Log4Shell-Sicherheitslücke kann zur Datenpannen-Meldepflicht führen

Die kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer extrem kritischen Bedrohungslage. Das BSI hat daher seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft. Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte.
Als im März 2021 das Bundesamt für Sicherheit in der Informationstechnik (BSI) über eine neue und außerordentlich kritische Gefährdungslage informierte, die den weit verbreiteten Microsoft Exchange Server betraf, gab es eine ähnlich hohe Warnstufe. Das BSI gab bekannt, dass zehntausende Exchange-Server in Deutschland nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert seien.
Damals wie auch bei den aktuellen Angriffen haben Verantwortliche auch eine datenschutzrechtliche Dimension zu bedenken, die sich aus Art. 33 DS-GVO ergibt. Alle Datenschutzaufsichtsbehörden, die sich damals zur Exchange-Sicherheitslücke Fall geäußert hatten, waren der Meinung, dass im Fall eines festgestellten Datenabflusses ein Data Breach bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden muss. Darüber hinaus könne in einem solchen Fall zudem eine Benachrichtigungspflicht an betroffene Personen bestehen. Eine Zusammenfassung der Aufsichtsbehörden, die sich zu dieser Fragestellung positioniert hatten, finden Sie hier.
Im Falle der Log4j dürfte konsequenterweise dasselbe gelten. Dazu das BayLDA in seiner Handreichung zur Log4Shell-Erstanalyse:
„Eine Sicherheitslücke alleine löst bekanntlich noch keine datenschutzrechtliche Meldeverpflichtung aus. Jedoch bedeutet ein Vorliegen der Schwachstelle Log4Shell in Log4j eine Verletzung der Vorgaben zur Sicherheit der Verarbeitung gemäß Art. 32 DS-GVO bei den jeweiligen Verantwortlichen.
Finden sich dann Anzeichen, dass die Schwachstelle ausgenutzt wurde und personenbezogene Daten betroffen sind, ist im Regelfall davon auszugehen, dass eine meldepflichtige Datenschutzverletzung nach Art. 33 DSGVO vorliegt, da derart kompromittierte IT-Systeme seltenst „nicht zu einem Risiko“ für die Rechte und Freiheiten der davon betroffenen Personen führen dürfte. Die maßgeblichen Feststellungen, insbesondere ob eine Risiko für die betroffenen Personen besteht oder nicht, sind nach Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) umfassend zu dokumentieren.
Eine Meldung nach Art. 33 DS-GVO zur Datenschutzverletzung kann von bayerischen Verantwortlichen aus dem nicht-öffentlichen Bereich über den Online-Service des BayLDA durchgeführt werden.“
(Foto: MASHKA – stock.adobe.com)
Letztes Update:14.12.21
Verwandte Produkte
-
Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz
Online-Schulung
1.368,80 € Mehr erfahren
Das könnte Sie auch interessieren
-
Folge 34: ChatGPT & Co: Neues aus dem Maschinenraum der EU-Datenregulierung – KI und ePrivacy
Die Europäische Union arbeitet mit Nachdruck an der Umsetzung der Datenstrategie 2020. Die geplanten und angegangenen Regelwerke sind für Spezialisten kaum durchschaubar und waren Gegenstand des DataAgenda Datenschutzpodcasts #29 mit Kai Zenner, dem Büroleiter und Digitalreferenten von MdEP Axel Voss von der EVP. In seinem „RDV-Update aus Brüssel“ berichtet Zenner in der RDV regelmäßig über
Mehr erfahren -
Personalunion: Beauftragter für Informationssicherheit und Datenschutzbeauftragter
Die Meinungen zu der Frage, ob und welche zusätzlichen Funktionen einen Datenschutzbeauftragter in eine Interessenkollision bringen, sind uneinheitlich. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI):Der TLfDI geht in seinem 2. Tätigkeitsbericht zum Datenschutz nach der DS-GVO (Berichtsjahr 2019, veröffentlicht am 22.10.2020) auf die Fragen von möglichen Interessenkollisionen für die Tätigkeit des Datenschutzbeauftragten ein (vgl.
Mehr erfahren -
Social-Media Nutzung für Mediziner: Wo liegen die Fallstricke?
In der dritten und damit aktualisierten Auflage ihrer Handreichung „Ärztinnen und Ärzte in sozialen Medien“ gibt die Bundesärztekammer Ärtzt_innen aber auch allen Medizinstudierenden wertvolle Hinweise, die sie bei der Nutzung Sozialer Medien beachten sollten. Die 1. Auflage der Handreichung war aus dem Beschluss des 115. Deutschen Ärztetags 2012 zur Erarbeitung von Empfehlungen für Ärzte in
Mehr erfahren