Verantwortliche gemäß Art. 24 DSGVO setzen häufig Auftragsverarbeiter nach Art. 28 DSGVO für die teilweise oder vollständige Realisierung und den Betrieb von Verarbeitungstätigkeiten ein. Diesen Auftragsverarbeitern ist gemäß Art. 28 Abs. 3 Buchst. c) DSGVO vertraglich die Ergreifung aller gemäß Art. 32 DSGVO erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung aufzuerlegen. Solche vertraglichen Vereinbarungen entbinden den Verantwortlichen nicht davon, die Wirksamkeit der Maßnahmen regelmäßig gemäß Art. 32 Abs. 1 Buchst. d) DSGVO i.V.m. Art. 28 Abs. 3 Buchst. c), f) und h) DSGVO zu überprüfen, zu bewerten und zu evaluieren.
Die Aufsichtsbehörde erreichte eine Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO eines Unternehmens in Nordhessen. Einem Kunden des Unternehmens war es gelungen, im Web-basierten Kundenportal des Unternehmens unberechtigt die personenbezogenen Daten eines Dritten, d.h. eines anderen Kunden einzusehen.
Ursächlich für die unberechtigte Offenlegung der personenbezogenen Kundendaten war das mangelhafte Authentifizierungsverfahren im Kundenportal. Kunden wurden zur Anmeldung am Kundenportal postalisch entsprechende Zugangscodes übersandt. Der Aufbau eines solchen Zugangscodes richtete sich nach einem festen Muster. Kam es bei der Anmeldung an der Web-Oberfläche des Kundenportals zu einem Fehler, so ließ die zurückgelieferte Fehlermeldung in bestimmten Fällen einen Rückschluss auf einzelne Stellen des Zugangscodes zu. Im Ergebnis konnte für einen fehlerhaft eingegebenen Zugangscode die exakte Stelle ermittelt werden, die für eine erfolgreiche Anmeldung angepasst werden musste.
Im Rahmen der Meldung teilte das Unternehmen mit, dass das Verfahren zur Generierung solcher datenschutzrechtlich zu bemängelnden Zugangscodes angepasst wurde und die bereits versandten Zugangscodes unbrauchbar gemacht wurden. Ferner wurde in der Meldung mitgeteilt, dass aus Sicht des Unternehmens nur ein Kunde von der unberechtigten Offenlegung betroffen war.
Die ergriffenen Maßnahmen waren anscheinend geeignet, um die konkreten Verletzungen des Schutzes personenbezogener Daten zu beheben und eine zukünftige Wiederholung zu verhindern.
Technische Außenbetrachtung
Bei dem von der Meldung betroffenen Kundenportal handelte es sich um ein über das öffentliche Internet zugängliches, Web-basiertes IT-System. In solchen Fällen analysieren Mitarbeiter meiner IT-Abteilung regelmäßig betroffene IT-Systeme in Form einer Außenbetrachtung. Hierbei werden die jeweiligen Web-Oberflächen aufgerufen und die zurückgelieferten Informationen ausgewertet. Dies schließt z.B.
- den aufgezeichneten Netzwerkverkehr,
- Metadaten des Hypertext Transfer Protocol (HTTP) und
- den Hypertext Markup Language-Code (HTML) der zurückgelieferten Seiten ein.
In Abhängigkeit von den Ergebnissen werden bei Bedarf vertiefende Analysen vorgenommen. Im vorliegenden Fall wurden z.B. Fehlerseiten analysiert und eingebundene Ressourcen näher inspiziert. Ziel dieses Vorgehens ist es, einen Eindruck von der zugrundeliegenden IT-Landschaft, den in ihr eingesetzten IT-Systemen sowie von der konkreten Ausgestaltung des Web-Angebotes zu erlangen. Im vorliegenden Fall konnten u.a. zwei zentrale IT-Systeme identifiziert werden, bei denen Anzeichen für Mängel bei der Sicherheit der Verarbeitung gemäß Art. 32 DSGVO bestanden.
Bei einem Web-Server konnte z.B. die Anzeige einer sogenannten Standard-Startseite bewirkt werden. Sie enthielt den Hinweis, dass eine derartige Seite i.d.R. nur angezeigt würde, wenn der entsprechende Web-Server nicht angemessen konfiguriert sei. Zudem wurde über
- das eingesetzte Betriebssystem,
- die dem Web-Server zugrundeliegende Software, inkl. Versionsnummer, und
- installierte Komponenten, ebenfalls inkl. Versionsnummern, informiert.
Derartige Informationen dürften etwaigen Angreifern relevante Anhaltspunkte liefern. Daher ist die Anzeige einer solchen Standard-Seite zwingend zu unterbinden und gehört zur gängigen Praxis bei der Konfiguration von Web-Servern. Für einen Applikations-Server konnte die Anzeige einer standardisierten Fehler-Seite herbeigeführt werden. Diese enthielt u.a. Informationen zu einem eingesetzten Software-Framework, inkl. Versionsnummer. Diese Informationen legten den Schluss nahe, dass als Grundlage des Applikations-Servers eine über zehn Jahre alte Software zum Einsatz kam. Diese wird vom Hersteller schon länger nicht mehr mit Sicherheits-Updates und -Patches versorgt. Eine solche Software kann, insbesondere im Kontext von über das öffentliche Internet zugänglichen IT-Systemen, nicht als Stand der Technik gemäß Art. 32 Abs. 1 DSGVO angesehen werden.
Termin vor Ort
Die obigen sowie weitere Erkenntnisse der technischen Außenbetrachtung führten zu weiteren Fragen und deuteten darauf hin, dass die ergriffenen technischen und organisatorischen Maßnahmen nicht ausreichten, um gemäß Art. 32 Abs. 1 DSGVO ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zur weiteren Aufklärung des Sachverhalts war eine Innenbetrachtung der zugrundeliegenden IT-Landschaft, der konstituierenden IT-Systeme sowie der zugehörigen technischen und organisatorischen Maßnahmen erforderlich. Hierzu fand ein Termin in den Geschäftsräumen des Verantwortlichen statt, zu dessen Vorbereitung meine Mitarbeiter umfassende, vom Verantwortlichen angeforderte Unterlagen auswerteten.
Im Termin wurden fachliche, technische und organisatorische Themen im Zusammenhang mit dem Kundenportal und allgemein hinsichtlich des umschließenden Datenschutzmanagements beim Verantwortlichen erörtert. Hierbei stellte sich hieraus, dass die im Rahmen der technischen Außenbetrachtung identifizierten IT-Systeme innerhalb der IT-Landschaft des Verantwortlichen betrieben wurden, dass sämtliche Software-seitigen Wartungstätigkeiten aber an einen Auftragsverarbeiter gemäß Art. 28 DSGVO ausgelagert worden waren. Bei diesem Auftragsverarbeiter handelte es sich gleichzeitig um den Hersteller der dem Kundenportal zugrundeliegenden Software. Am Termin nahmen keine Vertreter des Auftragsverarbeiters teil, so dass Detailfragen zur Ausgestaltung der Systeme nicht beantwortet werden konnten.
Im Ergebnis bestätigten sich die Anzeichen aus der technischen Außenbetrachtung, die vorher bei mir durchgeführt wurde. Gleichzeitig konnten die organisatorischen Bedingungen, die ursächlich für die Situation waren, im Rahmen des Termins geklärt werden. Hier stellte sich heraus, dass der Verantwortliche keine ausreichenden Maßnahmen ergriffen hatte, um seine Verpflichtungen im Sinne des Art. 32 Abs. 1 Buchst. d) DSGVO i.V.m. Art. 28 Abs. 3 Buchst. c), f) und h) DSGVO zu erfüllen.
Der Termin in den Geschäftsräumen des Verantwortlichen verlief sehr kooperativ und produktiv. Im Nachgang des Termins wurde von meinen Mitarbeitern eine detaillierte Zusammenfassung meiner Feststellungen erstellt und dem Verantwortlichen zur Stellungnahme übersandt. Der Verantwortliche verpflichtete sich zur Umsetzung diverser Maßnahmen, um die Sicherheit der Verarbeitung gemäß Art. 32 DSGVO herzustellen und auf Dauer zu gewährleisten. Dies schloss eine umfassende und tiefgehende Überprüfung der betroffenen IT-Systeme unter Zuhilfenahme externer Unterstützung mit ein. Die Ergebnisse der technischen Außenbetrachtungen durch meine Mitarbeiter sind grundsätzlich nicht mit einer ganzheitlichen Sicherheitsüberprüfung gleichzusetzen. Ihr Ziel ist es, aus technischer Perspektive zu überprüfen, ob sich Anzeichen für eine nicht mit der DSGVO konforme Verarbeitung personenbezogener Daten ergeben.
Fazit
Die Mitarbeiter der IT-Abteilung der Behörde führen regelmäßig technische Außenbetrachtungen von IT-Systemen durch, z.B. im Zusammenhang mit Meldungen von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO. Im vorliegenden Fall lieferte die technische Außenbetrachtung starke Anzeichen dafür, dass technische und organisatorische Maßnahmen des Verantwortlichen nicht ausreichten, um die Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 DSGVO sicherzustellen.
Bei den gewonnenen Erkenntnissen handelte es sich um Symptome, deren Ursachen im Rahmen eines Termins in den Geschäftsräumen des Verantwortlichen ermittelt wurden. Es stellte sich heraus, dass sowohl technische als auch organisatorische Ursachen vorlagen. Ein wesentliches Problem lag in der praktischen Ausgestaltung des Verhältnisses zu einem Auftragsverarbeiter begründet. Hier zeigte sich, welche hohe Bedeutung der Überprüfung des Auftragsverarbeiters durch den Verantwortlichen gemäß Art. 28 Abs. 3 Buchst. h) beizumessen ist, auch wenn der Auftragsverarbeiter gemäß Art. 28 Abs. 3 Buchst. c) vertraglich zur Ergreifung erforderlicher Maßnahmen gemäß Art. 32 DSGVO verpflichtet ist.
Die kooperative und produktive Zusammenarbeit mit dem Verantwortlichen im vorliegenden Fall ist hervorzuheben. Auf effektive und effiziente Weise war es möglich, das Datenschutzniveau beim Verantwortlichen signifikant zu erhöhen und Prozesse zu initiieren, die zukünftig eine weitere Verbesserung bewirken werden. Auch habe ich gern dem Wunsch des Verantwortlichen entsprochen, gemeinsam mit ihm den vorliegenden Fall auf einem Treffen seines Verbands darzustellen. Dies gab mir die willkommene Gelegenheit, Verantwortliche eines Fachverbands mit ähnlichen technischen Lösungen hinsichtlich notwendiger datenschutzrechtlicher Anforderungen, Bewertungen und Umsetzungen zu sensibilisieren.
Der Auftragsverarbeiter und Hersteller der dem Kundenportal zugrundeliegenden Software wurde vom Verantwortlichen eingebunden. Dies galt in besonderem Maße in Bezug auf erforderliche Anpassungen an der eingesetzten Software. Die Software wird vom Hersteller auch bei anderen Kunden eingesetzt. In diesem Zusammenhang kann man davon ausgehen, dass die erforderlichen Anpassungen diesen ebenso zur Verfügung gestellt und bei diesen umgesetzt werden. Die Behörde behält sich vor, entsprechende Prüfungen bei weiteren hessischen Kunden durchzuführen.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks