Wie die Heinekingmedia GmbH auf ihrer Website im Bereich Systemstatus DSB mitteilt, wurde ein Dienstleister des Anbieters Opfer eines Cyberangriffs. Betroffen waren durch den mit dem Angriff verbundenen Ausfall von Servern des Dienstleisters die Anwendungen Digitales Schwarzen Bretts®, DSBmobile®-App und Mediabox. Es geht um den Dienstleister myLoc managed IT AG (vormals MIVITEC GmbH). Aus einem Schreiben, welches Kunden der beschriebenen Plattformen zuging, und über den Systemstatus wurde über die Datenpanne informiert. Dem Anbieter hatte die erste Information zum Vorfall durch seinen Dienstleister am 19.05.2023 um 10:51 Uhr erhalten und diese Information direkt im Systemstatus mitgeteilt. Kunden konnten dann bereits nicht mehr auf ihre Anwendungen zugreifen. Zu dem Zeitpunkt war jedoch noch nicht klar, was Ursache des Ausfalls war. Um 17 Uhr konnte Heinekingmedia seinen Kunden dann mitteilen: „Der Anbieter unserer Rechenzentren, Mivitec, ist in der vergangenen Nacht Opfer eines gezielten Cyberangriffes gewesen.“ Außerdem ließ man die Kunden wissen, dass Cyber-Security-Experten im Einsatz seien und man Ermittlungsbehörden (Bundesamt für Sicherheit in der Informationstechnik und das Landeskriminalamt (München und Düsseldorf)) und die verantwortlichen Datenschutzbehörden ( Bayrische Landesamt für Datenschutzaufsicht) informiert seien. Am 22.05.2023 erfuhren Kunden dann auf der Website des Anbieters, dass man im Rechenzentrum des Dienstleisters nicht von einer Offenlegung von Daten gegenüber Unbefugten ausgehe, sondern lediglich von einer Einschränkung der Verfügbarkeit der Dienste des Anbieters. Im Schreiben an die Kunden mit Stand vom 22.05.2023 geht man dann mehr ins Detail. Demnach wurde das Rechenzentrum Opfer einer Cyberattacke mittels eines Verschlüsselungstrojaners. „Bisher geht der Rechenzentrumbetreiber davon aus, dass keine Veränderung an den Datensätzen stattgefunden hat und auch die Vertraulichkeit der Daten nicht gefährdet ist. Zum gegenwärtigen Kenntnisstand ist lediglich die Verfügbarkeit der Daten nicht gegeben.“ Im Schreiben werden dann Kategorien personenbezogener Daten und Personengruppen aufgeführt, welche vom Vorfall betroffen sein könnten.
Mögliche vom Datenschutzvorfall betroffene Kategorien von personenbezogenen Daten, in Abhängigkeit von der Konfiguration und den im DSB abgelegten Dokumenten werden im Schreiben wie folgt angegeben:
- „Personenstammdaten (Name & Vorname, Geburtsdatum, Anschrift/Adresse)
- Weitere Identifikationsdaten (Zugangs- bzw. Accountdaten, Initialpasswörter)
- Weitere Angaben im Kontext des Beschäftigungsverhältnisses (z. B. Beurteilungen, Entwicklungsmaßnahmen/Schulungen usw.
- Inhalte, die von Ihnen in die Digitalen Schwarzen Bretter eingegeben wurden (z.B. Bilder, Videos, Microsoft PowerPoint-, Excel- und Word-Dateien, Websites, PDF- Dokumente)„
Als möglicherweise vom Datenschutzvorfall betroffene Kategorien von Betroffenen werden aufgeführt:
- Beschäftigte (Lehrkräfte, Mitarbeiter der Schule)
- Kunden/ Kundinnen
- Kinder/ Minderjährige (im Zusammenhang Schule Schülerinnen und Schüler)
Heinekingmedia empfiehlt den betroffenen Schulen „dringend, ihren Datenschutzbeauftragten zu informieren und eigene Sicherheitsmaßnahmen sowie eine Risikobeurteilung zur Bestimmung möglicher Melde- und Benachrichtigungspflichten vorzunehmen.“ Mehr als die dem Anbieter selbst „bekannten objektiven Anhaltspunkte für eine Datenschutzverletzung“ mitzuteilen, könne man nicht.
Bewertung
Wie aus den Informationen zu entnehmen, ging es den Angreifern nicht speziell um Schuldaten des Anbieters Heinekingmedia GmbH, sondern den Dienstleister. Auch die Anwendungen anderer Anbieter waren und sind betroffen. Für Schulen ist der Vorfall zunächst einmal ärgerlich, da ihnen ihre digitalen Schwarzen Bretter, über welche Stundenpläne und andere Informationen leicht zur Verfügung gestellt werden können, nicht zur Verfügung stehen. Aber es geht um mehr, um eine Datenschutzverletzung gem. Art. 4 Abs. 12 DS-GVO1„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden„ und die erfordert von den Schulen Handeln.
Sie haben gemäß Art. 33 Abs. 1 DS-GVO 72 Stunden Zeit, gerechnet ab dem Zeitpunkt zu welchem ihnen der Datenschutzvorfall vom Auftragsverarbeiter gemeldet wurde, um den Vorfall an die für sie zuständige Aufsichtsbehörde zu melden, wenn durch den Vorfall ein Risiko für die Rechte und Freiheiten der Betroffenen, hier der Schüler, Lehrkräfte und Mitarbeiter der Schule entstanden ist. Dafür müssen sie zunächst einmal das Risiko ermitteln, um dann zu entscheiden, ob eine Meldung erforderlich ist.
Im Fall der hier betroffenen Anwendungen dürfte bei den meisten Schulen von keinem oder nur einem sehr geringen Risiko auszugehen sein.
- Aus dem Verlust der Verfügbarkeit durch die Verschlüsselung der Daten auf den Servern des Dienstleisters sollte sich an keiner Schule ein Risiko ergeben, da die Inhalte im Digitalen Schwarzen Brett immer nur Kopien von Dokumenten und diese weiterhin verfügbar sind.
- Zum gegenwärtigen Zeitpunkt geht man davon aus, dass die Angreifer keine Daten veränderten und auch die Vertraulichkeit nicht gefährdet ist. Das heißt, selbst wenn Schulen in den betroffenen Anwendungen von Heinekingmedia personenbezogene Daten verarbeitet haben, deren unbefugte Offenlegung gegenüber Dritten zu einem Risiko für die Betroffenen führen könnten, ist von diesem nach aktuellem Stand der Informationen nicht auszugehen.
Sollte eine Schule in ihrer Risikobeurteilung doch zu dem Ergebnis kommen, dass mehr als nur ein geringes Risiko vorliegt, müsste sie eine Meldung an die für sie zuständige Aufsichtsbehörde machen und gemäß Art. 34 DS-GVO auch die Betroffenen informieren, sofern für diese ein hohes Risiko vorliegt.
Hinweis: Schulen, die das Digitale Schwarze Brett nicht über den Anbieter nutzen, sondern selbst hosten oder durch ihren Schulträger hosten lassen, sind von diesem Datenschutzvorfall nicht betroffen.
Empfehlung
Auch wenn die meisten Schulen recht schnell zu dem Schluss kommen werden, dass für Schüler, Lehrkräfte und Mitarbeiter der Schule durch den Datenschutzvorfall bei den Anwendungen von Heinekingmedia kein Risiko oder nur ein nur ein geringes Risiko für die Rechte und Freiheiten dieser Personen entstanden ist, sollten sie die Sache damit nicht einfach ad acta legen. Gemäß Art. 33 Abs. 5 DS-GVO sind die Verantwortlichen verpflichtet, diese Datenschutzverletzung zu dokumentieren, um sie bei Bedarf der Aufsichtsbehörde vorlegen zu können. Letzteres wäre der Fall, wenn diese im Zusammenhang mit diesem Datenschutzvorfall die Einhaltung von Art. 33 DS-GVO an den Schulen überprüfen würde.
Dokumentation mein hier die der „Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen.“ Dazu gehören der zeitliche Ablauf, das Informationsschreiben des Anbieters selbst, die Risikobeurteilung zur Bestimmung möglicher Melde- und Benachrichtigungspflichten und gegebenenfalls die Meldung an die Aufsichtsbehörde selbst und die Benachrichtigung der Betroffenen. Welche Informationen die Meldung an die Aufsichtsbehörde mindestens enthalten muss, ist in Art. 33 Abs. 3 DS-GVO festgehalten. Abhilfemaßnahmen können Schulen in diesem Fall selbst nicht treffen.
In NRW können Schulen Datenpannen über das Portal der LDI NRW online melden. Dazu gibt es dort ein Webforumlar und ergänzend eine Anleitung zur Nutzung des Webformulars für Meldungen nach Art. 33 DS-GVO. Schulen in anderen Bundesländern müssen sich bei ihren Aufsichtsbehörden orientieren, wie dort eine Meldung gemacht werden kann.
Hinweise zur Risikobeurteilung finden sich in einer Orientierungshilfe zur Meldepflicht aus Bayern (PDF) ab Seite 21.
Betroffene Schulen sollten auf jeden Fall auch den oder die für sie zuständige(n) Datenschutzbeautragte(r) über den Vorfall informieren und sich gegebenenfalls bei der Risikobeurteilung und Dokumentation unterstützen lassen.
Nachtrag vom 25.05.2023: Ein behördlich bestellter schulischer Datenschutzbeauftragter, der bei der LDI NRW nachgefragt hat, teilte mit: „nach Rücksprache mit der LDI sind keine weiterführenden Maßnahmen der Schulen nötig, da nach bisherigem Kenntnisstand ausschließlich die Verfügbarkeit der Daten eingeschränkt ist – die Vertraulichkeit jedoch nicht gefährdet ist.„
Das bedeutet, es ist nicht erforderlich, eine Meldung an die Aufsichtsbehörde zu machen. Die Dokumentation des Datenschutzvorfalls, wie oben beschrieben, sollte trotzdem vorgenommen werden. Viel Arbeit ist es nicht. So hat man es als Schule mal gemacht. Der nächste Datenschutzvorfall kommt gewiss.
Man dürfte davon ausgehen können, dass auch die Aufsichtsbehörden der anderen Bundesländer die Lage ähnlich bewerten.