Dieser Artikel stammt von Netzpolitik.org.
Es gilt die Datenschutzgrundverordnung: Was Crowdstrike und Microsoft in Europa droht
Am 19. Juli kam es weltweit zu erheblichen Beeinträchtigungen wegen massiver Computerausfälle. Was ist nach dem durch Crowdstrike verursachten Ausfall von Millionen Microsoft-Computern aufgrund der Datenschutzregeln in Europa zu beachten? Welche Sanktionen drohen jetzt wem? Wir haben den ehemaligen Landesdatenschutzbeauftragen von Baden-Württemberg, Stefan Brink, gefragt.
Vor zehn Tagen verschickte Crowdstrike ein fehlerhaftes Update, das Millionen Windows-Computer vorübergehend unbrauchbar machte. Sie zeigten nur noch den sogenannten „blauen Bildschirm des Todes“ an. Er erscheint, wenn das Betriebssystem Windows aufgrund eines kritischen Softwarefehlers abstürzt oder nicht geladen werden kann.
Microsoft war ursprünglich von einer Schätzung von 8,5 Millionen betroffenen Computern ausgegangen. Diese Zahl war jedoch deutlich zu gering, denn sie berücksichtigt nur die von Kunden übermittelten Absturzberichte und ließ alle Kunden außen vor, die eine solche Meldung nicht abgegeben hatten. Da bei jedem einzelnen betroffenen Computer eine manuelle Reparaturmaßnahme notwendig war, zog sich die Fehlerkorrektur über viele Stunden hin und bedeutete für zahlreiche Menschen erhebliche Nachteile.
Crowdstrike hat bereits im Namen seines Geschäftsführers George Kurtz eingeräumt, dass es zu einem vermeidbaren Fehler bei der Prüfung gekommen war, ob das Update für Kunden-Computer hätte freigegeben werden dürfen.
Wir haben Dr. Stefan Brink vom Wissenschaftlichen Institut für die Digitalisierung der Arbeitswelt (wida) in Berlin gefragt, was in Europa nach dem durch Crowdstrike verursachten Ausfall vieler Dienste im Sinne der Datenschutzgrundverordnung (DSGVO) zu beachten ist. Stefan Brink ist Jurist und ehemaliger Landesdatenschutzbeauftragter von Baden-Württemberg.
Welche Pflichten Crowdstrike hat
netzpolitik.org: Crowdstrike hat durch das fehlerhafte Update Millionen PCs weltweit lahmgelegt. Hat es dabei auch gegen Datenschutzgesetze in Europa verstoßen? Handelt es sich hier möglicherweise auch um einen Verstoß gegen Artikel 32 der DSGVO, der die IT-Sicherheit bei Verarbeitung personenbezogener Daten regelt?
Stefan Brink: Ja, die Crowdstrike Holdings, Inc. hat gegen die DSGVO der Europäischen Union verstoßen: Auch ohne Niederlassung in der EU ist die DSGVO auf das US-amerikanische Unternehmen anwendbar (Art. 3 Abs. 2 lit. a DSGVO). Denn Crowdstrike bietet auch Personen in der Union seine Leistungen an. Dabei ist es regelmäßig als Dienstleister beziehungsweise Sub-Unternehmen ein Auftragsverarbeiter gemäß Artikel 28 DSGVO.
Einen Auftragsverarbeiter treffen eigene Pflichten, etwa muss er „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person“ gewährleisten. Diese technischen und organisatorischen Maßnahmen umfassen nach Artikel 32 Abs. 1 DSGVO insbesondere, „die Fähigkeit, die […] Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Dagegen hat Crowdstrike offenkundig verstoßen, indem es über Microsoft ein Update einspielte, welches den Dienst von Microsoft millionenfach lahmlegte.
netzpolitik.org: Bei Crowdstrike ist ein Verstoß gegen die DSGVO also offenkundig, aber was ist mit Crowdstrikes Kunden?
Stefan Brink: Ob Microsoft ein eigener Datenschutzverstoß anzulasten ist, etwa bei der Heranziehung oder Beaufsichtigung „seines“ Dienstleisters Crowdstrike (vgl. Art. 28 Abs. 2 und 4 DSGVO), werden die Aufsichtsbehörden zu prüfen haben. Datenschutzrechtlich kann sich Microsoft gegenüber seinen Kunden jedenfalls nicht darauf berufen, dass die Datenverarbeitungspanne nicht von ihnen, sondern von einem Sub-Unternehmer zu verantworten wäre. Als Auftragsverarbeiter ersten Ranges treffen Microsoft stets die vollen datenschutzrechtlichen Pflichten.
Auch den Endkunden von Crowdstrike, also den Vertragspartnern von Microsoft, kann eine datenschutzrechtliche Haftung drohen, da auch sie zur Aufsicht über ihre Dienstleister verpflichtet sind und als Verantwortliche gegenüber ihren (End-)Kunden für Datenschutzverstöße geradestehen müssen. Auch hier ist eine „Entlastung“ von den Rechtsverstößen eigener Dienstleister ausgeschlossen. Wirtschaftlich mag sich das Risiko von Datenverarbeitungen verschieben lassen, datenschutzrechtlich bleibt der „Verantwortliche“, also der Vertragspartner des Endkunden, immer in der Haftung. Auch das belegt die sehr verbraucherfreundliche Konzeption der – zu Unrecht viel gescholtenen – DSGVO.
Welcher Anspruch durchsetzbar ist
netzpolitik.org: Der Crowdstrike-Vorfall betraf zweifelsohne große Mengen personenbezogener Daten, den Betroffenen ist ein Schaden entstanden. Wer könnte gegebenenfalls dafür haftbar gemacht werden?
Stefan Brink: Zunächst einmal ist den Kunden von Microsoft bei diesem angeblich „größten IT-Ausfall aller Zeiten“ ein massiver Schaden durch den Ausfall der angebotenen Dienste entstanden. Millionen von Unternehmen, etwa Fluggesellschaften, Kliniken, Supermärkte und andere Dienstleister konnten ihre vertraglichen Leistungen gegenüber Zwischen- und Endkunden nicht erbringen. Dadurch dürfte weltweit ein Schaden in Milliardenhöhe entstanden sein. Diesen können die Vertragspartner von Microsoft auf dem Zivilrechtsweg geltend machen, sowohl gegenüber Microsoft als auch gegenüber dessen Dienstleistern.
Soweit natürliche Personen von der Fehlleistung betroffen sind, kann ihr Schaden insbesondere im Verlust, aber auch in der vorübergehend fehlenden Verfügbarkeit ihrer Daten bestehen, wodurch sie gehindert wurden, ihre Ansprüche – etwa auf Beförderungsleistung – geltend zu machen. Darin kann ein Schaden gemäß Artikel 82 DSGVO zu sehen sein, der unmittelbar gegenüber dem Datenverarbeiter durchgesetzt werden kann. Zwar werden sich Endkunden in der Regel zunächst an ihren unmittelbaren Vertragspartner, etwa die Fluggesellschaft, wenden. Wenn dieser Vertragspartner aber etwa wegen Zahlungsunfähigkeit ausfällt oder nur begrenzt vertraglich haftet, kommt der Anspruch aus Artikel 82 DSGVO wieder ins Spiel und ist auch durchsetzbar.
netzpolitik.org: Das ist vielleicht etwas überraschend: Was ist das für ein Verständnis von Datenschutz, das die Nutzbarkeit personenbezogener Daten, also ein Mehr an Datenverarbeitung, schützt?
Stefan Brink: Diese Konzeption des Datenschutzes beruht auf der Idee des Grundrechts auf informationelle Selbstbestimmung, die auch von der DSGVO aufgegriffen wird: Es geht eben nicht um „Datenminimierung“ und die Zurückdrängung der Datennutzung – dieses „asketische“ Verständnis des Datenschutzes fand sich noch im alten Bundesdatenschutzgesetz. Sondern es geht um selbstbestimmte Nutzung der eigenen Daten: Wenn diese durch den Verlust ihrer Verfügbarkeit gegen den Willen des Betroffenen eingeschränkt wird, dann liegt eben eine Datenschutzverletzung vor.
netzpolitik.org: Welche Datenschutzbestimmungen haben Dienstleister, die vom Crowdstrike-Fehler betroffen waren, zu beachten? Dass personenbezogene Daten abgeflossen sind, wurde nicht berichtet. Aber besteht eine Meldepflicht gemäß der DSGVO auch für Vorfälle, wo Menschen über einen bestimmten Zeitraum keinen Zugriff auf ihre Daten haben?
Stefan Brink: Hier sind insbesondere Artikel 33 und 34 der DSGVO einschlägig, wonach im Falle einer „Datenpanne“, also einer Verletzung des Schutzes personenbezogener Daten, der Verantwortliche binnen 72 Stunden eine Meldung an die Datenschutz-Aufsichtsbehörde abzugeben hat. Der Verantwortliche ist hier der Auftraggeber der Dienstleistung von Crowdstrike, nicht der „für die Datenpanne Verantwortliche“. Angesichts der Massivität der Panne und wegen der Dauer des Ausfalls der Microsoft-Verfügbarkeit wird man nicht davon ausgehen können, dass es nicht zu Risiken für die Rechte der Betroffenen gekommen ist – diese Risiken der Nicht-Verfügbarkeit der (auch) personenbezogenen Daten haben sich ja bereits realisiert.
Also müssen alle betroffenen Unternehmen ihren Aufsichtsbehörden die Datenpanne, also den Ausfall von Microsoft über Stunden, melden. Sie müssen zudem alle betroffenen Bürgerinnen und Bürger von der Verletzung ihrer Rechte informieren, sofern von einem hohen Risiko für die Verletzung der Rechte und Freiheiten natürlicher Personen auszugehen ist. Das ist, je nachdem, welche Dienstleistung für welche Dauer ausgefallen ist, grundsätzlich zu bejahen.
netzpolitik.org: Welche Sanktionen wären nun wegen der Verstöße gegen die DSGVO denkbar?
Stefan Brink: Sofern Verstöße gegen die Bestimmungen der Datensicherheit (Art. 32 DSGVO) festgestellt werden, kommen Bußgelder gemäß Artikel 83 Abs. 4 DSGVO gegen die Auftragsverarbeiter von bis zu 10 Millionen Euro beziehungsweise zwei Prozent des gesamten weltweit erzielten Jahresumsatzes in Betracht.
Versäumen betroffene Unternehmen die Meldung der Datenpanne bei der Aufsichtsbehörde, so droht hierfür eine Geldbuße in gleicher Höhe.
netzpolitik.org: Vielen Dank für das Gespräch!
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Constanze