Innerhalb der letzten Woche gab es bei Microsofts Exchange Online zwei technische Pannen, bei denen persönliche Daten für eigentlich unbefugte Dritte sichtbar wurden. Einmal wurden wegen einer falschen SPAM-Filter-Regel ausgehende E-Mails nicht verschickt, sondern Administratoren komplett als SPAM übermittelt. Und dann gab es den Vorfall, dass Nutzern von Exchange Online plötzlich Global Address Lists (GALs) von anderen Firmen angezeigt wurden. Beides sind eigentlich DSGVO-Vorfälle, für die Administratoren von Exchange Online-Kunden nichts können. Es stellt sich für mich aber die Frage, ob die Vorfälle nicht binnen 72 Stunden bei der Datenschutzaufsichtsbehörde anzeigepflichtig sind. Ich habe mal bei unseren staatlichen Datenschützern nachgefragt, warte aber noch auf Antwort.
Anzeige
Ich greife mal ein Thema auf, welches mich seit einiger guten Woche umtreibt: Wie sollen oder müssen Administratoren mit Vorfällen wie sie nachfolgend beschrieben werden, im Hinblick auf die DSGVO und die sich daraus ergebende Meldepflicht bei den Datenschutzaufsichtsbehörden reagieren. Die DSGVO schreibt ja vor, dass Datenschutzverletzungen 72 Stunden nach Bekanntwerden gemeldet sein müssen.
Fall 1: Falsche SPAM-Filter-Regel
Der erste Zwischenfall bei Exchange Online ereignete sich zum 15./16. Oktober 2023, als Administratoren über Stunden Kopien ausgehender E-Mails ihrer Benutzer erhielten, die als Spam klassifiziert wurden. Ursache war eine seitens Microsoft gesetzte Spam-Regel, die false-positive Spam-Benachrichtigungen verursachte. Microsoft hat das Ganze als Incident EX682041 bestätigt und Gegenmaßnahmen (Deaktivierung der Regel) eingeleitet.
Ich hatte den Sachverhalt im Blog-Beitrag Exchange Online: Microsoft deaktiviert Spam-Regel, die alles als Junk-Mail betrachtet hat (EX682041) aufbereitet. Ein Blog-Leser wies mich dann in einem Kommentar darauf hin, dass die Weiterleitung der kompletten E-Mail an Administratorkonten einen DSGVO-Vorfall darstellt und das Ganze von sämtlichen betroffene Kunden gemäß EU- und CH-Gesetzgebung umgehend einen Datenschutzvorfall bei der Datenschutzaufsicht gemeldet werden müsste.
Vorher hatte ich mir um den Sachverhalt keinerlei Gedanken gemacht. Ich habe dann mal ein wenig im Internet recherchiert und bin auf diese Webseite des Landesbeauftragten für den Datenschutz in Niedersachsen gestoßen, die sich mit Datenschutzverstößen befasst. Eine E-Mail-Adresse ist ein persönliches Datum, und wenn eine E-Mail als Ganzes an einen falschen Empfänger geht, ist die ein DSGVO-Vorfall. In diesem Pressebericht wird ein Fall einer falsch zugestellten E-Mail aufgegriffen, die eine Schadensersatzpflicht in Höhe von 2.000 Euro bedingte. Der obige Sachverhalt dürfte zwar nicht in die gleiche Kategorie fallen, dass die Mails ja in der Firma verbleiben. Aber es ist spannend, wie die Zustellung der "abgeschickten", aber vom SPAM-Filter an die Administratoren zugestellten E-Mails aus dieser Sicht zu bewerten ist.
Anzeige
Fall 2: Exchange Online zeigt GALs fremder Tenants
Der zweite Zwischenfall ereignete sich am 24. Oktober 2023, wo es bei Exchange Online-Nutzern zu einem Zwischenfall gekommen ist. Beim Anlegen eines neuen Termins oder einer neuen E-Mail wurde manchen Anwendern bei Anwahl des "An"-Adressfelds eine Vorschlagsliste mit Namen möglicher Adressanten angezeigt. Aber statt der eigenen Adresslisten der Firmen wurden globale Adressbücher (GAL) anderer Tenants (also fremder Firmen) in der Vorschlagsliste angezeigt. Es waren Adresslisten mit Einträgen fremder Firmen, zu denen niemals Kontakt bestanden hat, zu finden.
Ich hatte diesen Fall nach einem Benutzerhinweis im Blog-Beitrag Frage: Zeigt Exchange Online fremde Adresslisten (GAL)? aufgegriffen, und Rückmeldungen zeigten mir, dass dies kein Einzelfall war. Bei diesem Sachverhalt liegt in meinen Augen ein DSGVO-Verstoß vor, weil persönliche Daten einem unbefugten Personenkreis angezeigt wurden.
Nach meinem Verständnis geraten DSGVO-Verantwortliche bzw. Administratoren nun in eine recht missliche Lage: Sie erhielten Kenntnis von einem DSGVO-Verstoß, den sie eigentlich nicht zu verantworten haben und auch nicht beeinflussen können. Sie sind nach DSGVO aber verpflichtet, diesen Vorfall binnen 72 Stunden bei der zuständigen Datenschutzaufsicht anzuzeigen. Laut Kommentarlage ist dies nur bei einem Betroffenen passiert.
Nachfrage bei den Datenschutzbehörden
Weil mich das Thema umtreibt habe ich nach dem zweiten Vorfall den Bundesdatenschutzbeauftragten Ulrich Kelber (BfDI) über dessen Pressestelle angefragt, wie das Ganze zu bewerten sei. Binnen Stunden erhielt ich vom Pressesprecher die Antwort, dass aufgrund der föderalen Organisation des Datenschutzes in Deutschland für den nicht-öffentlichen Bereich grundsätzlich die jeweiligen Landesbeauftragten für den Datenschutz zuständig sind.
Da Microsoft für den Betrieb von Exchange Online verantwortlich zeichnet, wurde ich gebeten, mich an die in Deutschland für Microsoft zuständigen Kolleginnen und Kollegen des Landesamtes für Datenschutzaufsicht Bayern zu wenden. Kontaktdaten finden sich auf der BfDI-Homepage.
Im Nachgang habe ich dann jeweils eine Anfrage an Herr Prof. Dr. Thomas Petri, Bayerische Beauftragte für den Datenschutz, und Herr Michael Will, Bayerische Landesamt für Datenschutzaufsicht, gestellt und folgendes gefragt:
Frage 1: Wird dieser [oben skizzierte] Sachverhalt von ihrem Haus auch so gesehen?
Frage 2: Besteht eine Meldepflicht gemäß DSGVO bei der Datenschutzaufsicht?
Frage 3: Wer müsste diese Meldung absetzen (Microsoft als Auftragnehmer und Anbieter von Exchange Online, oder das Unternehmen, welches Exchange Online verwendet, diesen Vorfall aber vermutlich nicht zu verantworten hat)?
Gerade die letzte Frage finde ich spannend, denn es deutet sich an, dass es ein technisches Problem des Providers oder des Cloud-Anbieters Microsoft ist, welches die Anzeige fremder E-Mails oder im zweiten Fall fremder Tenant Adressbücher bewirkte. Die nutzenden Unternehmen haben m.W. keinen Einfluss darauf.
Im gleichen Aufwasch habe ich dann auch noch den Storm-0558 Hack der Microsoft Azure-Cloud angesprochen (siehe diesen Blog-Beitrag) und gefragt, ob der Vorfall für deutsche Unternehmen meldepflichtig war, und ob den bayerischen Landesdatenschutzbehörden DSGVO-Meldungen zu diesem Vorfall von Unternehmen oder von Microsoft vorliegen. Von beiden Stellen habe ich bisher aber noch keinerlei Reaktion vernommen.
Anzeige
Auch bei einer Auftragsdatenverarbeitung bleibt die verantwortliche Stelle in der Pflicht. Also die Firma, die m365 einsetzt. Anders als bei Security oder Kritis kann man das nicht wegdelegieren. Ich vertrete den Standpunkt, dass das also meldepflichtig ist durch die Firmen, die m365 einsetzen und betroffen sind.
Aber MS muss dabei unterstützen und auch auf die Betroffenen zugehen. Wie und was genau, das regelt hoffentlich der AVV – und wenn nicht, ist er eigentlich unhaltbar.
Zudem: Eine Auftragsverarbeitung ist nur privilegiert, weil man als Auftraggeber ausreichende Weisungsbefugnis und Kontrollrechte gegenüber dem Auftragsverarbeiter für den Prozess hat (geregelt im AVV), ähnlich wie man eben auch eigene Mitarbeiter und Prozesse managen kann und Einsicht und Pflichten vorliegen.
Gegenüber Microsoft aber eben nur auf dem Papier, wenn überhaupt. Da wird ja schon die Listung der verarbeiteten personenbezogenen Daten und Prozesse ein Problem. Ich will sehen, wie man seine Kontrollrechte in diesem Fall wahrnimmt und MS Weisungen erteilt :-D. Daher halte ich das schon immer schon grundlegend problematisch, fehlende Grundlage für Drittlandübertragung kommt noch oben drauf. Schrems III wird kommen.
Erst gestern wieder die Diskussion gehabt.
Es gibt einen Vertrag und damit sind wir aus der Verantwortung raus. Mal unabhängig von der rein juristischen Sicht die ich ach nicht glaube ist eine solche Einstellung auch eine moralische und fachliche Bankrotterklärung.
Abgesehen mal von den armen Schweinen der Daten dann mißbraucht braucht werde etc.. Einziger Trost: diese Denke existiert weltweit und ist keine deutsche Spezialität.
Gruß
> Erst gestern wieder die Diskussion gehabt. Es gibt einen Vertrag und damit sind wir aus der Verantwortung raus.
Sorry, aus meiner Sicht ist das schlicht falsch. Wir sind hier im Datenschutz. Die verwantwortliche Stelle KANN Ihre Verantwortung NICHT delegieren. Bei KRITIS geht das mit Risiken (z.B. Transfer via Versicherung) und ist auch rechtlich vorgesehen, mit Verantwortung im DSGVO-Kontext geht dies IMHO nicht. Auf welcher Grundlage denkst Du, dass dein Vertrag dich von der Informationspflicht befreit?
Du kannst auch gerne nachlesen: vgl.
1. Art. 4 Nr. 7 DSGVO (Verantwortlicher)
2. Art. 4 Nr. 8 DSGVO (Auftragsverarbeiter)
3. und wer die Pflichten hat Art. 33/34 DSGVO hinsichtlich der Info an betroffenen Personen.
Es gibt dort KEINEN Interpretationsspielraum: "Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche(!!) unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde."
Grundsatz ist: Der VERANTWORTLICHE muss Datenschutz sicherstellen. Und der AUFTRAGSVERARBEITER unterliegt einer absoluten(!) Weisungsgebundenheit und entscheidet NICHT über Zweck und Mittel. Wenn Dein Vertrag das nicht so regelt, ist er nichts wert. Das ist nicht durch AVV delegierbar. Selbst wenn Du die reine Meldung als solches beauftragst und dein Dienstleister vergeigt es, bleibst DU in der Pflicht.
Beliebtes Beispiel weil sogar Dreierkonstellation mit Hirachien: Schule mit Schulträger und IT-Dienstleister. Egal was die Schule tut, Sie kann keine der DS-Pflichten auf den Träger (obwohl dieser beim Betrieb sogar die Hauptlast trägt) oder einen IT-Dienstleister abwälzen. Sie kann AVVe schließen und Dinge von Dritten erledigen lassen, wenn es aber schief geht beim Dienstleister ist die Schule weiterhin verantwortlich, muss kontrollieren und sich kümmern und muss natürlich daher auch die Meldungen vornehmen. Wenn der Dienstleister sich nicht an das Vereinbarte hält und/oder Du es nicht kontrollieren kannst und/oder er die benötigten Informationen gar nicht liefern kann, musst Du ihn eben austauschen und er bekommt hoffentlich Ärger bzw. Du kannst den Ärger, der Dir blüht, im Innenverhältnis ein wenig durchreichen.
naja Firmeninterne Mails sind sowieso nicht privat und wenn im Arbeitsvertrag klar geregelt ist das Private Sachen nicht über Firmen IT erlaubt ist bist du da erst mal raus.
Der Zweite Fall wo du Daten fremder Firmen zu Gesicht bekommst ist was ghanz andres!
@Luzifer: Ich habe mich explizit auf die Aussage „ Es gibt einen Vertrag und damit sind wir aus der Verantwortung raus." bezogen. Damit das klar wird, habe ich sogar zitiert.
> Der Zweite Fall wo du Daten fremder Firmen zu Gesicht bekommst ist was ghanz andres!
Das kannst Du nicht wissen. Hast Du bei Microsoft angefragt, ob eure GAL bei Dritten angezeigt wurde? Kannst Du es selbst kontrollieren?
sorry da hab ich mich missverständlich ausgedrückt, bzw. du mich missverstanden:
Fall amoklaufender SPAM Filter ist kein Problem, da geschäftliche Mails nicht privat sind, teilweise sogar Archivierungs und Nachweis pflichtig! –> DSGVO irrrelevant! Man muss allerdings Private Nutzung untersagt haben!
2. Fall durch Fehler Einsicht in fremde Tenants ist selbstverständlich ein DSGVO Vorfall!
Wobei da eben geklärt werden muss ab wann bin ich Verpflichtet da zu reagieren… wenn ich von den Datenvorfall aktiv erfahre (selbstverständlich!)oder auch schon wenn nur ein Gerücht im Netz auftaucht?
Schwieriges Thema!
Ist eigentlich schon mehr bekannt, also ob alle Tenants betroffen waren?
Bei uns ist das Spam Thema z. B. nicht aufgetreten und die GAL Problematik konnte ich auch nicht nachstellen.
Wir haben Exchange Online im Einsatz aber keines der genannten Probleme sind bei uns aufgetreten. Ich habe auch ein wenig rumgefragt und konnte niemanden finden der die Probleme selbst hatte. Also bitte nicht so tun als seien alle Exchange Online Kunden betroffen.
Da spielen wir mal den Ball ganz elegant in dein Spielfeld zurück. Nicht ich muss da was nachweisen, sondern ihr seid spätestens durch den Blog-Beitrag auf das mögliche Problem aufmerksam gemacht geworden. Damit liegt nach DSGVO die Pflicht bei euch zu prüfen, ob ihr betroffen seid oder nicht.
Das Mindeste wäre imho, eine Anfrage an Microsoft zu stellen, was da konkret losgewesen ist. Mein ja nur … glücklicherweise muss ich nicht euren Job machen.
PS: Gibt den Spruch bezgl. Sicherheit: "Es gibt die Leute, die einen Vorfall hatten, und den Rest, der das noch nicht gemerkt hat".
naja und dann gibt es die Leute die einen Vorfall hatten weil sie ihre Systeme falsch konfiguriert hatten… nicht immer ist MS da Schuld. Wird aber oft unter den Teppich gekehrt.
IT ist eben ein recht komplexes Feld und allzu oft ist diese Feld in Händen von Stümpern.
@Luzifer: Deine Argumentation ist Off-Topic und einfach nur ein bedeutungsloser Allgemeinplatz. Es geht explizit um folgende Fragestellungen:
a) Wie man feststellen kann, ob man bei einem Vorkommnis seitens MS betroffen ist, wenn man die Effekte nicht in seinem eigenen Tenant sehen kann. Hier: Wie stellst Du fest, dass deine GAL bei Dritten landete?
b) Wenn Du betroffen bist durch einen MS-Vorfall, bist Du oder MS meldepflichtig?
Beides sollte dein AVV regeln. Mein Standpunkt zu
a) Du brauchst Kontroll- und Weisungsbefugnis. Du musst MS anweisen können, genau das richtig darzulegen. Wenn Du das nicht kannst, ist dein AVV mangelhaft. MS muss auch aktiv auf Dich zukommen, aber darauf kannst du Dich nicht einfach YOLO-like verlassen.
b) Als verantwortliche Stelle musst Du Deine Nutzer informieren, wenn sich bei a) herausstellt, dass etwas vorgekommen ist. Das liegt nicht in der Verantwortung von MS.
muss ich das? Sorry ich bin verpflichtet das zu melden wenn es zu einem Vorfall kommt… ganz klar. Dazu muss ich aber auch von dem Vorfall wissen, nen Grücht allein reicht nicht! Kein Vorfall keine Meldepflicht!
Das gilt für mich und für MS, hat MS einen Vorfall muss es den melden den Behörden und den Betroffenen.
Meldet MS keinen Vorfall muss ich auch nicht davon ausgehen das es einen gegeben hat!
Ein hätte könnte vielleicht reicht da nicht! Dann kannst du nämlich gleich dicht machen, weil ein vielleicht was man nicht bemerkt gibt es immer!
> Dazu muss ich aber auch von dem Vorfall wissen, nen Grücht allein reicht nicht?
Natürlich kannst Du nicht alles und jeden prüfen. Eine Nichtexistenz ist rein logisch nicht nachweisbar, da man ja immer nur falsch gesucht hätte.
Aber: Du siehst also jegliche Kontrollpflicht davon gedeckte, dass du hoffst, das jemand auf Dich zukommt? Finde ich nicht hinreichend. Vorallem hier ist es kein Gerücht. Es gibt harte Fakten. Was zwingt Dich denn zum handeln? Wenn Du eine E-Mail von Microsoft bekommst, die DIR vorschreibt, was DEREN Meinung nach zu tun ist? Ja klasse. Vorallem weil der Einzelfall für die nur ein Rundungsfehler ist. Und MS im Zweifelsfall die 72h nicht interessieren, ist nämlich Dein Problem, nicht deren.
Dann ist ja gut, dass das zumindest einige ernsthafte Kunden nicht so gesehen haben, sonst wüsste man wohl bis heute nicht, dass Microsoft gehackt wurde.
Wie bittstellerisch die eigenen Rechte eingefordert werden müssen sieht man auch schön hier:
https://www.heise.de/news/Gestohlener-Cloud-Master-Key-Microsoft-schweigt-so-fragen-Sie-selber-9229395.html
*************
Aber: Du siehst also jegliche Kontrollpflicht davon gedeckte, dass du hoffst, das jemand auf Dich zukommt?
**************
Nö, entweder ich stelle etwas selber fest oder jemand macht mich von aussen darauf aufmerksam, das da bei mir was nicht stimmt… nur auf reines hörensagen muss ich nicht reagieren.
Ist ja auch nicht so das da alle MS kunden von betroffen waren!
> Nö, entweder ich stelle etwas selber fest
WIE stellst Du das fest. Würde mich wirklich interessieren, wie die Welt da draußen Ihre Audits gegen M365 fährt.
Der Auftragsverarbeiter hat eine Informationspficht an den Verantwortlichen, wenn was bei ihm passiert ist, nach DSGVO. Egal was passiert ist und es seiner Meinung nach Meldepflichtig ist. Er hat kann eine Einschätzung mitteilen, ob die pb-Daten des Kunden betroffen sind, vielleicht betroffen sind oder nicht.
Der Verantwortliche hat dann zu prüfen, ob eine Meldepflicht besteht.
Bspw. gab es bei MS ein Problem in Teams, MS informiert alle Kunden und wenn ich jetzt Teams gar nicht nutze, betrifft es mich erstmal nicht. Die Prüfung liegt immer beim Verantwortlichen.
Exakt, endlich jemand mit Fachkenntnis. Die Prüfung ob, und wenn zutreffend, die Meldung, liegt beim Verantwortlichem. Also bei demjenigen, der den Tenant gemietet hat und nutzt.
Wenn es ein globales Ereignis ist, würde ich mich aber nicht einzig darauf verlassen, dass MS sich einfach so meldet. Ich sehe da schon auch den Verantwortlichen in der Pflicht, dies ggf. explizit über eine Auskunft durch MS aktenkundig bestätigen oder verneinen zu lassen. Die Kontroll- und Weisungsrechte des Auftraggebers, die man vereinbart haben muss gegenüber MS, existieren nicht ohne Grund.
Die Cloud hat Ihren verwaltungstechnischen Preis, den muss man mit einkalkulieren.
IMHO muß das Unternehmen, das die fremden Adresslisten sieht diesbezüglich nichts melden, denn das Unternehmen ist weder Auftraggeber noch Datenverarbeiter noch Verantwortlicher in Bezug auf die femden Daten.
Melden müsste es IMHO das Unternehmen, von dem die Adresslisten stammen, denn das ist der Verantwortliche und Auftraggeber.
Aber das wird wahrscheinlich nichts von dem Vorfall wissen oder es ist ein Unternehmen aus dem Nicht-EU Ausland.
Aber ein Verdacht, das fremde Unternehmen die eigenen Adresslisten sehen konnten ist nicht von der Hand zu weisen. Stellt sich die Frage, wie ausführlich die Logs sind und ob man diese Vorfälle dort sehen kann.
Insgesamt zeigt der Vorfall aber, das es ziemlich schwierig ist, Clouddienste DSGVO-konform zu nutzen. On-Prem wird man da deutlich weniger Probleme in Bezug auf die DSGVO haben, da eine mögliche Fehlerquelle (Der Cloudanbieter mit seinen Diensten) wegfällt.
Die Diskussion hier zeigt mir, wie schwierig das ist. Mein Eindruck war zudem, dass vielen Admins möglicherweise unklar ist, wie zu verfahren sei. Dass es einige Leute gab, die die Vorfälle (mit Screenshots) dokumentieren konnten. Da keine Logs erwähnt wurden, scheint es schwierig. Und es gab einen Kommentar über eine vorsorgliche DSGVO-Meldung. Mal schauen, was die Datenschutzaufsicht zurückschreibt – sofern sie sich überhaupt meldet.
In Bezug auf die Aussage, "Firmen Mails sind nicht Privat" gibt es aus meiner Sicht noch ungeklärte Grenzfälle: was ist mit vertraulicher Kommunikation innerhalb einer Firma z.B. Betriebsarzt oder Personalvertretung ? Hab da bisher leider nichts klärendes finden können…
So ungeklärt sind die nicht. Eventuell hilft Abschnitt "D. Regelungen für Geheimnisträger" aus https://www.datenschutzkonferenz-online.de/media/oh/201601_oh_email_und_internetdienste.pdf (man beachte, dass das Jahr 2016, solche Dinge sind schon prä-DSGVO von Relevanz, wobei dieses Dokument sicherlich unter Einfluss der DSGVO stand). Auch wenn es alt ist, die Ausführungen sind auch heute noch aktuell:
> „Geheimnisträger" in diesem Sinne sind Beschäftigte, denen in ihrer Tätigkeit persönliche Geheimnisse anvertraut werden (Betriebsrat, Jugend- und Ausbildungsvertretung, betrieblicher Datenschutzbeauftragter, Betriebsarzt, Gleichstellungsbeauftragte u.a.) und die deshalb in einem besonderen Vertrauensverhältnis zu den betroffenen Personen stehen.
> […]
> Neben den Belangen der „Geheimnisträger" selbst, sind in gleichem Maße die schutzwürdigen Belange der einzelnen Beschäftigten, die mit dem jeweiligen „Geheimnisträger" kommunizieren, zu beachten. Auch insofern sind Vorkehrungen zu treffen. Es ist daher dafür zu sorgen, dass E-Mails der Beschäftigten von bzw. an den jeweiligen „Geheimnisträger" (ggf. aufgrund einer einschlägigen Betreffzeile) von dem Arbeitgeber nicht zur Kenntnis genommen werden.
Wenn die Mail eines MA an den Betriebsarzt, wobei es sich oftmals um besonders schutzwürdige Artikel 9-Daten handeln wird, einfach so wegen dieses Spam-Filters beim Admin landet, ist das sicherlich ein Problem. Bereits zu Zeiten des Bundesdatenschutzgesetzes und im Jahre 2023 ganz sicher.
Wenn Geheimnissträger Mails unnverschlüsselt private Daten versenden hast du bereits da ein Problem!
unverschlüsselte eMail ist nix anderes als eine Postkarte schicken, erst das verschlüsseln (egal ob die komplette Mail oder den "privaten Anhang") macht einen Brief daraus.