EDSA: Ent­wurf von Leit­li­ni­en zu Bei­spie­len für Data Bre­ach Notifications

Die DSGVO sieht bekannt­lich vor, dass bei Daten­si­cher­heits­ver­let­zun­gen der/den zuständige(n) Aufsichtsbehörde(n) zu mel­den sind, sofern die Ver­let­zung zu einem Risi­ko für die betrof­fe­ne Per­so­nen führt (Art. 33 DSGVO, und wenn die Ver­let­zung vor­aus­sicht­lich zu einem hohen Risi­ko für die betrof­fe­nen Per­so­nen führt, sich die­se von der Ver­let­zung zu benach­rich­ti­gen (Art. 34 DSGVO).

Der Euro­päi­sche Daten­schutz­aus­schuss hat zu die­ser Fra­ge schon im Febru­ar 2018 Leit­li­ni­en ver­öf­fent­licht. Die­se Leit­li­ni­en lie­ssen aber vie­le Fra­gen offen, wes­halb der EDSA nun den Ent­wurf zusätz­li­cher Leit­li­ni­en mit Anwen­dungs­bei­spie­len ver­öf­fent­licht hat (Gui­de­li­nes 01/2021 on Examp­les regar­ding Data Bre­ach Noti­fi­ca­ti­on, Ver­si­on 1.0, 14. Janu­ar 2021). Die Kon­sul­ta­ti­ons­pha­se endet am 2. März 2021.

Die Leit­li­ni­en zu Bei­spie­len sind nach unter­schied­li­chen Arten von Attacken und Angriffs­vek­to­ren geglie­dert und umfas­sen 18 Beispiele:

  • Ran­som­wa­re, wenn ein Back-up exi­stiert und kei­ne Daten ent­wen­det werden;
  • Ran­som­wa­re ohne Back-up;
  • Ran­som­wa­re, wenn ein Back-up exi­stiert und kei­ne Daten ent­wen­det wer­den, in einem Krankenhaus;
  • Ran­som­wa­re ohne Back-up und mit Datendiebstahl;
  • Dieb­stahl von Bewer­ber­da­ten von einer Website;
  • Abgrei­fen eines ver­schlüs­sel­ten (gehash­ten) Pass­worts von einer Website;
  • Bru­te-For­ce-Attacke (“Creden­ti­als Stuf­fing”) gegen eine Online-Banking-Website;
  • Daten­dieb­stahl durch einen Angestellten;
  • ver­se­hent­li­che Über­mitt­lung von Daten an einen ver­trau­ens­wür­di­gen DrittenÜbermittlung
  • ver­schie­den­de Fäl­le des Dieb­stahls von Datenträgen;
  • ver­schie­den­de Fäl­le des ver­se­hent­li­chen Ver­sands von Daten per Post und per E‑Mail;
  • Iden­ti­täts­dieb­stahl über Social Engi­nee­ring per Telefon;
  • E‑Mail-Dieb­stahl durch Weiterleitungsregeln.

Die Leit­li­ni­en hal­ten jeweils – rela­tiv knapp – fest, wel­che Mass­nah­men zur Ver­mei­dung die­ser Sicher­heits­ver­let­zun­gen in Fra­ge gekom­men wären und wel­che Mass­nah­men der Ver­ant­wort­li­che zur Miti­gie­rung der Risi­ken nach der Ent­deckung des Vor­falls tref­fen kann.