Nach dem Aufdecken der Sicherheitslücke in der Open-Source-Software log4j und deren Einstufung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als extrem kritisch, sind viele Unternehmen in Aufruhr. Mögliche Kompromittierungen können weitreichende Folgen haben, auch im Bereich des Datenschutzes.
Aufgrund der hohen Anzahl der bisher bekannten, betroffenen Softwareprodukte, IT-Systeme und -Dienste, besteht ein akutes Risiko der Verletzung des Schutzes der mittels dieser verarbeiteten, personenbezogenen Daten durch unbefugten Zugriff, Manipulation oder Datendiebstahl. Eine derartige Verletzung führt in der Regel auch zu einer meldepflichtigen Datenpanne im Sinne der DSGVO.
Als Konsequenz kann es nötig sein, die zuständige Datenschutzbehörde über die Datenpanne zu informieren; diese Meldung muss binnen 72 Stunden erfolgen. Daneben kann es auch erforderlich sein, betroffene Personen persönlich oder öffentlich zu benachrichtigen. Bei Verstößen gegen diese Melde- und Benachrichtigungspflichten drohen hohe Geldbußen, das gilt auch bei verspäteter Meldung.
Als Datenschutzverantwortliche(r) eines Unternehmens sollten Sie in enger Abstimmung mit Ihrer IT- oder Informationssicherheitsabteilung die entstehenden Datenschutzrisiken nachverfolgen. Es gilt dabei, die Handlungsbedarfe zu erkennen („Was ist möglicherweise unsicher?“), die betroffenen Daten zu identifizieren („Welche Daten sind bedroht?“) und mögliche Risiken durch entsprechende Maßnahmen zu begrenzen („Was können wir tun, um das Problem zu lösen?“). Nur so haben Sie eine Chance, mögliche Datenpannen frühzeitig zu erkennen oder gänzlich zu vermeiden und die erforderlichen Schritte einzuleiten, und haben gleichzeitig die Möglichkeit, angemessenen technischen Datenschutz zu gewährleisten.