Öffentliche Benachrichtigung nach § 34 KDG (Gesetz über den Kirchlichen Datenschutz)

 

Sehr geehrte Damen und Herren,

dies ist eine öffentliche Benachrichtigung wegen eines datenschutzrechtlich relevanten Vorfalles. Falls Sie mit uns bis Dezember 2023 mit uns in Kontakt standen, können wir nicht ausschließen, dass theoretisch auch Ihre Daten davon betroffen sind. Ein Risko bestand lediglich für einen sehr kurzen Zeitraum vom 11.12. bis zum 14.12.2023. Seit 14.12.2023 sind unsere Systeme alle wieder gesichert.

Wir möchten Ihnen im Folgenden erklären, worum es geht und was dies für Sie theoretisch bedeuten kann.

Diese öffentliche Benachrichtigung nach § 34 KDG (Gesetz über den Kirchlichen Datenschutz) richtet sich an alle, deren personenbezogene Daten wir in unseren IT-Systemen auf Ebene der allgemeinen Verwaltung verarbeiten.

Am 11.12.2023 ereignete sich ein erfolgreicher Phishing-Angriff auf eines unserer Systeme mit der Folge, dass für etwa drei Tage die Zugangsdaten eines Verwaltungsaccounts für unbefugte Personen theoretisch zugänglich war. Wir konnten weder ungewöhnliche Zugriffe, noch sonstige Auswirkungen auf unser System oder Daten feststellen. Wir können aber nicht mit nachweisbarer Sicherheit ausschließen, dass doch Daten entwendet wurden. Unser IT-Dienstleister hat uns mitgeteilt, dass ein Datenverlust als unwahrscheinlich einzustufen ist. Aufgrund dieses Restrisikos erteilen wir Ihnen dennoch diese Information in Form einer öffentlichen Benachrichtigung.

Wir haben keinerlei Feststellungen darüber, dass bestimmte personenbezogene Daten aus unseren Systemen bzw. speziell Ihre personenbezogenen Daten, sofern wir diese in unserem System zum damaligen Zeitpunkt gespeichert hatten, konkret betroffen sind. Gleichwohl können wir nicht ausschließen, dass personenbezogene Daten im Zusammenhang mit der Sicherheitslücke von Dritten abgegriffen wurden.

Als Vorsichtsmaßnahme haben wir unverzüglich unsere Systeme und Netzwerkverbindungen geprüft und die Herstellervorgaben unserer Softwareanbieter umgesetzt. Wir haben alle empfohlenen Maßnahmen der Aufsichtsbehörden zur Beseitigung der Sicherheitslücke beachtet.

Wir haben unverzüglich nach Kenntnis von der Sicherheitslücke eine Anfrage bei der für uns zuständigen Datenschutz-Aufsichtsbehörde, dem Katholischen Datenschutzzentrum in Frankfurt am Main, gestellt. Von dort aus wurden wir ergänzend beraten und dabei unterstützt, die IT-Sicherheit wiederherzustellen. Mit entsprechender Unterstützung haben wir den Vorfall zudem als Datenschutzverletzung i.S.d. § 33 KDG eingestuft und das Risiko für möglicherweise betroffene Personen als „nicht völlig unerheblich“ i.S.d. § 34 KDG bewertet. Daher stellen wir Ihnen diese Informationen zur Verfügung.

Wir nehmen den Vorfall sehr ernst und arbeiten daran, weiterhin die Folgen der Sicherheitslücke und mögliche Auswirkungen für die Zukunft zu analysieren. Unser Ziel ist es, jegliche Auswirkungen auf personenbezogene Daten in unseren Systemen zu begrenzen und auszuschließen. Für Sie besteht aktuell kein Handlungsbedarf. Wir haben alles veranlasst, was möglich ist, um Auswirkungen der Microsoft-Sicherheitslücke zu verhindern.

Insbesondere wenn Sie im E-Mail-Kontakt mit uns standen, wäre denkbar, dass z. B. Ihre E-Mail-Adresse davon betroffen ist. Möglich wäre die bei Kommunikation, mit E-Mail-Adressen, welche die Domain „@caritas-loerrach.de“ geführt wurde. Für Sie besteht in diesem Zusammenhang kein konkreter Handlungsbedarf. Wir haben keinen Hinweis darauf, dass gezielt nach bestimmten (Ihren) Daten gesucht wurde.


Allgemein gilt dennoch:

Sollten Sie jedoch Anhaltspunkte für eine missbräuchliche Verwendung Ihrer personenbezogenen Daten haben, empfehlen wir Ihnen, eine Anzeige bei Ihrer örtlichen Polizeibehörde zu erstatten. Ein sogenannter Identitätsmissbrauch, wenn also Dritte vortäuschen, in Ihrem Namen aufzutreten, ist eine Straftat.

Generell sollten Sie sich der Gefahr bewusst sein, dass Kriminelle, die, auf welche Weise auch immer, in den Besitz Ihrer personenbezogenen Daten gekommen sind, diese verwenden könnten, um Sie zu manipulieren, beispielsweise um weitere Informationen über Sie oder Dritte zu bekommen oder Sie zu einer unberechtigten Geldüberweisung oder Ähnlichem zu veranlassen. Dies gilt insbesondere bei Benutzung des Internets. Eine Gefahr kann z. B. auch von Dateianhängen an E-Mails, die von nicht vertrauenswürdigen Absendern stammen, ausgehen.

Denkbare Risiken einer missbräuchlichen Verwendung personenbezogener Daten können gesellschaftliche und wirtschaftliche Nachteile bzw. Reputationsschäden sein.

Bitte achten Sie insbesondere bei der Nutzung digitaler Medien auf Anzeichen, die kriminelle Handlungen zu Ihren Lasten nahelegen.

Bei Rückfragen stehen wir Ihnen gerne unter den nachfolgenden Kontaktinformationen zur Verfügung:

Caritasverband für den Landkreis Lörrach e. V.
Haagener Str. 17
79539 Lörrach
Telefon: +49 (7621) 92 75-0
E-Mail: info[at]caritas-loerrach.de


Kontaktinformationen unseres externen Datenschutzbeauftragten:

Jörg M. Leuchtner (Rechtsanwalt)
Freiburger Datenschutzgesellschaft mbH
Luisenstr. 5, 79098 Freiburg
Tel.:  + 49 (0) 761 - 2171 6550
E-Mail: info[at]freiburger-datenschutzgesellschaft.de


Über weitere Erkenntnisse in diesem Zusammenhang werden wir bei Bedarf an gleicher Stelle informieren.

Mit dieser öffentlichen Bekanntmachung nach § 34 KDG erfüllen wir unsere gesetzliche Verpflichtung, Sie insbesondere vor einem möglichen Datenmissbrauch zu warnen.


Mit freundlichen Grüßen

Geschäftsführung/Vorstand