Ich komme einmal mehr auf den Bericht über die neuen Datenschutzrichtlinien der amerikanischen Bundeshandelskommission (FTC) zurück, der Anfang letzten Jahres veröffentlicht wurde. Diese Richtlinien geben nicht nur einen Vorgeschmack auf die Einstellung der Kommission zum Online-Datenschutz, sondern legen auch nahe, wie die neue Gesetzgebung aussehen könnte.
Ich möchte diesen FTC-Bericht noch einmal aufgreifen, da Anfang Dezember – sozusagen als Überraschung zum Jahresende – eine Anordnung an verschiedene große amerikanische Informationsvermittler (Broker) ausgegeben wurde, um mehr über deren Geschäftsmethoden zu erfahren.
In den Worten des FTC sind Informations- und Datenbroker „Unternehmen, die persönliche Informationen über Verbraucher unter Verwendung mehrerer öffentlicher und nicht öffentlicher Quellen sammeln, und diese Informationen anschließend an andere Unternehmen weiterverkaufen.“ In der Anordnung des FTC, die an neun Datenbroker geschickt wurde, wurde die Offenlegung von Informationen zu den Datenquellen, zur Datenverwaltung sowie zur Möglichkeit der Verbraucher, diese Daten einzusehen und zu korrigieren, eingefordert.
Es ist kein Geheimnis, dass die FTC eigene Vorstellungen dazu hat, wie diese Broker ihre Arbeit machen sollten. In den Richtlinien fordert die FTC ein freiwilliges Rahmenwerk zum Datenschutz, das verschiedene „wesentliche“ Grundlagen unterstützt, wie unter anderem die Datensicherheit, angemessene Grenzen für die Datensammlung, vernünftige Grenzen bei der Speicherung und Datengenauigkeit.
Während diese Grundsätze auf alle Unternehmen zutreffen, die Verbraucherdaten bearbeiten, sieht die FTC bei Datenbrokern eine Ausnahme. Der wichtigste Punkt besteht darin, dass Verbraucher keine direkte Beziehung mit diesen Unternehmen haben und der Broker in der Branche tätig ist, um diese Daten an andere zu verkaufen.
Worin liegt also das Problem?
Datenbroker sind gut darin, öffentliche Online-Berichte mit quasi privaten Informationen, die aus verschiedenen Online-Quellen wie Websites, Cookies und Handydiensten gesammelt wurden, zu verbinden, um so ein detailliertes Profil zu erstellen.
Von Wählerverzeichnissen und Listen über Wahlkampfspenden bis hin zu „anonymen“ Krankenhausdaten, Immobilienverkäufen, Hypothekenunterlagen und jetzt angeblich sogar Datensätze zum registrierten Waffenbesitz – die öffentlich verfügbaren Daten allein bieten einen guten Ausgangspunkt, um eine grobe Skizze zu erstellen. Übrigens entstanden die meisten dieser Unterlagen als Papierdokument, das im Rathaus aufbewahrt und anschließend digitalisiert wurde. Mehr zu diesem stillschweigenden Verlust der Privatsphäre später.
Je nach Verfügbarkeit von Daten und Rechenressourcen ist es dann möglich, diese Daten mit anderen anonymisierten Informationen abzugleichen und mit großer Wahrscheinlichkeit mit der Einzelperson oder Gruppe in Verbindung zu bringen, zu der diese Daten gehören. Dadurch werden auch genauere Angaben zum Verbraucherprofils deutlich.
So ist zum Beispiel mindestens einer der Datenbroker, an die die FTC die Anfrage geschickt hatte, vorgegangen: Verknüpfung der persönlichen Daten, die auf Facebook gesammelt wurden, mit persönlich identifizierbaren Informationen, die in den Datenbanken gespeichert sind. Der Broker hat seitdem seine Richtlinie zur Datensammlung über Facebook geändert.
Idealerweise möchte die FTC den Verbrauchern das Recht einräumen, auf die Daten zuzugreifen, die von Brokern gesammelt werden, um diese bei Bedarf zu korrigieren oder die Datenspeicherung ganz und gar zu verweigern. Diejenigen, die meinen Blogs folgen, sollten mit diesem Ansatz vertraut sein – er stimmt grundsätzlich mit dem Grundgedanken überein, der in der Datenschutzrichtlinie der EU enthalten ist.
Wenn wir die Tatsache akzeptieren, dass wir alle über ein Online-Profil verfügen, das kontinuierlich durch weitere öffentlich gemachte Informationen ausgeweitet wird, dann sind die Datenschutzrichtlinien der FTC angemessen.
Wenn wir die Katze aber zumindest teilweise wieder in den Sack bekommen wollen, sollten wir die einfache Verfügbarkeit von öffentlichen und staatlichen Verzeichnissen überdenken oder dem Verbraucher zumindest die Möglichkeit geben, die Speicherung seiner Daten abzulehnen.
Um öffentliche Verzeichnisse, die vor der Internet-Ära erstellt wurden, einsehen zu können, musste man früher vor Ort erscheinen und es schien nicht im öffentlichen Interesse zu liegen, diese Daten überall und umgehend verfügbar zu machen. Angeblich hat die Frage zum Datenschutz von öffentlichen Daten – vor allem hinsichtlich der Diskussion über die Kartierung des Waffenbesitzes – sowohl die Befürworter als auch die Gegner des Waffengesetz vereint, sodass viele sich mittlerweile darüber einig sind, dass wir öffentliche Verzeichnisse vielleicht doch nicht so schnell im Internet verfügbar machen sollten.
The post Datenbroker: Zu viele Informationen appeared first on Varonis Deutsch.
Wie soll ich vorgehen?
Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:
Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.
Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.
Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.