Die neue Datenschutzumgebung: Europäische Union weist den Weg für personenbezogenen Datenschutz

von Andy Green Uns allen ist die Gefahr bewusst, versehentlich unsere Sozialversicherungsnummer preiszugeben. Aber gibt es auch andere weniger personenbezogene oder gar anonyme Daten, die zusammengenommen wie eine Sozialversicherungsnummer funktionieren? Mit...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 28. Oktober 2021

von Andy Green

Uns allen ist die Gefahr bewusst, versehentlich unsere Sozialversicherungsnummer preiszugeben. Aber gibt es auch andere weniger personenbezogene oder gar anonyme Daten, die zusammengenommen wie eine Sozialversicherungsnummer funktionieren? Mit dem Reformpaket für europäische Vorschriften beschreitet die Europäische Union neue Wege im Verbraucherdatenschutz. Die Überlegungen der EU zur persönlichen Identität haben ihren Weg bis über den Teich und in die neu vorgeschlagenen US-Regelungen geschafft.

Die ersten Vorschriften über Verbraucherdatenschutz und Datensicherheit der Europäischen Union wurden mit der Datenschutzrichtlinie von 1995, der EU 96/46EG für Sicherheitsexperten, eingeführt. EU-Richtlinien bieten einen Leitfaden für die Gesetzgebung der Mitgliedsstaaten, die dann ihre eigenen spezifischen Gesetze ausarbeiten können. Die EU-Datenschutzrichtlinie hatte einen großen Einfluss auf die Gestaltung des Vokabulars und, wenn auch weniger freiwillig, auf den Jargon der Diskussion zum Verbraucherschutz auf beiden Seiten des Atlantiks.

In den USA war der Ausgangspunkt für die Diskussion zum Datenschutz der Sarbanes-Oxley-Act (SOX), der 2002 zum Gesetz wurde. Vergleicht man die beiden, könnte man sagen, dass die EU-Datenschutzrichtlinie eher auf den Schutz von Verbraucherinformationen, und dabei vor allem – im Gegensatz zum SOX – auf die Abdeckung von öffentlichen und privaten Unternehmen ausgerichtet war. Bis zum heutigen Tag gibt es in den USA kein eigenständiges und umfassendes Gesetz zum Verbraucherdatenschutz.

Die ursprüngliche Richtlinie der EU ist von großer Bedeutung, da sie persönliche Daten als „Informationen über eine bestimmte oder bestimmbare natürliche Person“ definiert. Laut der EU-Richtlinie gehören zum Beispiel die Hausanschrift, der Name und die Telefonnummer zu persönlichen Daten; Größe, Augenfarbe und das Auto, das man fährt, jedoch nicht. Diese Auffassung zu persönlichen Daten als eine Art Schlüssel ist Teil der Definition, die von Datenschutzgesetzen außerhalb der EU verwendet wird – darunter auch in den USA. In Nordamerika wurde jedoch ein eigener Begriff für persönliche Daten eingeführt: personenbezogene identifizierbare Informationen oder PII.

Nebenbei bemerkt haben die EU-Regulierungsbehörden bewusst einen weniger eindeutigen Begriff für persönliche Daten eingeführt, sodass neue Technologien darunter aufgenommen werden können. Seit 2012 zählen auch die E-Mail- sowie IP-Adresse und in einigen EU-Ländern sogar Fotos zu personenbezogenen identifizierbaren Informationen.

Um die Entwicklung bis heute zusammenzufassen; Sicherheitsexperten stellten fest, dass es neben den persönlichen Daten auch andere Informationen gibt (sozusagen quasi persönliche Daten), die bei einer Offenlegung ebenfalls zurück zur entsprechenden Person führen würden. Die Datenmagie, die genutzt wird, um eine Identifizierung zu ermöglichen, ist ein Abgleich der anonymen Datenpunkte, wie Geburtstag (oder -jahr), Postleitzahl, Ethnizität und vielleicht sogar die Automarke anhand öffentlich verfügbarer Datenbanken.

Es gibt zum Beispiel gut dokumentierte Fälle, in denen anonymisierte Entlassungsberichte aus einem Krankenhaus zur Identifizierung der Patienten genutzt wurden.

Mit mehr als 1 Milliarde registrierter Benutzer bei Facebook lässt sich sicher sagen, dass das Web einen Überschuss an persönlichen Daten mit allen Detailstufen bietet. Große soziale Netzwerke haben Hackern – den neuen ominösen Mitspieler in diesem Sektor – eine unerschöpfliche Quelle an Daten zum Abgleich bereitgestellt (vgl. Matt Honan).

Um besser verstehen zu können, wie eine Einzelperson nachträglich identifiziert werden kann, sollten wir uns eine Variante des zuvor erwähnten Falls ansehen. Während die Technik keine Garantie dafür ist, eine Person eindeutig identifizieren zu können (da dies von den jeweils verfügbaren Informationen abhängt), wird in vielen Fällen eine engere Liste von möglichen Zielpersonen erstellt.

Gehen wir rein hypothetisch davon aus, dass eine europäische Hypothekenbank einen Gesundheitsbericht von einem großen öffentlichen Krankenhaus auswertet. Die Berichte zeigen, dass fünf Einzelpersonen in Behandlung für eine seltene Krankheit waren. Auch das Alter der Personen wurde veröffentlicht. In der Annahme, dass die Patienten in der Nähe des Krankenhauses leben, filtert der Hypothekengeber einfach seine Datenbank nach der Postleitzahl und dem Geburtsjahr. Die dadurch erhaltenen kleineren Datensätze ermöglichen das Durchsuchen von sozialen Netzwerken oder Online-Foren sowie ein Filtern der abgefragten Namen und Daten, während nach „Gute Besserung“-Nachrichten gesucht wird. Der Hypothekengeber findet einige Treffer und dank der zusätzlichen neuen Datenpunkte der sozialen Seite kann die Person identifiziert werden.

Die gute Nachricht ist, dass EU-Länder schon lange erkannt haben, dass ihre Gesetze nicht mehr auf dem neuesten Stand sind. Der EU-Verwaltungsrat ist aktuell dabei, eine Reformierung der Richtlinie von 1995 zu bewirken, die die Verbreitung der öffentlichen Daten im Web und das Unkenntlichmachen von persönlichen und anonymen Daten berücksichtigt. Um mehr über den neuen Standpunkt der EU zu persönlichen Daten zu erfahren, werfen Sie einen Blick auf dieses Dokument.

Und auch in den USA gibt es Gerüchte zur Änderung der Datenschutzbestimmungen im Sinne der EU-Reform.

Ich werde in der Zukunft mehr über die Gesetze in den USA schreiben und was dies für die Datenschutzrichtlinien Ihres Unternehmens bedeutet.

Fotocredit: http://en.wikipedia.org/wiki/File:Institutions_europeennes_IMG_4300.jpg

The post Die neue Datenschutzumgebung: Europäische Union weist den Weg für personenbezogenen Datenschutz appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

erwischt:-geheime-piis-in-ihren-unstrukturierten-daten!
Erwischt: Geheime PIIs in Ihren unstrukturierten Daten!
Personenbezogene, identifizierbare Informationen, kurz PII, sind relativ intuitiv. Wenn Sie die Telefonnummer, Sozialversicherungsnummer oder Kreditkartennummer von jemandem kennen, haben Sie eine direkte Verbindung zu dessen Identität. Hacker nutzen diese Erkennungsdaten...
aktuelle-analyse-der-finra-zu-cyberkriminalität
Aktuelle Analyse der FINRA zu Cyberkriminalität
Ein Hacker-Diebstahl von Passwörtern, Kreditkarten- und Sozialversicherungs-nummern kann zu immensen finanziellen Verlusten führen. Doch sehen wir uns ein Worst-Case-Szenario an: Was passiert, wenn Hacker sich Zugang zu unseren Renten- und...
gerüstet-für-die-eu-datenschutz-grundverordnung
Gerüstet für die EU-Datenschutz-Grundverordnung
Mit dem Ende der Trilog-Verhandlungen im Dezember 2015 wurde die endgültige Fassung der EU-Datenschutz-Grundverordnung (DS-GVO) verabschiedet. In der unendlichen Geschichte der kurz „DS-GVO“ genannten Verordnung waren immer wieder neue Hürden...
die-eu-datenschutz-grundverordnung-ist-beschlossen-–-was-sie-jetzt-wissen-sollten
Die EU-Datenschutz-Grundverordnung ist beschlossen – Was Sie jetzt wissen sollten
Inzwischen ist die EU-Datenschutz-Grundverordnung (DS-GVO), die von einigen schon als „Meilenstein des digitalen Zeitalters“ bezeichnet wird, endgültig beschlossen. Wir haben uns bereits häufiger mit der Geschichte der DS-GVO beschäftigt, für...