Datenschutzverletzungen bei der Nutzung von E-Mails
1. Verteilung von Schadsoftware
Immer wieder erreichten die Datenschutzbehörden Meldungen zu Datenschutzverletzungen gemäß Artikel 33 DatenschutzGrundverordnung (DSGVO). Häufig informierten Behörden und Unternehmen über die Infektion von Rechnern mit Schadsoftware durch die E-Mail-Nutzung. Die Schadsoftware variiert in Funktion und Schadensausmaß: Manchmal wird nur Aufregung verursacht, z. B. indem einzelne Buchstaben oder Textteile verschwinden oder Bildschirmfenster geöffnet bzw. geschlossen werden. Manchmal werden E-Mail-Adressen gezielt an Angreifende übermittelt, die diese wiederum an Dritte verkaufen. Manchmal verschickt die Schadsoftware auch selbst E-Mails im Namen des angegriffenen Unternehmens unter Bezugnahme auf eine vorherige echte E-Mail. Bei einer weiteren häufig anzutreffenden Form verschlüsselt die Schadsoftware gespeicherte Daten bei der angegriffenen Institution und versucht, ein „Lösegeld“ für die Entschlüsselung zu erpressen. Und sehr weitreichende Formen von Schadsoftware versuchen, unbemerkt eine Hintertür auf den Rechnern der Institution zu etablieren, durch die auch später noch Schadfunktionen ausgeführt werden können.
Exemplarisch sowohl für die Ursachen als für auch das Schadenspotenzial einer Infektion mit Schadsoftware sind die folgenden drei Fälle.
Im ersten Fall hatte ein Beschäftigter eines mittelständischen Unternehmens den Dateianhang einer E-Mail geöffnet. Die E-Mail wirkte authentisch, Ungereimtheiten gab es nicht. Es kam zur Infektion mit einer Schadsoftware. Diese ist darauf spezialisiert, E-Mail-Adressen auszulesen und sich selbst als Anhang an diese Adressen zu versenden – bestenfalls wieder in echt wirkenden E-Mails (sogenanntes Outlook Harvesting). Die jeweiligen Empfänger sollen ihrerseits die Anhänge öffnen und so nach einer Infektion zu weiteren Absendern werden. Dies führt zu einer exponentiellen Verbreitung der Schadsoftware. Die IT-Abteilung des fraglichen Unternehmens konnte sie in diesem Fall zwar in der eigenen Infrastruktur wieder entfernen. Unklar blieb jedoch, ob auch alle Empfänger die Infektion verhindern konnten oder bereits selbst an der Weiterverbreitung der Schadsoftware mitwirkten. Ursache der Infektion waren in diesem Fall nicht hinreichende technische Maßnahmen zur Prüfung von Mailanhängen auf Schadcode.
In einem zweiten Fall kam es zur Infektion mehrerer Server in einem Unternehmen mit einer sogenannten Ransomware. Diese verschlüsselte die Datenbestände und erpresste das Unternehmen anschließend über ein automatisiertes Verfahren. Es sollte Geld an eine anonyme Adresse – ein Bitcoin-Wallet– überweisen, bevor ihm der Schlüssel zum Entschlüsseln der Daten übermittelt wird. Das Unternehmen zahlte nicht. Es verfügte über eine aktuelle Datensicherung und konnte den Datenbestand zum größten Teil wieder herstellen. Die Infektionsursache blieb jedoch ungeklärt. Da anscheinend die getroffenen Schutzmaßnahmen nicht ausreichend waren, versicherte das Unternehmen, eine Überarbeitung des IT-Sicherheitskonzeptes vornehmen zu wollen.
Auf zwei Dinge ist in diesem Zusammenhang hinzuweisen: Zum einen besteht keine Garantie dafür, den Schlüssel für das Entschlüsseln der Daten zu erhalten, auch wenn auf die Forderung zur Zahlung eines Geldbetrages eingegangen wird. Und zum anderen drohen manche mit Ransomware Angreifende, die Daten, die sie vor der Verschlüsselung aus dem betroffenen Unternehmen oder der Behörde ausgeleitet haben, zu veröffentlichen. Dies verdeutlicht, wie wichtig es ist, nicht nur eine aktuelle Datensicherung zu haben, sondern auch alle anderen technischen und organisatorischen Maßnahmen umzusetzen, die eine Infektion mit Ransomware sowie unbefugte Datenzugriffe und Datenübermittlungen verhindern.
Im dritten Fall leitete ein Beschäftigter eines Unternehmens eine private E-Mail mit Anhang an seine Firmen-E-Mail-Adresse weiter. Die Schutzmaßnahmen des Unternehmens waren nicht in der Lage, den schädlichen Anhang der besagten E-Mail zu identifizieren und zu bereinigen. Deshalb kam es auch hier dazu, dass E-Mail-Kontakte ausgelesen und unautorisiert von der Schadsoftware benutzt wurden, um sich selbst zu versenden und weiterzuverbreiten. Allerdings konnte der Vorfall auf das in Rede stehende Unternehmen begrenzt werden, da er schnell erkannt und die Schadsoftware ausschließlich die geschäftlichen E-Mail-Adressen der anderen Beschäftigten auslesen konnte. Personenbezogene Daten von Dritten waren nicht betroffen. Als Reaktion etablierte das Unternehmen eine weitere Schutzebene auf den lokalen Computern der Beschäftigten und erließ ein Verbot der privaten Nutzung der IT-Infrastruktur.
In allen drei Fällen sind nicht ausreichende technische und organisatorische Schutzmaßnahmen Ursache der Infektionen mit Schadsoftware und damit der Verletzungen des Datenschutzes. Artikel 32 DSGVO schreibt vor, dass Verantwortliche solche Maßnahmen treffen müssen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Die Maßnahmen müssen dem Stand der Technik entsprechen, für die Schutzzwecke geeignet und den Risiken angemessen sein. Ein nicht vorhandener, nicht ausreichender oder nicht aktueller Schutz vor Schadsoftware erfüllt diese Anforderungen nicht. Und letztlich ist auch an die Sensibilisierung der Beschäftigten zu denken, kritisch mit E-Mail-Anhängen oder in E-Mails versandten Internetlinks umzugehen sowie Geschäftliches und Privates nicht zu vermischen.
2. Unüberlegte Nutzung der CC-Funktion
Eine weitere Art der Datenschutzverletzung, die sehr oft gemeldet wurde, ist der Versand von E-Mails in Kopie an viele Personen, wobei die E-Mail-Adressen der Empfängerinnen und Empfänger in das CC-Feld (Carbon Copy) anstatt in das BCCFeld (Blind Carbon Copy, auch BC – Blind Copy) eingetragen wurden. Entscheidender Unterschied der beiden Varianten ist, dass die im BCC-Feld eingetragenen Adressen gegenüber den anderen Empfängerinnen und Empfängern nicht offenbart werden, diejenigen im CC-Feld jedoch schon. Somit kann es bei Nutzung des CC-Feldes schnell zu einer ungewollten Offenbarung von mehreren hundert E-Mail-Adressen an Dritte kommen. Da E-Mail-Adressen oftmals Vor- und Nachnamen natürlicher Personen enthalten, werden damit auch personenbezogene Daten unbefugt übermittelt. Dies stellt eine Verletzung der Vertraulichkeit dar.
Verantwortlichen wird geraten, Maßnahmen zu ergreifen, die derartige Pannen bereits im Vorfeld vermeiden. An erster Stelle ist die Sensibilisierung der Beschäftigten zu nennen, die auf eine korrekte Verwendung von CC- und BCC-Feld achten müssen. Eine technische Maßnahme kann die Einholung einer expliziten Bestätigung vor dem beabsichtigten Versenden von E-Mails mit Adresseinträgen im CC-Feld sein. Denkbar wäre etwa, durch Ankreuzen einer Checkbox oder Einblenden einer Warnmeldung in einem neuen Fenster zu bestätigen, dass eine Nutzung des CC-Feldes tatsächlich beabsichtigt ist. Dadurch könnten Fälle, die zum Beispiel aus Unachtsamkeit oder Eile entstehen, vermutlich oftmals verhindert werden. Die Lösung müsste allerdings für das jeweilige E-Mail-Programm bereitstehen oder entwickelt werden.
Eine andere Methode, welche empfohlen werden kann, ist die Einrichtung eines Vier-Augen-Prinzips in Abhängigkeit von der Größe des Empfängerkreises. Der Verantwortliche könnte beispielsweise bei einem Empfängerkreis ab 50 Personen festlegen, dass neben der Absenderin bzw. dem Absender der E-Mail eine weitere Person – z. B. eine Kollegin oder ein Kollege – den korrekten Versand überprüfen und bestätigen muss. Dies sollte in einer organisatorischen Regelung (wie einer Dienst- oder Geschäftsanweisung) festgehalten werden. Alternativ könnte die bzw. der Datenschutzbeauftragte auch eine Checkliste für den Versand von E-Mails mit einem großen Empfängerkreis erarbeiten, bei der die Prüfung der korrekten Verwendung des Adressfeldes ein Punkt ist, der aktiv geprüft und bestätigt werden muss.
Die große Gefahr bei dieser Art von Datenschutzverletzungen ist nicht, dass hier besonders sensible personenbezogene Daten betroffen wären, sondern die unter Umständen sehr hohe Zahl von betroffenen Personen durch nur ein einziges falsch befülltes Adressfeld. Allen Verantwortlichen kann man nur dringend empfehlen, sich Gedanken über den Umgang mit dem CC- und BCC-Feld beim E-Mail-Versand zu machen und geeignete, vorbeugende Maßnahmen zu treffen.
3. Unsicherer E-Mail-Versand von Sozialdaten durch Jugendämter
Der externe Datenschutzbeauftragte eines freien Trägers der Jugendhilfe informierte die Aufsichtsbehörde darüber, dass Jugendämter im Land Brandenburg häufig nicht die erforderlichen technischen Maßnahmen für eine sichere E-Mail-Kommunikation umsetzen. So sei es oft gängige Praxis, dass Entwicklungspläne, Hilfepläne, Gutachten und andere Dokumente mit sensitiven personenbezogenen Daten unverschlüsselt zwischen den Jugendämtern und den leistungserbringenden freien Trägern versandt werden. Weiter verfüge nur ein Teil der Jugendämter über die Möglichkeit, Ende-zu-Ende-verschlüsselte E-Mails zu empfangen. Er bat die Datenschutzbehörde darauf hinzuwirken, dass die sozial- und datenschutzrechtlichen Anforderungen bei der elektronischen Kommunikation durch die Jugendämter eingehalten werden.
Darüber hinaus erfolgten Meldungen von Datenschutzverletzungen gemäß Artikel 33 Datenschutz-Grundverordnung (DSGVO) zu fehlgeleiteten, unverschlüsselten E-Mails von Jugendämtern. Diese machten deutlich, dass neben der Sorgfalt bei der Angabe der Adressatin oder des Adressaten und der Umsetzung geeigneter technischer Verschlüsselungsmaßnahmen auch das Gebot der Datensparsamkeit bei der E-Mail-Kommunikation nicht in jedem Fall beachtet wurde. So können vermeintlich harmlos wirkende E-Mails mit Informationen über den Wechsel einer Fachkraft oder der Terminanfrage für das nächste Hilfeplangespräch die Identifizierung der konkreten Person ermöglichen. Eine unbefugte Kenntnisnahme der E-Mail-Inhalte kann insofern zu erheblichen Risiken für die Rechte und Freiheiten der Betroffenen führen.
Bei den genannten personenbezogenen Daten handelt es sich um Sozialdaten. Diese unterliegen dem Sozialgeheimnis gemäß § 35 Absatz 1 Satz 1 Erstes Buch Sozialgesetzbuch. Danach hat jeder einen Anspruch darauf, dass die ihn betreffenden Sozialdaten von Leistungsträgern nicht unbefugt verarbeitet werden. Hierzu gehört auch, dass Dritten die Daten nicht unbefugt offenbart werden dürfen. Werden sie per E-Mail übertragen, sind durch den Verantwortlichen (und gegebenenfalls den Auftragsverarbeiter) gemäß Artikel 32 Absatz 1 DSGVO geeignete technische und organisatorische Maßnahmen umzusetzen, um ein dem Risiko der Verarbeitung angemessenes Schutzniveau zu gewährleisten. Buchstabe a dieser Norm nennt ausdrücklich die Verschlüsselung als geeignete Maßnahme.
Im Regelfall ist bei der Übermittlung personenbezogener Daten per E-Mail mindestens eine Transportverschlüsselung einzusetzen. Für besonders schutzbedürftige Sozialdaten ist eine Ende-zu-Ende-Verschlüsselung zu nutzen. Da diese jedoch die Betreffzeile einer E-Mail nicht schützt, muss die Absenderin oder der Absender auch darauf achten, dort keine Sozialdaten zu verwenden. Ist eine Ende-zu-Ende-Verschlüsselung des kompletten Inhalts einer E-Mail nicht möglich, sind zumindest die sensitiven personenbezogenen Daten nach dem Stand der Technik zu verschlüsseln, z. B. in Form eines verschlüsselten E-Mail-Anhangs. Der Schlüssel muss dann über einen anderen Kommunikationsweg, z. B. telefonisch, mitgeteilt werden.
Die Verantwortung für die Zulässigkeit der Übermittlung von Sozialdaten – einschließlich des Schutzes vor unbefugter Kenntnisnahme – trägt gemäß § 67d Abs. 1 Satz 1 Zehntes Buch Sozialgesetzbuch (SGB X) die übermittelnde Stelle. Ein Sozialleistungsträger kann sich dieser gesetzlichen Verpflichtung nach unserer Auffassung nicht dadurch entziehen, dass er die betroffenen Personen allgemein auf die Risiken der Nutzung unsicherer Kommunikationswege hinweist und deren Einwilligung einholt, solche Wege verwenden zu dürfen. Antragstellerinnen und Antragsteller bzw. Hilfesuchende sind in vielfältiger Weise auf die Gewährung von Sozialleistungen angewiesen. Gerade im Hinblick auf dieses besondere Abhängigkeitsverhältnis sind die hohen Anforderungen des Sozialdatenschutzes konsequent zu beachten. Eine Einwilligung gemäß § 67b Absatz 2 SGB X i. V. m. Artikel 7 DSGVO kann zwar eine Verarbeitung von Sozialdaten an sich legitimieren, wenn sie tatsächlich freiwillig und in informierter Weise abgegeben wurde sowie widerrufbar ist. Durch sie können aber nicht die nach Artikel 32 DSGVO notwendigen technischen und organisatorischen Maßnahmen ausgehebelt werden.
Die Datenschutzaufsicht wurde mehrfach auf Fälle hingewiesen, in denen die betroffenen Personen selbst ausdrücklich den unverschlüsselten Versand von z. B. Therapie- und Schulberichten mit sensitiven Daten verlangten und Beschäftigte des Jugendamts dieser Bitte trotz der Unzulässigkeit der Nutzung des unsicheren Kommunikationsweges nachgaben.
Aufgrund des hohen Aufklärungsbedarfes wurde ein Rundschreiben zu der Thematik verfasst und an alle Jugendämter der Landkreise und kreisfreien Städte versandt. Einige Datenschutzbeauftragte der Behörden mussten nachträglich in Kenntnis gesetzt werden. Sie wurden gebeten, für eine datenschutzkonforme Umsetzung in den entsprechenden Ämtern zu sorgen. Insbesondere verwies die Datenschutzbehörde in dem genannten Rundschreiben auf die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ des Arbeitskreises Technik der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder aus 2021 mit ergänzenden Erläuterungen.
Quelle: Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks