland nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert seien.

Damals wie auch bei den aktuellen Angriffen haben Verantwortliche auch eine datenschutzrechtliche Dimension zu bedenken, die sich aus Art. 33 DS-GVO ergibt. Alle Datenschutzaufsichtsbehörden, die sich damals zur Exchange-Sicherheitslücke Fall geäußert hatten, waren der Meinung, dass im Fall eines festgestellten Datenabflusses ein Data Breach bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden muss. Darüber hinaus könne in einem solchen Fall zudem eine Benachrichtigungspflicht an betroffene Personen bestehen. Eine Zusammenfassung der Aufsichtsbehörden, die sich zu dieser Fragestellung positioniert hatten, finden Sie hier.

Im Falle der Log4j dürfte konsequenterweise dasselbe gelten. Dazu das BayLDA in seiner Handreichung zur Log4Shell-Erstanalyse:

„Eine Sicherheitslücke alleine löst bekanntlich noch keine datenschutzrechtliche Meldeverpflichtung aus. Jedoch bedeutet ein Vorliegen der Schwachstelle Log4Shell in Log4j eine Verletzung der Vorgaben zur Sicherheit der Verarbeitung gemäß Art. 32 DS-GVO bei den jeweiligen Verantwortlichen.

Finden sich dann Anzeichen, dass die Schwachstelle ausgenutzt wurde und personenbezogene Daten betroffen sind, ist im Regelfall davon auszugehen, dass eine meldepflichtige Datenschutzverletzung nach Art. 33 DSGVO vorliegt, da derart kompromittierte IT-Systeme seltenst „nicht zu einem Risiko“ für die Rechte und Freiheiten der davon betroffenen Personen führen dürfte. Die maßgeblichen Feststellungen, insbesondere ob eine Risiko für die betroffenen Personen besteht oder nicht, sind nach Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) umfassend zu dokumentieren.

Eine Meldung nach Art. 33 DS-GVO zur Datenschutzverletzung kann von bayerischen Verantwortlichen aus dem nicht-öffentlichen Bereich über den Online-Service des BayLDA durchgeführt werden.“

(Foto: MASHKA – stock.adobe.com)


Letztes Update:14.12.21

Verwandte Produkte

  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    678,60 € Mehr erfahren
  • Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz

    Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz

    Online-Schulung

    1.368,80 € Mehr erfahren

Das könnte Sie auch interessieren

  • Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Webinar Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager

    Mehr erfahren
  • NIs-2 und Geschäftsführerschulung

    BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit

    Mehr erfahren
  • Refurbished Notebook und Datenpanne

    Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?

    Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner