{"id":2562,"date":"2021-06-17T13:48:33","date_gmt":"2021-06-17T11:48:33","guid":{"rendered":"http:\/\/www.wiesbadener-kreis.de\/?p=2562"},"modified":"2021-06-17T13:48:33","modified_gmt":"2021-06-17T11:48:33","slug":"kostenfestsetzungsbescheid-nach-exchange-datenschutzverletzung","status":"publish","type":"post","link":"http:\/\/www.wiesbadener-kreis.de\/?p=2562","title":{"rendered":"Kostenfestsetzungsbescheid nach Exchange-Datenschutzverletzung"},"content":{"rendered":"<p>Etwas erstaunt mussten wir feststellen, dass die Datenschutzbeh\u00f6rde Niedersachsen scheinbar ein neues Gesch\u00e4ftsmodell zur Refinanzierung Ihrer Beh\u00f6rde gefunden hat.<\/p>\n<p>Im Zusammenhang mit der kritischen Sicherheitsl\u00fccke von selbst gehosteten Exchange-Servern im M\u00e4rz diesen Jahres 2021, bei der mehrere tausend Server allein in Deutschland betroffen waren, wurde einer Verantwortlichen Stelle nun nach Abschluss des Ermittlungsverfahrens ein Kostenfestsetzungsbescheid zugestellt.<\/p>\n<p><strong>Sachverhalt: Was steckte dahinter<\/strong><\/p>\n<p>Wie bei den vielen tausend anderen Servern in Deutschland auch war auf den Servern des Unternehmens durch die Sicherheitsl\u00fccke der Microsoft-Software eine Webshell eingeschleust worden. Hierdurch war es Hackern potentiell m\u00f6glich auf s\u00e4mtliche auf dem Server gespeicherten Daten zuzugreifen, ohne dass dies zwingend entdeckt h\u00e4tte werden k\u00f6nnen. Auf dem Exchange-Server l\u00e4uft die E-Mail-Kommunikation des gesamten Unternehmens zusammen, so dass darunter fast zwangsl\u00e4ufig eine Vielzahl sensibler Informationen zu finden sind. Nach der Datenschutzgrundverordnung (DSGVO) sind Unternehmen dazu verpflichtet, eine Meldung bei der Datenschutzbeh\u00f6rde einzureichen, wenn eine Sicherheitsverletzung zu einem Risiko f\u00fcr die Rechte und Freiheiten der Betroffenen f\u00fchrt.<\/p>\n<p>Folgerichtig hat die Datenschutzbeh\u00f6rde Niedersachsen, wie die meisten anderen L\u00e4nderbeh\u00f6rden auch, in einer Pressemitteilung ausdr\u00fccklich auf die Meldepflicht hingewiesen.<\/p>\n<p><a href=\"https:\/\/lfd.niedersachsen.de\/startseite\/themen\/wirtschaft\/kompromittierte-exchange-server-meldepflichtig-198287.html\">https:\/\/lfd.niedersachsen.de\/startseite\/themen\/wirtschaft\/kompromittierte-exchange-server-meldepflichtig-198287.html<\/a><\/p>\n<p><a href=\"http:\/\/www.wiesbadener-kreis.de\/wp-content\/uploads\/Die-Landesbeauftragte-fuer-den-Datenschutz-Niedersachsen_Meldung-Datenschutzverletzung-Kostenbescheid-geschwaerzt.pdf\">Die Landesbeauftragte f\u00fcr den Datenschutz Niedersachsen_Meldung Datenschutzverletzung Kostenbescheid geschw\u00e4rzt<\/a><\/p>\n<p><strong>Analogie Einbruchdiebstahl<\/strong>:<\/p>\n<p>Vergleichen l\u00e4sst sich der Vorfall mit einem Einbruchdiebstahl. Stellen Sie sich vor, in Ihr Unternehmen w\u00fcrde eingebrochen werden. Um potentielle T\u00e4ter zu ermitteln, erstatten Sie Anzeige bei der Polizei. Ohne dass bei dem Ermittlungsverfahren irgendein eigenes Verschulden Ihrerseits nachgewiesen werden kann, erl\u00e4sst die Polizeibeh\u00f6rde nach Abschluss des Verfahrens einen Kostenbescheid gegen Sie, da Sie ja die Anzeige erstattet haben.<\/p>\n<p>Einziger Unterschied zu dem virtuellen Einbruch ist, dass Sie anders als bei dem digitalen Einbruch nicht verpflichtet gewesen w\u00e4ren, den Einbruch bei der Polizei zur Anzeige zu bringen. \u201eDoppeltes Pech\u201c scheint sich die Beh\u00f6rde da wohl zu denken.<\/p>\n<p><strong>Rechtliche Einsch\u00e4tzung:<\/strong><\/p>\n<p>Gest\u00fctzt wird der Kosten-Bescheid auf<\/p>\n<p>\u00a7 1, 3 und 5 Nieders\u00e4chsisches Verwaltungskostengesetz. Hiernach k\u00f6nnen demjenigen Kosten auferlegt werden, der daf\u00fcr Anlass gegeben hat. Eine Begr\u00fcndung daf\u00fcr, inwiefern das Unternehmen hierzu Anlass gegeben hat, fehlt dem Bescheid leider g\u00e4nzlich.<\/p>\n<p>Die zugrunde liegenden \u201eSensibilisierungsma\u00dfnahmen\u201c (Art. 57 Abs. 1 lit. d DSGVO), als die sich der Bescheid kleidet, bestehen aus allgemeinen Platzhaltern, die sich in keiner Weise mit den konkreten Begebenheiten des Sachverhalts auseinandersetzt und so auch auf jeder Webseite als allgemeine Hinweise gefunden werden k\u00f6nnten.<\/p>\n<p><strong>Fazit:<\/strong><\/p>\n<p>Die Meldepflicht von Datenschutzverletzungen steht ohnehin immer mal wieder in der verfassungsrechtlichen Kritik, da hierdurch in gewissem Ma\u00dfe verpflichtend gefordert wird, eine Selbstbezichtigung vorzunehmen. Ein solches Vorgehen der Beh\u00f6rde hilft sicherlich nicht dabei, diese Bedenken auszur\u00e4umen.<\/p>\n<p>Sollte ein eigenes Verschuldenselement der verantwortlichen Stelle gefunden werden, ist der Sachverhalt ggf. noch einmal anders zu bewerten. Um noch einmal die Analogie zu bem\u00fchen: so zum Beispiel, wenn ein Hausbesitzer seine T\u00fcr offen stehen l\u00e4sst, und damit erst den Anreiz f\u00fcr Einbrecher schafft. Dies wurde im zugrunde liegenden Bescheid allerdings nicht dargelegt. Vergleichbar w\u00e4re das Verhalten eher damit, dass sich ein Hausbesitzer ein Sicherheits-gepr\u00fcftes Schloss einbaut, f\u00fcr das der Hersteller allerdings f\u00fcr alle Schlossbesitzer einheitliche Schl\u00fcssel herausgegeben h\u00e4tte.<\/p>\n<p>Bislang ist dies der erste Sachverhalt, der uns in dieser Art begegnet ist, und wir hoffen, dass dies ein Einzelfall bleiben wird. Sollten Sie selbst einen solchen Bescheid erhalten, empfehlen wir, rechtliche Schritte dagegen zu unternehmen. Unseren Kunden empfehlen wir, sich mit uns zu beraten. Wir werden berichten, wenn sich in dieser Frage neue Entwicklungen ergeben.<\/p>\n<p>Nicole Krause<\/p>\n<p>Juristische Mitarbeiterin der GINDAT GmbH<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Etwas erstaunt mussten wir feststellen, dass die Datenschutzbeh\u00f6rde Niedersachsen scheinbar ein neues Gesch\u00e4ftsmodell zur Refinanzierung Ihrer Beh\u00f6rde gefunden hat. Im Zusammenhang mit der kritischen Sicherheitsl\u00fccke von selbst gehosteten Exchange-Servern im M\u00e4rz diesen Jahres 2021, bei der mehrere tausend Server allein in Deutschland betroffen waren, wurde einer Verantwortlichen Stelle nun nach Abschluss des Ermittlungsverfahrens ein Kostenfestsetzungsbescheid &hellip; <\/p>\n<p class=\"link-more\"><a href=\"http:\/\/www.wiesbadener-kreis.de\/?p=2562\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eKostenfestsetzungsbescheid nach Exchange-Datenschutzverletzung\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":15,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts\/2562"}],"collection":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2562"}],"version-history":[{"count":3,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts\/2562\/revisions"}],"predecessor-version":[{"id":2566,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts\/2562\/revisions\/2566"}],"wp:attachment":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2562"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2562"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2562"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}