Diese Woche veruntreuen Kaspersky und Cortado Mitgliedsdaten, weil beide unfähig sind ein Newsletter-Tool statt Outlook zu verwenden

Lesedauer: 12 Minuten

Wir wollen hier niemanden in die Pfanne hauen. Die Firmennamen hätte ich auch weg lassen können, aber es geht darum deutlich zu zeigen, dass sogar große Sicherheitsfirmen noch immer unfähig sind datenschutzrechtliche Grundlagen zu beachten. Überhaupt hat man in diesen Tagen von Corona den Eindruck, Datenschutz gäbe es nicht und plötzlich ist alles erlaubt. Von der Mitnahme der Bürorechner nach Hause bis hin zu Telefonkonferenzen mit vertraulichem Inhalt im Beisein der gesamten Familie scheint alles geboten.

Was die Mitarbeiter angeht, die diese Datenschutzvorfälle ausgelöst haben, die sind arm dran denn die bekommen es zwar ab aber sie trifft wohl am wenigsten die Schuld. Datenschutz ist Chefsache! Das muss endlich in den Köpfen der Entscheider ankommen.

Hier haben sich Geschäftsführung und Datenschutzbeauftragter zu verantworten. Nicht der Mitarbeiter, der wegen der Corona-Krise wahrscheinlich neben schreienden Kindern im Home Office sitzt und versucht, das beste aus dieser grundlegend miesen Situation zu machen. Ich mutmaße er arbeitet mit den Mitteln, die ihm sein Arbeitgeber zur Verfügung gestellt hat. Und dass diese Mittel die falschen sind, hätten Geschäftsführung und Datenschutzteam ohne jeden Zweifel längst feststellen müssen.

Obwohl wir praktisch der erste Kaspersky MSP Partner („managed service provider“) in Deutschland waren – Jahre bevor es überhaupt ein „offizielles“ MSP Programm von Kaspersky gab – haben wir die Zusammenarbeit nach über einem Jahrzehnt dann doch eher stillgelegt, weil Produkt und Support nicht mehr überzeugen konnten. Wir haben nur noch vereinzelte Altkunden, die weiterhin Lösungen aus dem Hause Kaspersky einsetzen. Und dadurch erhalten wir entsprechend auch den Partnernewsletter.

Der zweite Kandidat diese Woche ist die Firma Cortado, über die wir unser MDM beziehen („mobile device management“, Software zur Verwaltung von Mobilgeräten wie z. B. iPhones). Es standen hier Wartungsarbeiten an, die per E-Mail angekündigt werden, und auch hier sind wir im entsprechenden Verteiler drin.

Empfehlung #1: Newsletter schickt man nicht mit Outlook

Als Datenschutzbeauftragter ist es praktisch bei jedem Kunden eine meiner ersten Aufgaben, den Kunden bei der Erstellung seines Verzeichnisses der Verarbeitungstätigkeiten zu unterstützen. Wieso ist das so unglaublich wichtig?

Ich bin tatsächlich der Meinung, ein Verzeichnis von Verarbeitungen1)https://dsgvo-gesetz.de/art-30-dsgvo/ ist absolut keine ABM sondern elementarer Bestandteil des betrieblichen Datenschutzes2)https://www.itk-security.de/nein-datenschutz-ist-nicht-neu/. Im Verarbeitungsverzeichnis steht nämlich jede Verarbeitung aufgelistet, bei der das Unternehmen personenbezogene Daten verarbeitet. Dazu wird aufgeführt, um was für Datenkategorien es sich handelt, welche Software für die Verarbeitung eingesetzt wird und wie die personenbezogenen Daten der Betroffenen geschützt werden.

Hätte man bei Kaspersky ein Verarbeitungsverzeichnis, in dem auch Partnernewsletter stehen oder falls es so etwas gibt, würde man sich dort auch an die eigenen Vorgaben halten, dann hätten wohl nicht an die 800 Partner diese Woche die Klartextnamen und persönlichen Mailadressen anderer Personen erhalten.

Quelle: Kaspersky Partnernewsletter vom 9.4.2020, der offenbar von Hand über ein Mailprogramm erstellt wurde und in dem knapp 800 Mailadressen von Hand in die „CC“ Zeile statt in „BCC“ kopiert wurden

Ich frage mich, wie viele derartige Vorfälle es noch braucht, bis endlich jeder verstanden hat, dass Outlook und Co. zum Versand von Newslettern ungeeignet sind. Dafür gibt es professionelle Newslettersysteme wie beispielsweise MailChimp3)https://mailchimp.com/. Zu leicht kann man sich in Outlook vertun und versehentlich alle Empfänger in das Kopie-Feld statt in das Blindkopie-Feld4)https://support.office.com/de-de/article/einblenden-ausblenden-und-anzeigen-des-bcc-felds-blind-carbon-copy-04304e27-63a2-4276-8884-5077fba0e229 kopieren und schon hat man eine Datenschutzverstoß begangen.

Empfehlung #2: Vergessen Sie die Outlook Nachricht-Zurückrufen-Funktion

Was die Microsoft-Entwickler bei dieser Funktion geritten hat, das wüsste ich auch gerne. Es mag gut gedacht sein, aber es ist einfach schlicht und ergreifend totaler Blödsinn, was Outlook da angeblich kann5)https://support.office.com/de-de/article/zur%C3%BCckrufen-oder-ersetzen-einer-nachricht-nach-dem-senden-35027f88-d655-4554-b4f8-6c0729a723a0.

Quelle: Microsoft Outlook „Nachricht zurückrufen“ Funktion

Outlook suggeriert, dass man eine bereits gesendete Nachricht noch stoppen könne, solange sie noch nicht vom Empfänger gelesen wurde.

Es gibt Sonderfälle, in denen man den eigenen Mailserver so konfigurieren kann, in dem z. B. Nachrichten in Wirklichkeit nicht sofort geschickt werden sondern erst nach zehn Minuten in der Warteschlange. In dem Fall könnte man dann tatsächlich eine bereits als verschickt geglaubte Nachricht zurück holen. Aber eben nur, weil die Nachricht noch nicht verschickt wurde. Und auch nur für den äußerst außergewöhnlichen Fall, dass man seinen Mailserver auch wirklich so eingestellt hat, was aber niemand macht weil niemand möchte bei jeder E-Mail zehn Minuten warten, bis sie verschickt wird.

Microsoft schreibt dazu: „Der Rückruf Nachrichten steht nach dem Klicken auf senden zur Verfügung und ist nur verfügbar, wenn sowohl Sie als auch der Empfänger über ein Office 365-oder Microsoft Exchange-e-Mail-Konto in derselben Organisation verfügen.“6)https://support.office.com/de-de/article/zur%C3%BCckrufen-oder-ersetzen-einer-nachricht-nach-dem-senden-35027f88-d655-4554-b4f8-6c0729a723a0. Auch diese Einschränkung sei mal in den Raum gestellt ob diese so überhaupt technisch korrekt ist, aber selbst das liest doch niemand auf den Hilfeseiten von Microsoft. Wenn Outlook eine Funktion bietet, das zeigt die Erfahrung, dann wird diese auch verwendet und bis Ultimo ausgereizt7)https://www.itk-security.de/known-issues-mit-outlook-und-auch-mit-exchange-exchange-online-office-365-microsoft-365/.

Gehen wir also vom Normalfall aus. Ich versende eine E-Mail. Diese verlässt unseren Mailserver und wird dann beim Empfänger zugestellt. Dann ist sie zugestellt. Sie können ja auch einen Brief, der im Briefkasten des Empfängers liegt, nicht zurück holen. Wer denkt sich überhaupt so bescheuerte Funktionen aus?

Stellen wir mal eine Frage an all diejenigen, die von der Nachricht-Zurückrufen-Funktion Gebrauch machen: Erklären Sie mir doch bitte einmal, wie Sie die Nachricht aus meiner Mailbox auf meinem Mailserver löschen wollen. Egal, ob ich diese schon gelesen habe oder nicht. Setzen wir doch bitte ab und zu mal ein bisschen gesunden Menschenverstand voraus und schalten unser Hirn ein.

Nein, was da passiert ist ganz einfach folgendes, ich bekomme eine weitere E-Mail an alle Empfänger (also eine zweite Datenpanne) mit der Information, dass der Versender eine Nachricht zurück rufen möchte. Dass man sogar Mitarbeitern bei Kaspersky (einem IT Sicherheitsunternehmen, das sich um die Sicherheit von E-Mails kümmert…) noch erklären muss wie E-Mails funktionieren, ist irgendwie peinlich:

Quelle: Nächste E-Mail von Kaspersky mit der Rückrufbitte

Im vorliegenden Fall folgte dann 16 Minuten später noch ein zweiter Versuch, die Nachricht zurückzurufen. Das macht es nur noch schlimmer, denn das ist dann die dritte Datenpanne und spätestens jetzt ist jedem klar, dass hier keine professionelle Newslettersoftware verwendet wurde sondern mal wieder jemand Kosten oder anderen Aufwand sparen wollte, indem er seine Newsletter „bequem“ per Outlook verschickt (mE ist das extrem unbequem, aber irgendwie scheint es dazu unterschiedliche Ansichten zu geben).

Am Abend folgt die offizielle Entschuldigung des Unternehmens:

…leider wurden heute Einladungs-Emails an zahlreiche Empfänger versehentlich ohne Blind-Copy-Funktion versandt, so dass die Emailadressen der Empfänger sichtbar waren. Die Emails waren nicht personalisiert und enthielten ansonsten keine personenbezogenen Daten. Seien Sie versichert, dass wir alle notwendigen Maßnahmen ergreifen, um diese Unannehmlichkeit zukünftig zu vermeiden.

Quelle: E-Mail von Kaspersky vom 9.4.2020 um 18:44 Uhr

Geschickt formuliert. Es wirkt so, als seien keine personenbezogenen Daten verschickt worden. Das kleine Wörtchen „ansonsten“ macht den Unterschied. Man muss den Satz schon mehrfach lesen um zu erkennen, dass hier eigentlich eingestanden wurde, dass man eben doch personenbezogene Daten verloren hat.

Denn: namentliche E-Mail-Adressen sind personenbezogene Daten.

Hinweis: Selbstverständlich haben wir die Nachrichten nach Erstellung der anonymisierten Screenshots für diesen Artikel im Rahmen der Machbarkeit und rechtlichen Zulässigkeit sofort gelöscht. Das ist aber gar nicht vollständig möglich, denn unser Ticketsystem „vergisst“ nicht und was dort einmal drin ist, kann aus Gründen der revisions- und rechtssicheren Dokumentation nicht gelöscht werden. Wären hier mit händischen Eingriffen in die Datenbank noch gewisse Möglichkeiten vorhanden, so enden diese spätestens bei der gesetzlich vorgeschriebenen E-Mail-Archivierung, die wir selbstverständlich einsetzen. Und hier, bei aller Liebe, können keine Nachrichten gelöscht werden. Selbst der Admin kann keine Nachrichten löschen, denn das ist genau der Sinn dieser rechtlich zwingenden Voraussetzung der unveränderbaren Nachweisdokumentation und Archivierung von Geschäftsunterlagen nach den Grundsätzen ordnungsgemäßer Buchführung (GoB)8)https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/2019-11-28-GoBD.pdf?__blob=publicationFile&v=9.

Empfehlung #3: Keine Massenmails per Outlook

Es muss nicht immer ein Newsletter sein. Im nächsten Fall von dieser Woche erhielten wir ein Statusupdate zu geplanten Wartungsarbeiten bei Cortado. Das ist nicht unüblich, dass man solche Nachrichten per E-Mail verschickt.

Aber auch dafür gibt es genügend Systeme wie beispielsweise https://status.io/9)https://status.io/ auf dem Markt, die einem die Arbeit abstruse Blindkopie-Nachrichten zu erstellen abnehmen. Mit solch einem – eben genau hierfür vorgesehenen – Dienst kann ein solcher Fehler in aller Regel nicht passieren.

Aber auch bei Cortado hat man offenbar die Kosten gescheut und dachte sich, solche Nachrichten könne man auch per Outlook versenden. Und das kommt dann dabei heraus:

Quelle: E-Mail von Cortado an alle Partner

Im Entschuldigungsschreiben des Geschäftsführers von Cortado ist indes nicht einmal erwähnt, dass man überhaupt irgend welche Maßnahmen ergreifen werde, um so etwas in Zukunft wirksam zu verhindern. Also auch hier kann man sich nur fragen: wo ist der Datenschutzbeauftragte des Unternehmens? Wurde er überhaupt informiert? Offenbar nicht, denn sonst sähe die Meldung der Datenpanne wohl etwas anders aus.

Empfehlung #4: Datenpannen richtig melden

Genug der Fehler anderer, was tun, wenn es dann eben doch passiert ist? Nun, als erstes empfiehlt es sich, den eigenen Datenschutzbeauftragten sofort zu informieren und mit ihm alle weiteren Maßnahmen abzustimmen. Er kennt alle rechtlichen Grundlagen und kann bewerten, was im konkreten Einzelfall zu tun ist. Denn eine Pauschalantwort gibt es nicht, es kommt auf den Sachverhalt an.

Eine Datenpanne kann eine Meldepflicht an die Aufsichtsbehörde (Art. 33 DS-GVO10)https://dsgvo-gesetz.de/art-33-dsgvo/) erzwingen, ebenso kann es eine Informationspflicht an Betroffene (Art. 34 DS-GVO11)https://dsgvo-gesetz.de/art-34-dsgvo/) geben. Auch kann es erforderlich werden, die interne Dokumentation nach Art. 33 Abs. 512)https://dsgvo-gesetz.de/art-33-dsgvo/ anzupassen.

Nichtsdestotrotz, die wirklich beste Empfehlung, die ich hier geben kann, ist:

Gehen Sie mit gesundem Menschenverstand ran und arbeiten Sie mit professionellen Tools, die für Ihren Zweck vorgesehen sind. Missbrauchen Sie Outlook (und andere Mailprogramme) nicht für den Versand von Newslettern oder anderen Massennachrichten („bulk email“).

patrick.ruppelt