"Hafnium": Mögliche Auswirkungen auf die Auftragsverarbeitung

Dr. Carlo Piltz

Auch weiterhin warnt das Bundesamt für Informationssicherheit (BSI) vor den kritischen "Hafnium"-Sicherheitslücken in Microsoft-Exchange-Servern. Unternehmen mit nichtgepatchten Exchange-Servern drohen Angriffe aus dem Internet. Betroffen sind auch deutsche Unternehmen.

Aus datenschutzrechtlicher Sicht sind die Unternehmen als Verantwortliche mindestens verpflichtet, vorgenommene Sicherheitsupdates gem. Art. 33 Abs. 5 DSGVO zu dokumentieren. Soweit ein mögliches Risiko nicht ausgeschlossen werden kann, muss nach Art. 33 Abs. 1 DSGVO eine Meldung an die zuständige Datenschutzaufsichtsbehörde und im Falle eines hohen Risikos auch eine Benachrichtigung der Betroffenen nach Art. 34 Abs. 1 DSGVO erfolgen.

Nicht selten erfolgt der Betrieb von Exchange-Servern jedoch nicht durch die Unternehmen als Verantwortliche, sondern durch externe Dienstleister als Auftragsverarbeiter. Diese sind dann auch für die Überprüfung und Überwachung ihrer Server zuständig und müssen gem. Art. 28 Abs. 1 DSGVO hinreichende Garantien dafür bieten, dass durch geeignete technische und organisatorische Maßnahmen eine datenschutzkonforme Verarbeitung gewährleitstet wird. Dabei sind Auftragsverarbeiter nach Art. 28 Abs. 3 lit. f DSGVO verpflichtet, die verantwortlichen Unternehmen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Verpflichtungen zu unterstützen, dies betrifft insbesondere auch den Fall der „Hafnium“-Sicherheitslücken.

Konsequenzen für die Auftragsverarbeitung

Werden die Server nicht, nicht erfolgreich oder zu spät durch den Auftragsverarbeiter gepatcht oder auf eine Kompromittierung geprüft, kann eine Meldung an die Datenschutzaufsicht oder sogar eine Benachrichtigung der Betroffenen erforderlich sein, die durch den Auftragsverarbeiter zu unterstützen ist. Unabhängig von einer Meldung oder Benachrichtigung ist eine Dokumentation nach Art. 33 Abs. 5 DSGVO erforderlich, bei welcher der Auftragsverarbeiter ebenfalls zur Unterstützung verpflichtet ist. Die Dokumentation ist dabei für den Verantwortlichen auch mit Blick auf mögliche Regressansprüche wegen eines Fehlverhaltens des Auftragsverarbeiters von Bedeutung und sollte daher im Interesse beider Seiten möglichst detailliert erfolgen.

Darüber hinaus kann der Umgang des Auftragsverarbeiters mit den aktuellen Schwachstellen den Rückschluss zulassen, dass er nicht in der Lage ist, die nach Art. 28 Abs. 1 DSGVO erforderlichen geeigneten technischen und organisatorischen Maßnahmen zu garantieren. Werden Updates beispielsweise Tage oder Wochen verspätet eingespielt oder Systeme nicht oder nur unzureichend auf eine Kompromittierung geprüft, obwohl dies zwingend geboten ist, kann dies dazu führen, dass der Verantwortliche auf dieser Grundlage nicht mehr auf die Kompetenz des Auftragsverarbeiters vertrauen kann bzw. darf. Mindestens sollte der Verantwortliche in diesem Fall eine Prüfung der organisatorischen Maßnahmen des Dienstleisters prüfen und ggf. Anpassungen verlangen. Sollten am Ende weiterhin Mängel bei den Maßnahmen des Auftragsverarbeiters zur Einhaltung der DSGVO vorhanden sein, wäre im schlimmsten Fall eine Auftragsverarbeitung nicht mehr zulässig und die Datenverarbeitung durch den Auftragsverarbeiter müsste eingestellt werden.

Betroffenen Auftragsverarbeitern ist daher zu raten – insbesondere im Falle verspäteter Updates oder fehlender Prüfungen auf eine Kompromittierung – gegenüber dem Verantwortlichen nachzuweisen, dass gleichwohl hinreichend Garantien für die Sicherheit der Verarbeitung bestehen und ggf. erforderliche Verbesserungen bereits in die Wege geleitet wurden. Verantwortliche sollten ihrerseits betroffene Auftragsverarbeiter kontaktieren und entsprechende Informationen und Nachweise verlangen, um ihren Kontrollverpflichtungen nachzukommen. Sinnvolle Nachweise könnten etwa eine dokumentierte umfassende Aufarbeitung des Vorfalls, die Hinzuziehung externer Experten oder auch die Erarbeitung von Konzepten, die eine nachweisbare Steigerung des Sicherheitsniveaus belegen sein. Lediglich für gravierende Verstöße sind bisher weitreichendere Folgen denkbar.

Weiteres Vorgehen und Fazit

Mit Blick auf mögliche Regressansprüche und drohende Konsequenzen für Auftragsverarbeitungsverhältnisse sollten betroffene Verantwortliche und Auftragsverarbeiter umgehend Sorge dafür tragen, dass "Hafnium"-Sicherheitslücken durch die Installation der bereitstehenden Updates geschlossen werden. Zudem sind die eingesetzten Systeme auf mögliche Kompromittierungen zu überprüfen. Hierbei bietet das BSI (PDF), aber insbesondere auch der Selbsthilfe-Leitfaden von HiSolutions, wertvolle Unterstützung. Über technische Aspekte hinaus sollten sich Verantwortliche und Auftragsverarbeiter zunehmend auch mit den datenschutzrechtlichen Konsequenzen der Sicherheitslücken beschäftigen, die deutlich über die aktuell stark diskutierten Melde- und Benachrichtigungspflichten hinausgehen.

Das Cybersecurity & Datenschutz Team von reuschlaw Legal Consultants unterstützt Sie bei der Bewältigung der "Hafnium"-Sicherheitslücken und berät Sie zu allen rechtlichen Fragestelllungen im Kontext mit IT-Sicherheit.

Mit den datenschutzrechtlichen Auswirkungen von Hafnium auf Auftragsverarbeitungen beschäftigt sich auch der digitale Lunch Break von reuschlaw & K4 Digital am Donnerstag, den 25.03.21, von 12:00 bis 12:40 Uhr. Die Teilnahme an der Veranstaltung ist kostenlos. Eine Anmeldung ist hier möglich.

[März 2021]