{"id":287539,"date":"2023-10-28T00:29:00","date_gmt":"2023-10-27T22:29:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=287539"},"modified":"2023-10-27T19:36:49","modified_gmt":"2023-10-27T17:36:49","slug":"sind-zwischenflle-in-exchange-online-mit-offenlegung-von-daten-dsgvo-meldepflichtig","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/10\/28\/sind-zwischenflle-in-exchange-online-mit-offenlegung-von-daten-dsgvo-meldepflichtig\/","title":{"rendered":"Sind Zwischenfälle in Exchange Online mit Offenlegung von Daten DSGVO-meldepflichtig?"},"content":{"rendered":"

\"SicherheitInnerhalb der letzten Woche gab es bei Microsofts Exchange Online zwei technische Pannen, bei denen pers\u00f6nliche Daten f\u00fcr eigentlich unbefugte Dritte sichtbar wurden. Einmal wurden wegen einer falschen SPAM-Filter-Regel ausgehende E-Mails nicht verschickt, sondern Administratoren komplett als SPAM \u00fcbermittelt. Und dann gab es den Vorfall, dass Nutzern von Exchange Online pl\u00f6tzlich Global Address Lists (GALs) von anderen Firmen angezeigt wurden. Beides sind eigentlich DSGVO-Vorf\u00e4lle, f\u00fcr die Administratoren von Exchange Online-Kunden nichts k\u00f6nnen. Es stellt sich f\u00fcr mich aber die Frage, ob die Vorf\u00e4lle nicht binnen 72 Stunden bei der Datenschutzaufsichtsbeh\u00f6rde anzeigepflichtig sind. Ich habe mal bei unseren staatlichen Datensch\u00fctzern nachgefragt, warte aber noch auf Antwort. <\/p>\n

<\/p>\n

\"\"Ich greife mal ein Thema auf, welches mich seit einiger guten Woche umtreibt: Wie sollen oder m\u00fcssen Administratoren mit Vorf\u00e4llen wie sie nachfolgend beschrieben werden, im Hinblick auf die DSGVO und die sich daraus ergebende Meldepflicht bei den Datenschutzaufsichtsbeh\u00f6rden reagieren. Die DSGVO schreibt ja vor, dass Datenschutzverletzungen 72 Stunden nach Bekanntwerden gemeldet sein m\u00fcssen. <\/p>\n

Fall 1: Falsche SPAM-Filter-Regel<\/h2>\n

Der erste Zwischenfall bei Exchange Online ereignete sich zum 15.\/16. Oktober 2023, als Administratoren \u00fcber Stunden Kopien ausgehender E-Mails ihrer Benutzer erhielten, die als Spam klassifiziert wurden. Ursache war eine seitens Microsoft gesetzte Spam-Regel, die false-positive Spam-Benachrichtigungen verursachte. Microsoft hat das Ganze als Incident EX682041 best\u00e4tigt und Gegenma\u00dfnahmen (Deaktivierung der Regel) eingeleitet. <\/p>\n

Ich hatte den Sachverhalt im Blog-Beitrag Exchange Online: Microsoft deaktiviert Spam-Regel, die alles als Junk-Mail betrachtet hat (EX682041)<\/a> aufbereitet. Ein Blog-Leser wies mich dann in einem Kommentar<\/a> darauf hin, dass die Weiterleitung der kompletten E-Mail an Administratorkonten einen DSGVO-Vorfall darstellt und das Ganze von s\u00e4mtlichen betroffene Kunden gem\u00e4\u00df EU- und CH-Gesetzgebung umgehend einen Datenschutzvorfall bei der Datenschutzaufsicht gemeldet werden m\u00fcsste. <\/p>\n

Vorher hatte ich mir um den Sachverhalt keinerlei Gedanken gemacht. Ich habe dann mal ein wenig im Internet recherchiert und bin auf diese Webseite<\/a> des Landesbeauftragten f\u00fcr den Datenschutz in Niedersachsen gesto\u00dfen, die sich mit Datenschutzverst\u00f6\u00dfen befasst. Eine E-Mail-Adresse ist ein pers\u00f6nliches Datum, und wenn eine E-Mail als Ganzes an einen falschen Empf\u00e4nger geht, ist die ein DSGVO-Vorfall. In diesem Pressebericht<\/a> wird ein Fall einer falsch zugestellten E-Mail aufgegriffen, die eine Schadensersatzpflicht in H\u00f6he von 2.000 Euro bedingte. Der obige Sachverhalt d\u00fcrfte zwar nicht in die gleiche Kategorie fallen, dass die Mails ja in der Firma verbleiben. Aber es ist spannend, wie die Zustellung der \"abgeschickten\", aber vom SPAM-Filter an die Administratoren zugestellten E-Mails aus dieser Sicht zu bewerten ist. <\/p>\n

Fall 2: Exchange Online zeigt GALs fremder Tenants<\/h2>\n

Der zweite Zwischenfall ereignete sich am 24. Oktober 2023, wo es bei Exchange Online-Nutzern zu einem Zwischenfall gekommen ist. Beim Anlegen eines neuen Termins oder einer neuen E-Mail wurde manchen Anwendern bei Anwahl des \"An\"-Adressfelds eine Vorschlagsliste mit Namen m\u00f6glicher Adressanten angezeigt. Aber statt der eigenen Adresslisten der Firmen wurden globale Adressb\u00fccher (GAL) anderer Tenants (also fremder Firmen) in der Vorschlagsliste angezeigt. Es waren Adresslisten mit Eintr\u00e4gen fremder Firmen, zu denen niemals Kontakt bestanden hat, zu finden. <\/p>\n

\"Global <\/p>\n

Ich hatte diesen Fall nach einem Benutzerhinweis im Blog-Beitrag Frage: Zeigt Exchange Online fremde Adresslisten (GAL)?<\/a> aufgegriffen, und R\u00fcckmeldungen zeigten mir, dass dies kein Einzelfall war. Bei diesem Sachverhalt liegt in meinen Augen ein DSGVO-Versto\u00df vor, weil pers\u00f6nliche Daten einem unbefugten Personenkreis angezeigt wurden. <\/p>\n

Nach meinem Verst\u00e4ndnis geraten DSGVO-Verantwortliche bzw. Administratoren nun in eine recht missliche Lage: Sie erhielten Kenntnis von einem DSGVO-Versto\u00df, den sie eigentlich nicht zu verantworten haben und auch nicht beeinflussen k\u00f6nnen. Sie sind nach DSGVO aber verpflichtet, diesen Vorfall binnen 72 Stunden bei der zust\u00e4ndigen Datenschutzaufsicht anzuzeigen. Laut Kommentarlage ist dies nur bei einem Betroffenen passiert. <\/p>\n

Nachfrage bei den Datenschutzbeh\u00f6rden<\/h2>\n<\/p>\n

Weil mich das Thema umtreibt habe ich nach dem zweiten Vorfall den Bundesdatenschutzbeauftragten Ulrich Kelber (BfDI) \u00fcber dessen Pressestelle angefragt, wie das Ganze zu bewerten sei. Binnen Stunden erhielt ich vom Pressesprecher die Antwort, dass aufgrund der f\u00f6deralen Organisation des Datenschutzes in Deutschland f\u00fcr den nicht-\u00f6ffentlichen Bereich grunds\u00e4tzlich die jeweiligen Landesbeauftragten f\u00fcr den Datenschutz zust\u00e4ndig sind. <\/p>\n

Da Microsoft f\u00fcr den Betrieb von Exchange Online verantwortlich zeichnet, wurde ich gebeten, mich an die in Deutschland f\u00fcr Microsoft zust\u00e4ndigen Kolleginnen und Kollegen des Landesamtes f\u00fcr Datenschutzaufsicht Bayern zu wenden. Kontaktdaten finden sich auf der BfDI-Homepage<\/a>.<\/p>\n

Im Nachgang habe ich dann jeweils eine Anfrage an Herr Prof. Dr. Thomas Petri, Bayerische Beauftragte f\u00fcr den Datenschutz, und Herr Michael Will, Bayerische Landesamt f\u00fcr Datenschutzaufsicht, gestellt und folgendes gefragt:<\/p>\n

Frage 1:<\/b> Wird dieser [oben skizzierte] Sachverhalt von ihrem Haus auch so gesehen? <\/p>\n

Frage 2: <\/b>Besteht eine Meldepflicht gem\u00e4\u00df DSGVO bei der Datenschutzaufsicht? <\/p>\n

Frage 3: <\/b>Wer m\u00fcsste diese Meldung absetzen (Microsoft als Auftragnehmer und Anbieter von Exchange Online, oder das Unternehmen, welches Exchange Online verwendet, diesen Vorfall aber vermutlich nicht zu verantworten hat)? <\/p>\n

Gerade die letzte Frage finde ich spannend, denn es deutet sich an, dass es ein technisches Problem des Providers oder des Cloud-Anbieters Microsoft ist, welches die Anzeige fremder E-Mails oder im zweiten Fall fremder Tenant Adressb\u00fccher bewirkte. Die nutzenden Unternehmen haben m.W. keinen Einfluss darauf. <\/p>\n

Im gleichen Aufwasch habe ich dann auch noch den Storm-0558 Hack der Microsoft Azure-Cloud angesprochen (siehe diesen Blog-Beitrag<\/a>) und gefragt, ob der Vorfall f\u00fcr deutsche Unternehmen meldepflichtig war, und ob den bayerischen Landesdatenschutzbeh\u00f6rden DSGVO-Meldungen zu diesem Vorfall von Unternehmen oder von Microsoft vorliegen. Von beiden Stellen habe ich bisher aber noch keinerlei Reaktion vernommen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Innerhalb der letzten Woche gab es bei Microsofts Exchange Online zwei technische Pannen, bei denen pers\u00f6nliche Daten f\u00fcr eigentlich unbefugte Dritte sichtbar wurden. Einmal wurden wegen einer falschen SPAM-Filter-Regel ausgehende E-Mails nicht verschickt, sondern Administratoren komplett als SPAM \u00fcbermittelt. Und … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,451,987],"class_list":["post-287539","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-datenschutz","tag-storung"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287539","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=287539"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287539\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=287539"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=287539"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=287539"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}