Die Veröffentlichung vertraulicher Informationen von Politikern und Personen des öffentlichen Lebens hat in den vergangenen Wochen für Aufruhr gesorgt. Der anfangs als Hacking eingestufte Angriff stellte sich später als sogenanntes Doxing heraus. Was können Unternehmen aus dem Vorfall für ihre Datensicherheit lernen?
Jetzt also Doxing und nicht Hacking – Was ist passiert?
Plötzlich waren unzählige Datensätze mit privaten und vertraulichen Informationen wie Telefonnummern oder Familienbildern von tausenden Politikern und Prominenten öffentlich abrufbar. Der zwischenzeitlich gefasste Täter verbreitete die Daten über einen Twitteraccount, der im Dezember als besonderer Adventskalender jeden Tag neue Daten zugänglich machte. Die erste intuitive Reaktion lautete vielerorts „Hacking-Angriff“. Später stellte sich jedoch heraus, dass dem Vorfall wohl kein Hacking zugrunde lag. Dafür wäre z.B. das Verschaffen eines Passwortes notwendig, um an die hinter dem Passwort liegenden Daten gelangen zu können. Vielmehr ist der Angriff als Doxing einzustufen. Der Begriff Doxing kommt von Documents oder eben Docs. Die Täter sammeln beim Doxing erst systematisch Daten über ihr Opfer, um diese dann zum Schaden des Opfers zu benutzen und zu veröffentlichen.
Hacking hin, Doxing her: Für zivilrechtliche Ansprüche der Betroffenen und für das IT-Recht kommt es auf diese Unterscheidung nicht unbedingt an. Zwar knüpfen Strafgesetze eine Geld- oder Freiheitsstrafe teilweise nur an ein rechtswidriges Überwinden eines Passwortschutzes. Das wäre im Regelfall nur beim Hacking und nicht beim Doxing der Fall. Für die zivilrechtlichen Folgen ist diese Unterscheidung jedoch unerheblich: Niemand muss es sich gefallen lassen, dass private oder vertrauliche Daten wie zum Beispiel Fotos der Familie ohne vorherige Zustimmung im Internet frei zugänglich gemacht werden. Dies ist ein Eingriff in die Privatsphäre, der Unterlassungs- oder sogar Schmerzensgeldansprüche nach sich ziehen kann.
Doxing-Vorfall und Datensicherheit in Unternehmen
Für die IT-Branche sowie generell für Unternehmen ist der Vorfall nicht zuletzt deshalb erheblich, weil er eine Debatte über den Status Quo der Datensicherheit anstieß. Die Pflicht, Sicherheitsmaßnahmen einzuhalten, gilt unabhängig von konkreten Angriffen wie Hacking oder Doxing. Denn wirksame Datensicherheitsmaßnahmen können illegale Angriffe auf Daten von Anfang an verhindern oder zumindest erheblich erschweren. Unternehmen sollten die aktuellen Doxing- und Hacking-Vorfälle deshalb zum Anlass nehmen, ihre Maßnahmen zur Datensicherheit verstärkt auf den Prüfstand zu stellen.
Strenger Maßstab der Datenschutz-Grundverordnung zur Datensicherheit
Die Datenschutz-Grundverordnung (DSGVO) bestimmt zur Datensicherheit in Artikel 32, dass das für die Datenverarbeitung verantwortliche Unternehmen technische und organisatorische Maßnahmen zur Datensicherheit umsetzen muss. Diese Maßnahmen müssen ein dem Risiko angemessenes Schutzniveau gewährleisten. Es kommt dabei im Einzelfall darauf an, wie „gefahrgeneigt“ die Tätigkeit des datenverarbeitenden Unternehmens ist: Verarbeitet das Unternehmen Gesundheits- oder Finanzdaten, eventuell sogar von Kindern oder von anderen schutzbedürftigen Personen, so sind robustere Sicherheitsmaßnahmen notwendig, als wenn das Unternehmen „lediglich“ Adressdaten verarbeitet.
Für Unternehmen kann es teuer werden, wenn sie den Sicherheitspflichten nicht nachkommen: Die DSGVO sieht für eine Verletzung der Pflicht zur Datensicherheit Geldbußen von bis zu 10 Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Umsatzes vor. Hier können schnell Millionenbeträge fällig werden. Auch deshalb sollten Unternehmen bei der Datensicherheit genau hinsehen. Es ist zu erwarten, dass die Datenschutzbehörden Unternehmen bei fehlenden oder unzureichenden Datensicherheitsmaßnahmen vermehrt heftig auf die Finger hauen werden.
Im Vergleich zur bisherigen Rechtslage stellt Artikel 32 DSGVO strengere Vorgaben auf. So müssen Unternehmen erwägen, ob sie die Daten nicht auch genauso gut pseudonymisiert verarbeiten können. Zudem müssen sie die Wirksamkeit der getroffenen Maßnahmen bewerten und regelmäßig überprüfen. Neben den direkt im Unternehmen umsetzbaren Maßnahmen wie beispielsweise die Nutzung von komplexen Passwörtern und die Zwei-Faktor-Authentifizierung müssen Unternehmen auch auf ihre datenempfangenden Dienstleister achten und sicherstellen, dass diese gleichfalls den Datenschutz einhalten. Dies wird durch entsprechende Vereinbarungen mit den Dienstleistern gewährleistet, die ebenfalls den Grundsätzen der Datensicherheit aus Artikel 32 DSGVO genügen müssen.
Im Ergebnis ist es für Unternehmen empfehlenswert, mit einer Risikoanalyse auf Basis der Datenverarbeitungsvorgänge zu beginnen. Diese bestimmt den Umfang der zu treffenden Sicherheitsmaßnahmen. Zudem sollten Unternehmen eine Data Protection Policy verabschieden, die adäquate Sicherheitsmaßnahmen festlegt, den Datenschutz im Unternehmen z.B. durch Schulung der Mitarbeiter absichert und die getroffenen Datenschutzmaßnahmen regelmäßig wieder zur Überprüfung an die Oberfläche holt. Zugleich können Unternehmen ein Löschkonzept für nicht mehr benötigte Daten beschließen. Darüber hinaus sollte allen Unternehmen auch das Stichwort „Privacy by design“ ein Begriff sein – Datenschutz sollte bereits in der Technikgestaltung und durch Voreinstellungen berücksichtigt werden. Auf diesem Wege können Unternehmen den wichtigsten Datenschutzgrundsätzen Genüge tun.
Dr. René Sandor ist Rechtsanwalt bei CMS und berät Mandanten zum deutschen und europäischen Datenschutzrecht, insbesondere zur Umsetzung der Datenschutz-Grundverordnung und zum internationalen Datentransfer.