Das „Recht auf Vergessenwerden“ ist ein Schlüsselelement der neuen EU-Datenschutz-Grundverordnung (DSGVO) – das Konzept ist aber schon etwa fünf Jahre älter als die aktuelle Gesetzgebung. Es umfasst das Recht der Verbraucher, mit einem Antrag die Löschung aller personenbezogenen Daten bei einem Unternehmen – oder des „Verantwortlichen“ in DSGVO-Terminologie – zu verlangen. Aber es geht noch weiter: Die Bestimmungen DSGVO (siehe Artikel 17) sehen vor, dass Suchmaschinen wie Google Verweise auf personenbezogene Daten löschen müssen, die in den Suchergebnissen öffentlich auftauchen.

Sie wollen wissen: Was muss ich für die DSGVO tun?

Die DSGVO tritt in weniger als 40 Tagen in Kraft – aber es ist noch früh genug, um sich vorzubereiten. Der erste Schritt für die Vorbereitung auf die drohende Deadline ist das Erkennen und Klassifizieren Ihrer DSGVO-Daten.

Ich hatte mir fest vorgenommen, den 80-seitigen Bericht des Weltwirtschaftsforums (WWF) über die globalen Risiken mit denen die Menschheit heute konfrontiert ist, durchzulesen. Das sind dieselben Leute, die alljährlich für die Versammlung der Banker und anderen unerfreulichen Gestalten verantwortlich sind, die in einem beliebten Schweizer Skigebiet stattfindet. Ich hatte gehört, es gebe in diesem Bericht ein interessantes Kapitel über … Datenschutz! Und da war es nun. Datenschutz ist ein Bestandteil eines Berichts, der das Führungspersonal der Welt auch dabei unterstützen soll, mit Themen wie Klimawandel, nuklearer Vernichtung, Pandemien, ökonomischen Krisen, Hunger und Terrorismus fertig zu werden. Wie ernst müssen Risiken durch Cyberangriffe genommen werden? Bei Betrachtung der Folgen schafft es die digitale Kriegsführung in die Top Ten der globalen Probleme, und zwar auf den sechsten Platz zwischen den Wasser- und Ernährungskrisen. Damit schlägt Sie die Verbreitung von Infektionskrankheiten, die auf Platz 10 liegen. Bei Ihr handelt es sich bildlich gesprochen um einen fünften Reiter der Apokalypse. Zu den besorgniserregenden Fakten, die das WWF den Präsidenten, Premierministern, Kanzlern und Königen der Welt zur Kenntnis gebracht hat, gehörte, dass 2016 über 350 Millionen Malware-Varianten auf die Welt losgelassen wurden und dass Malware bis zum Jahr 2020 möglicherweise ihren Weg auf über 8,4 Milliarden IoT-Geräte finden könnte. Die Weltbevölkerung liegt derzeit bei etwa 7,6 Milliarden. Wir werden also bald gegenüber schlecht abgesicherten, mit dem Internet verbundenen siliziumbasierten Gadgets in der Unterzahl sein. Das ist kein sehr beruhigender Gedanke. Das WWF hat danach versucht, den wirtschaftlichen Schaden von Malware zu berechnen. Einer zitierten Studie zufolge werden die globalen Kosten in den nächsten fünf Jahren bei über 8 Billionen USD liegen. Die düster gestimmten Autoren des WWF heben die wirtschaftlichen Auswirkungen von Ransomware hervor. Petya und NotPetya haben im Jahr 2017 vielen Unternehmen hohe Kosten verursacht. Merck, FedEx und Maersk haben zum Beispiel jeweils Gewinneinbußen von über 300 Millionen USD im vergangenen Jahr als Folge der NotPetya-Angriffe gemeldet. Ein systemisches Risiko: Wir sind alle verbunden Die Auswirkungen von Malware gehen jedoch über die Wirtschaft hinaus. Einer der wichtigsten Punkte im Bericht ist, dass Hacker auch die physische Infrastruktur angreifen. WannaCry richtete sich gegen die IT-Systeme von Eisenbahngesellschaften, Autoherstellern und Stromversorgern. Mit anderen Worten, Cyberangriffe stören auch die Abläufe in der realen Welt: Unsere Lichter gehen aus, unsere Sendungen werden gestoppt oder Fabriklinien werden wegen Malware geschlossen. An dieser Stelle wird der WWF-Bericht besonders erschreckend. Cyber-Angriffe können möglicherweise eine Kettenreaktion von Effekten auslösen, die wir Menschen gar nicht richtig beurteilen können. Sie bezeichnen das als „systemisches Risiko“. Und sie formulieren es folgendermaßen: „Die Menschheit hat ein bemerkenswertes Geschick darin entwickelt, Möglichkeiten zum Umgang mit zahllosen konventionellen Risiken zu finden, die relativ leicht isoliert und mit Standardansätzen des Risikomanagements verwaltet werden können. Wir sind jedoch weit weniger kompetent im Umgang mit komplexen Risiken in Systemen, die durch Rückkopplungsschleifen, Punkte ohne Wiederkehr und intransparente Ursache-Wirkungs-Beziehungen gekennzeichnet sind, die Interventionen problematisch machen können.“ Wir können uns alle unsere eigenen Weltuntergangsszenarien ausmalen, z. B. die Infektion von Börsenalgorithmen durch Malware, die zum wirtschaftlichen Zusammenbruch und dann zum Krieg führen. Viel wichtiger ist meiner Ansicht nach aber der Punkt, dass unsere politischen Führer gezwungen sein werden, dieses Problem in Angriff zu nehmen. Und ja: Ich spreche von mehr Vorschriften oder strengeren Standards für die IT-Systeme, mit denen unsere kritische Infrastruktur betrieben wird. NIS-Richtlinie In der EU sind die Regeln für den Schutz dieser Infrastruktur erheblich weiter entwickelt als in den USA. Wir haben bereits im Jahr 2016 über die Richtline über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS) berichtet, als diese erstmals vom Europäischen Parlament verabschiedet wurde. In der Richtlinie werden die EU-Mitgliedstaaten aufgefordert, die Zusammenarbeit bei kritischen Wirtschaftssektoren – Gesundheit, Energie, Banken, Telekommunikation, Verkehr sowie einige Online-Unternehmen – und gegen sie gerichtete Cyber-Angriffe zu verbessern und Mindeststandards für die Vorbereitung zur Abwehr von Cyberrisiken festzulegen, worunter auch Meldungen von Vorfällen an die Regulierungsbehörden gehören. Die EU-Länder hatten 21 Monate Zeit, um die Richtlinie in nationales Recht umzusetzen. Damit läuft die Frist für diese NIS-Gesetze im Mai 2018 ab, also in ein paar Monaten. Ja, der Mai wird für IT-Abteilungen ein geschäftiger Monat, denn dann treten sowohl die DSGVO als auch die NIS-Gesetze in Kraft. In Großbritannien ist beispielsweise der Konsultationsprozess für das NIS-Gesetz kürzlich abgeschlossen worden. Das Ergebnis können Sie in diesem Bericht lesen. Ein wichtiger Punkt ist, dass jede nationale Aufsichts- oder Datenschutzbehörde aufgefordert wird, die Betreiber „wesentlicher Dienste “ zu benennen, was in der EU-Terminologie für kritische Infrastrukturen steht. Dafür haben Sie ab Mai sechs Monate Zeit. Auf jeden Fall stellt die NIS-Richtlinie einen sehr guten ersten Schritt zur Überwachung und Bewertung von Malware-basierten systemischen Risiken dar. Wir werden Sie auf dem Laufenden halten, wenn wir mehr von den nationalen Aufsichtsbehörden hören, sobald sie mit der Umsetzung ihrer NIS-Gesetze beginnen.

Sind Sie bereit für die DSGVO? Der Befragung auf unserer Website von 500 Entscheidungsträgern aus IT-Management und Risikomanagement zufolge, sehen sich drei von vier Unternehmen mit ernsthaften Herausforderungen bei der Einhaltung DSGVO-Vorschriften konfrontiert, wenn diese am 25. Mai 2018 in Kraft tritt. Varonis kann dabei helfen.

Was in Ihrer Schulzeit ein guter Ratschlag war, ist auch relevant, wenn es um Konformität mit der Datenschutz-Grundverordnung (DSGVO) geht: Machen Sie Ihre Hausaufgaben, weil Ihre Zensur davon abhängt. Bei der DSGVO gehört es zu Ihren Hausaufgaben, Maßnahmen für den Datenschutz durch Technikgestaltung zu entwickeln, umzusetzen und sicherzustellen, dass diese Richtlinien kommuniziert werden und dem Management bekannt sind. „Gute Notizen und meine Hausaufgaben machen“: Das war der erste Gedanke, der mir durch den Kopf schoss, als ich die im letzten Monat veröffentlichte Leitlinie über DSGVO-Strafzahlungen las. Das haben die EU-Behörden zu dem Thema zu sagen: „Diese Bestimmungen stellen keine Zielverpflichtung dar, sondern führen Verpflichtungen bezüglich der Methoden ein, d. h. der für die Verarbeitung Verantwortliche muss die notwendigen Beurteilungen vornehmen und angemessene Schlussfolgerungen ziehen. Danach muss die Aufsichtsbehörde die Frage beantworten, inwieweit der Verantwortliche unter Berücksichtigung der Art, des Zwecks oder des Umfangs der Verarbeitung im Hinblick auf die ihnen durch die Verordnung auferlegten Verpflichtungen ‚das getan hat, was von ihm erwartet werden konnte‘.“ Die genannte Aufsichtsbehörde ist die früher als Datenschutzbehörde bezeichnete Stelle, die für die Durchsetzung der DSGVO im jeweiligen EU-Land zuständig ist. Wenn die Aufsichtsbehörde im Zusammenhang mit einer DSGVO-Beschwerde über eine Strafzahlung entscheiden soll, muss sie den Verantwortlichen (das Unternehmen, das die Daten sammelt) also fragen, ob er seine Hausaufgaben gemacht hat – „was von ihm erwartet werden konnte“. Die Datenschutz-Lehrer wissen es am besten In dieser Richtlinie sind weitere Faktoren vorgesehen, die sich auf die Höhe von Strafzahlungen auswirken, z. B. die Anzahl der betroffenen Personen, die Schwere des Schadens („Risiken für Rechte und Freiheiten“), die Kategorien der betroffenen Daten sowie die Bereitschaft zur Zusammenarbeit und Unterstützung der Aufsichtsbehörde. Man könnte argumentieren, dass einiges davon nicht mehr Ihrer Kontrolle unterliegt, sobald die Hacker die erste Verteidigungslinie durchbrochen haben. Aber was Sie kontrollieren können, ist der Aufwand, den das Unternehmen in sein Schutzprogramm zur Einschränkung von Sicherheitslücken gesteckt hat. Ich muss außerdem daran denken, was uns Sue Foster, Fachanwältin für Datenschutz bei Hogan Lovell, in unserem Interview darüber erzählt hat, wie wichtig das „Vorzeigen der geleisteten Arbeit“ ist. Mit einer weiteren Analogie zum Schulleben erklärte Frau Foster, dass man gute „Teilnoten“ bekommen kann, wenn man nach einem Vorfall den Behörden zeigen kann, dass man Schutzvorkehrungen eingeführt hat. Sie sagte auch voraus, dass wir weitere Leitlinien erhalten würden – und genau das ist die Funktion des oben erwähnten Dokuments: Es erklärt, welche Faktoren bei der Verhängung von Strafzahlungen im zweistufigen System der DSGVO berücksichtigt werden – in dem entweder 2 % oder 4 % der globalen Erträge verlangt werden. Die vorhandenen Datenschutzstandards zählen Die Leitlinie enthält auch sehr praxisrelevante Anweisungen im Bezug auf Compliance. Da sich viele Unternehmen bereits auf bestehende Datenschutzstandards wie ISO 27001 verlassen, sind die EU-Aufsichtsbehörden bereit, die Einhaltung dieser Standards positiv zu bewerten. „… alle „Best Practice“-Verfahren oder -Methoden sollten gebührend berücksichtigt werden, sofern sie existieren und angewendet werden. Industriestandards sowie Verhaltensregeln des jeweiligen Tätigkeitsbereichs oder Berufs sollten unbedingt berücksichtigt werden. Die Verhaltensregeln können Hinweise auf den Kenntnisstand über die verschiedenen Methoden geben, mit denen auf die typischen Sicherheitsprobleme im Zusammenhang mit der Verarbeitung eingegangen werden kann.“ Wer das Kleingedruckte in der DSGVO lesen möchte, kann sich auf Artikel 40 („Verhaltensregeln“) berufen. Kurz gesagt heißt es, dass Normenverbände ihre Sicherheitskontrollen, z. B. PCI DSS, dem European Data Protection Board (EDPB) zur Genehmigung vorlegen können. Wenn ein Verantwortlicher dann einer offiziell genehmigten „Verhaltensregel“ folgt, kann dies die Aufsichtsbehörde von der Einleitung weiterer Maßnahmen – einschließlich der Verhängung von Bußgeldern – abhalten, solange der Normenverband, z.B. der PCI Security Standards Council – über einen eigenen Überwachungsmechanismus zur Überprüfung der Einhaltung seiner Standards verfügt. Aufgrund dieser speziellen DSGVO-Leitlinie sind diejenigen, die ihre Hausaufgaben gemacht haben und PCI-Konformität nachweisen können, sehr viel besser für den Umgang mit den EU-Aufsichtsbehörden aufgestellt. Nachweisbar DSGVO-konform Die DSGVO geht allerdings noch einen Schritt weiter. Sie hält auch einen Weg für eine Zertifizierung von Verantwortlichen hinsichtlich ihres Umgangs mit Daten offen. Im Endeffekt sind die Aufsichtsbehörden (durch Artikel 40) befugt, den Betrieb eines Verantwortlichen als mit der DSGVO konform zu zertifizieren. Die Aufsichtsbehörde kann auch andere Normenverbände für die Erteilung derartiger Zertifizierungen akkreditieren. In jedem Fall wird die Zertifizierung nach einem Zeitraum von drei Jahren ablaufen, worauf das jeweilige Unternehmen seine Zertifizierung erneuern muss. Es sollte erwähnt werden, dass diese Zertifizierung vollständig freiwillig erfolgen wird. Sie wird jedoch offenkundig für viele Unternehmen sehr vorteilhaft sein. Die Absicht dieser Regelung besteht darin, die vorhandenen Datenschutzstandards der Privatwirtschaft zu nutzen und Unternehmen einen praxisorientierten Ansatz für ihre Konformität mit den technischen und administrativen Auflagen der DSGVO zu bieten. Das EDPB wird voraussichtlich auch an Endverbraucher gerichtete Zertifizierungszeichen und -siegel und ein Register für zertifizierte Unternehmen entwickeln. Für weitere Informationen über die DSGVO-Zertifizierung werden wir auf weitere Mitteilungen der Behörden warten müssen. Auf kurze Sicht werden Unternehmen, die bereits Strukturen für Konformität mit PCI DSS, ISO 27001 oder anderen Datenschutzstandards eingerichtet haben, eine bessere Ausgangsposition hinsichtlich der Gefahr von DSGVO-Strafzahlungen haben. Und in allernächster Zeit könnte das „Europäische Datenschutzsiegel“ ein sehr begehrtes Element für Unternehmenswebsites werden. Wollen Sie Ihre Strafzahlungen infolge der DSGVO minimieren? Varonis hilft bei der Umsetzung zahlreicher Datenschutzstandards. Erfahren Sie mehr!

Die Datenschutz-Grundverordnung (DSGVO) soll in wenigen Monaten – genau am 25. Mai 2018 – in Kraft treten. Das Dokument ist zwar eine großartige Lektüre für erfahrene auf Datenschutz spezialisierte Rechtsanwälte, es wäre aber besser, wenn wir in der IT-Welt etwas praxisorientierte Erklärungen für einige Passagen, deren Auslegung etwas schwieriger ist, hätten – z. B. zur Meldung von Datenschutzverletzungen, die in den Artikeln 33 und 34 beschrieben wird. Die Auflage der DSGVO, Datenschutzverletzungen innerhalb von 72 Stunden zu melden, gibt es in der aktuellen EU-Richtlinie nicht, die seit Mitte der 1990er Jahre gilt. Für viele Unternehmen bedeutet dieses enge Zeitfenster für die Meldung, dass ihre IT-Abteilungen ihre Kompetenzen aufpolieren müssen. Mit der Unterstützung einiger Rechtsexperten — vielen Dank an Sue Foster und Brett Cohen — habe ich auch etwas über die Formulierungen in den Meldevorschriften der DSGVO nachgedacht. Die entscheidende Frage, die nicht völlig klar beantwortet wird, betrifft die Schwelle, bei deren Überschreiten im echten Leben eine Meldung gemacht werden muss. Ist ein Ransomware-Angriff bespielsweise ein Ereignis, das der Aufsichtsbehörde gemeldet werden muss? Und was gilt für E-Mail-Adressen oder Online-Namen, auf die Hacker Zugriff hatten? Antworten auf diese Fragen finden Sie im folgenden Text. Verletzungen des Schutzes personenbezogener Daten vs. meldepflichtiger Verstoß Die Aufsichtsbehörden haben uns endlich verständliche Anleitungen geliefert. Im letzten Monat haben die EU-Behörden einige Antworten zur Ausräumung von Unklarheiten veröffentlicht. Herausgekommen ist ein 30-seitiges Dokument mit Leitlinien für die Meldung bei Datenschutzverletzungen – mit einigen Tabellen und Ablaufdiagrammen. Erinnern wir uns: Laut DSGVO ist eine Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die „unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Das ist eine Standardformulierung, die in ähnlicher Form in fast jedem Datenschutzgesetz zu finden ist – zunächst wird eine Datenschutzverletzung oder ein anderer Cybersicherheitsverstoß definiert. Um derartige Vorfälle zu verhindern, sollten Sie Schutzvorkehrungen treffen! Außerdem gibt es weitere Kriterien für eine Entscheidung darüber, wann die Behörden und die Verbraucher benachrichtigt werden müssen. Kurz gesagt: nicht jede Verletzung des Datenschutzes muss nach außen gemeldet werden! Diese Regelung ist in Datenschutzgesetzen, in denen Anforderungen zur Meldung von Vorfällen geregelt sind, nicht unüblich. Auch im HIPAA auf US-Bundesebene für Gesundheitsdaten und in der innovativen Cyber-Verordnung des Staates New York für das Finanzwesen wird diese Unterscheidung gemacht. Dadurch soll verhindert werden, dass die Behörden mit Datenschutzmeldungen überflutet werden. Im Sinne der DSGVO liegt nur eine Verletzung des Datenschutzes vor, wenn personenbezogene Daten betroffen sind. So werden in der EU Daten bezeichnet, über die ein Individuum persönlich identifiziert werden kann. Wenn die DSGVO für Ihr Unternehmen gilt und bei Ihnen im Rahmen eines Ereignisses streng geheime Zeichnungen zu einer neuen Erfindung offengelegt werden, würde dies nicht als Verletzung des Schutzes personenbezogener Daten betrachtet und wäre nicht meldepflichtig. Das gleiche gilt für den Diebstahl von gewerblich geschützter Software oder sonstiger vertraulicher Dokumente. Benachrichtigung der Regulierungsbehörden Wann muss ein Unternehmen bzw. Verantwortlicher eine Verletzung des Schutzes personenbezogener Daten an die örtliche Aufsichtsbehörde melden? Die entsprechende Regelung findet sich in Artikel 33, aber ohne den vollständigen Kontext ist sie ein wenig verwirrend. Im Grunde meldet der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten – deren Offenlegung, Vernichtung oder den Verlust des Zugriffs auf sie – wenn diese eine Gefahr für die „Rechte und Freiheiten“ von EU-Bürgern darstellt. Diese Rechte und Freiheiten sind ein Verweis auf Eigentums- und Datenschutzrechte, die ausführlicher in der Charta der Grundrechte der Europäischen Union aufgeführt sind. Ich habe mir die Leitlinien durchgelesen und eigentlich alles, was man intuitiv als Datenschutzverletzung einstuft – die Offenlegung sensibler personenbezogener Daten, der Diebstahl eines Geräts, das personenbezogene Daten enthält, der unbefugte Zugriff auf personenbezogene Daten – müsste an die Behörden gemeldet werden. Und zwar müsste die Benachrichtigung innerhalb von 72 Stunden erfolgen! Das ist zwar noch etwas detaillierter geregelt und Sie haben ein wenig Spielraum, aber darauf komme ich gegen Ende dieses Artikels zurück. Als einzige Ausnahme gilt hier, wenn die personenbezogenen Daten mit einem aktuellen Algorithmus verschlüsselt sind und der Schlüssel dafür nicht kompromittiert wurde. In diesem Fall muss der Verantwortliche keine Meldung machen. Und was gilt für eine Datenschutzverletzung, von der personenbezogene Daten gemäß EU-DSGVO betroffen sind, die aber nicht das Grenzkriterium der „Gefährdung von Rechten und Freiheiten“ erfüllt? Auch in diesem Fall warten einige Formalitäten auf Sie! Gemäß DSGVO muss jede Verletzung des Schutzes personenbezogener Daten intern protokolliert werden: „Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, …“ (Artikel 33(5)). Bei dem Verlust oder Diebstahl eines Laptops, auf dem personenbezogene Daten in verschlüsselter Form gespeichert sind, oder der unbefugte Zugriff durch einen Mitarbeiter – z. B. wenn eine Mitarbeiterin aufgrund eines Fehlers in den Dateiberechtigungen unbeabsichtigt einige Kontonummern gesehen hat – besteht also keine Gefahr für die Rechte und Freiheiten, die Fälle müssten aber trotzdem dokumentiert werden. In diesem Artikel finden Sie dazu auch ein gutes Venn-Diagramm, aber wir wollen uns zunächst das folgende Ablaufdiagramm ansehen. (Quelle: Arbeitsgruppe Artikel 29) Wir wollen ein weiteres Szenario mit Bezug zur Benachrichtigungsschwelle laut DSGVO betrachten, bei dem es um die Verfügbarkeit oder Veränderung personenbezogener Daten geht. Nehmen wir an, dass personenbezogene Daten einer EU-Person aufgrund eines DDoS-Angriffs auf einen Teil eines Netzwerks nicht mehr verfügbar sind oder von einem Schadprogramm gelöscht wurden, aber dass es eine Backup-Kopie gibt. In beiden Fallen liegt ein Verlust vor, der zwar vorübergehend ist, aber gemäß Definition in der DSGVO dennoch eine Verletzung des Schutzes personenbezogener Daten ist. Muss die Aufsichtsbehörde darüber benachrichtigt werden? Das hängt davon ab. Wenn Benutzer beispielsweise nicht auf ihre Finanzunterlagen zugreifen können, sei der Zeitraum noch so kurz – z. B. ein oder zwei Tage – dann wären ihre Rechte und Freiheiten beeinträchtigt. Dieser Vorfall müsste der Aufsichtsbehörde gemeldet werden. Auf der Grundlage der Anmerkungen zu den Leitlinien gibt es ein wenig Interpretationsspielraum im Hinblick darauf, was ein kurzer Zeitraum wäre. Sie müssten den Vorfall und die mit ihm verbundenen Entscheidungen aber auf jeden Fall dokumentieren. Meldung von Datenschutzverletzungen und Ransomware Während meiner Gespräche mit DSGVO-Experten habe ich erfahren, dass sich sogar Rechtsanwälte uneinig darüber waren, ob ein Ransomware-Angriff meldepflichtig ist. Die neuen Leitlinien geben uns eine deutlichere Antwort: In der Analyse wird sogar auf Ransomware-Szenarien eingegangen. Wie wir alle wissen, verschlüsselt Ransomware Unternehmensdaten, um Sie zur Zahlung eines Lösegelds in Form von Bitcoins an den Erpresser zu zwingen, bevor Sie Ihre Daten entschlüsseln und in Klartext zurückverwandeln können. Aus Sicht der DSGVO wird ein Ransomware-Angriff auf personenbezogene Daten, wie ich oben schon vorgeschlagen habe, als Datenverlust eingestuft. Wann wird hier die Schwelle zum meldepflichtigen Datenschutzverstoß überschritten? Den Beispielen in den Leitlinien zufolge bestünde die Meldepflicht in zwei Situationen: 1) Es gibt eine Backup-Kopie der personenbezogenen Daten, aber die Benutzer werden von dem Ausfall, den der Ransomware-Angriff verursacht, beeinträchtigt, oder 2) es gibt keine Backup-Kopie der personenbezogenen Daten. Rein theoretisch wäre ein sehr kurzlebiger Ransomware-Angriff, bei dem sich das Opfer schnell erholt, nicht meldepflichtig. Aber in der Realität, in der Analysen und Wiederherstellungsmaßnahmen erhebliche Zeit in Anspruch nehmen, müssen im Endeffekt die meisten Ransomware-Angriffe gemeldet werden. Benachrichtigung von Einzelpersonen Die nächste Stufe bei der Meldung von Verletzungen des Schutzes personenbezogener Daten sind Fälle, in denen ein „hohes Risiko für die persönlichen Rechte und Freiheiten“ besteht. In diesen Fällen ist eine Benachrichtigung der betroffenen Person vorgeschrieben. Bei einer Betrachtung im Hinblick auf Venn-Diagramme und Teilgruppen können wir festhalten, dass jede Verletzung des Schutzes personenbezogener Daten, bei der eine Benachrichtigung der betroffenen Person erfolgt, auch der Aufsichtsbehörde gemeldet werden muss. Wann wird bei einer Datenschutzverletzung das Niveau eines hohen Risikos erreicht? Bei dieser Entscheidung erweist sich unsere Intuition als hilfreich und in den Leitlinien werden als Beispiele Verletzungen des Schutzes personenbezogener Daten aufgeführt, die medizinische oder finanzielle Daten (Kreditkarten- oder Bankkontodaten) betreffen. Es gibt aber auch andere Beispiele ohne Zusammenhang zum Gesundheits- oder Bankwesen. Wenn von der Verletzung des Schutzes personenbezogener Daten die Namen und die Adressen von Kunden betroffen sind, die um eine Lieferung gebeten haben, während sie im Urlaub sind, würde das ein hohes Risiko darstellen und eine Benachrichtigung der betroffenen Personen erforderlich machen. Wenn einfach nur Kontaktinformationen wie Name, Adresse, E-Mail-Adresse usw. betroffen sind, ist eine Benachrichtigung nicht unbedingt erforderlich. Sollte ich jedoch eine große Anzahl von Personen betroffen sein, müssten sowohl die Aufsichtsbehörde als auch die betroffenen Personen informiert werden! Den Leitlinien zufolge spielt Größe durchaus ein Rolle. Eine Offenlegung von E-Mail-Adressen in einer vergleichbaren Dimension wie bei Yahoo würde also Benachrichtigungen nach sich ziehen. In den Leitlinien wird betont, dass ein Vorfall auf jeden Fall, unabhängig von der Anzahl der betroffenen Personen, meldepflichtig wird, wenn in den Kontaktinformationen andere sensible Daten enthalten sind, z. B. Angaben psychologischer Natur oder zur Ethnie. Hinweis: Eine kleine Datenschutzverletzung bei E-Mails ohne weitere vertrauliche Informationen ist nicht meldepflichtig. (Quelle: Arbeitsgruppe Artikel 29) Und wenn die Kontaktinformationen und E-Mail-Adresse beispielsweise von einem Hacker bei einer an Kinder gerichteten Website erbeutet werden und die Gruppe dementsprechend besonders schutzbedürftig ist, stellt dies ein hohes Risiko dar und es wäre eine Benachrichtigung der betroffenen Personen erforderlich. Phasen der Meldung Die in der DSGVO vorgesehene 72-Stunden-Frist für die Meldung von Datenschutzverletzungen wurde zwar ziemlich kontrovers diskutiert, bei einem Blick in das Kleingedruckte zeigt sich jedoch, dass es dort größere Flexibilität gibt. Der erste wichtige Punkt ist, dass die Uhr zu laufen beginnt, sobald der Verantwortliche Kenntnis von der Verletzung des Schutzes personenbezogener Daten erlangt. Stellen wir uns beispielsweise vor, dass eine Organisation entdeckt, dass ein Angreifer in ihr Netzwerk eingedrungen ist. Zu diesem Zeitpunkt beginnt die 72-Stunden-Frist noch nicht. Zunächst gibt es eine Untersuchung, ob personenbezogene Daten betroffen waren. Auch dabei läuft die Uhr noch nicht. Sobald das IT-Sicherheitsteam mit angemessener Gewissheit zu dem Schluss kommt, dass der Schutz personenbezogener Daten verletzt wurde, ist der Zeitpunkt gekommen, die Uhr in Bewegung zu setzen! Bei der Benachrichtigung der Aufsichtsbehörden kann der Verantwortliche schrittweise vorgehen. Es ist absolut akzeptabel, eine erste Meldung bei der Behörde zu tätigen, wenn eine (wahrscheinliche) Verletzung des Schutzes personenbezogener Daten entdeckt wird, verbunden mit der Nachricht, dass weitere Untersuchungen zur Aufdeckung der Details erforderlich sind (siehe Artikel 33(4)). Dieser Vorgang kann länger dauern als 72 Stunden, was gemäß DSGVO zulässig ist. Und sollte sich doch herausstellen, dass Fehlalarm ausgelöst wurde, kann die Aufsichtsbehörde aufgefordert werden, die Meldung zu löschen. Bei einer Verletzung des Schutzes personenbezogener Daten, bei der ein hohes Risiko für die betroffenen Personen festgestellt wird, muss die Benachrichtigung der „betroffenen Person“ „unverzüglich“ erfolgen (siehe Artikel 34(1)). Das Ziel ist, Verbraucher darüber zu informieren, in welcher Weise sie betroffen sind und was sie zu ihrem eigenen Schutz unternehmen müssen. Meldepflichtige Daten Das führt uns zum letzten Thema in diesem epischen Artikel: Was müssen Sie der Aufsichtsbehörde und den betroffenen Personen mitteilen? Bei der Aufsichtsbehörde ist das tatsächlich in Artikel 33 geregelt: eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Beachten Sie die Auflage, Angaben zu den Datenkategorien und zur ungefähren Anzahl der betroffenen Datensätze zu machen. Die Aufsichtsbehörde kann übrigens zusätzliche Informationen verlangen. Die vorstehende Liste enthält das Minimum der Angaben, die der Verantwortliche übermitteln muss. Bei der Benachrichtigung der betroffenen Personen (siehe Artikel 34), muss der Verantwortliche außerdem die folgenden Angaben machen: eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten; den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle; eine Beschreibung der voraussichtlichen Folgen der Verletzung des Schutzes personenbezogener Daten; und eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung und gegebenenfalls der Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. In der DSGVO wird der direkten Benachrichtigung der betroffenen Personen durch den Verantwortlichen gegenüber einer Benachrichtigung über eine Medienmeldung der Vorzug gegeben. Dies kann in Form einer E-Mail, SMS oder auf dem Postweg erfolgen. Bei indirekter Massenkommunikation sind gut sichtbare Banner auf Websites, Blog-Einträge oder Pressemeldungen geeignet. Dies ist keine Rechtsberatung Die Leitlinien für die Meldung bei Datenschutzverletzungen gemäß DSGVO, die im letzten Monat veröffentlicht wurden, sind 30 Seiten lang. Als IT-Fachkraft werden Sie nicht in der Lage sein, den Inhalt in allen Nuancen zu verstehen. Um sich zu informieren, was diese Leitlinien für die Meldung bei Datenschutzverletzungen gemäß DSGVO und die damit verbundenen Regelungen bedeuten, werden Sie den Rat eines Rechtsexperten brauchen, z. B. von einer Fachkraft in Ihrer Rechtsabteilung, Ihrem CPO, CLO o.ä. Und das bringt mich nahtlos zu dieser letzten Überlegung: Die Notfallreaktion bei einer Datenschutzverletzung bezieht die gemeinsamen Anstrengungen der IT-, Rechts-, Kommunikations-, PR- und der betrieblichen Abteilungen ein und zwar üblicherweise auf Führungsebene. Die IT-Abteilung schafft so etwas nicht im Alleingang. Der erste richtige Schritt ist die Einführung von Notfallplänen. Eine großartige Ressource für Informationen über Compliance im Datenschutz ist die Website der International Association of Privacy Professionals (IAPP): https://iapp.org/. Die IAPP bietet außerdem einen Toolkit für Notfallreaktionen an, den unsere Freunde in der Anwaltskanzlei Hogan Lovells zusammengestellt haben. Sie finden ihn hier.

Im letzten Monat wurde im Vereinigten Königreich die endgültige Version eines Gesetzes veröffentlicht, das die derzeitigen Datensicherheits- und Datenschutzvorschriften ersetzen soll. Für diejenigen, die das Brexit-Drama, das sich derzeit in London abspielt, nicht verfolgt haben: Die Data Protection Bill (DPB) wird es britischen Unternehmen ermöglichen, auch nach der „Scheidung“ weiterhin Geschäfte mit der EU zu tätigen. Das Vereinigte Königreich verfügt damit über Datenrichtlinien, die im Grunde mit der EU-Datenschutz-Grundverordnung (DSGVO) identisch sind, allerdings clever als „DPB“ getarnt. Verlassene Liebhaber, Trennungen, falsche Identitäten… es klingt ein wenig wie eine Shakespeare-Komödie (oder Mrs. Doubtfire). Für Unternehmen, die diese Veränderungen tragen müssen, ist es alles andere als das. Kurzfristig Derzeit gilt im Vereinigten Königreich das Datenschutzgesetz (Data Protection Act, DPA), welches die EU-Datenschutzrichtlinie (95/46/EC) in ein nationales Gesetzt umsetzt. Ab Mai 2018 gilt im Vereinigten Königreich dann die DSGVO, deren Ziel es ist, alle getrennten nationalen Datensicherheitsgesetze, wie etwa das Datenschutzgesetz im Vereinigten Königreich, in einem einzigen Regelwerk zu harmonisieren und eine einheitliche Durchsetzungsstruktur zu schaffen. Zwischen Mai 2018 und dem Datum, an dem die britische Regierung die DPB offiziell erlässt, wird die DSGVO auch das Datensicherheits- und Datenschutzgesetz für das Vereinigte Königreich sein. Voraussichtlich wird die DPB noch vor dem Brexit (der sich im März 2019 vollziehen soll) verabschiedet werden. Da die DSGVO bald zum Datensicherheits- und Datenschutzgesetz im Vereinigten Königreich wird und das DPA ersetzt, arbeiten die Unternehmen mit Hochdruck daran, die neuen Richtlinien zu erfüllen, insbesondere das Recht auf Vergessenwerden, die 72-Stunden-Meldefrist bei Verstößen an die Behörden und die verbesserte Aufzeichnung von Verarbeitungstätigkeiten. Theoretisch sollte die DPB den britischen Unternehmen einen relativ einfachen Übergang ermöglichen. Einige Unterschiede Wie einige Kommentatoren betonen (und ich persönlich bestätigen kann), handelt es sich beim DPB nicht um eine einfache Rechtsvorschrift — auch wenn man das glauben könnte. Der Gesetzesentwurf geht davon aus, dass die DSGVO-Regeln für Großbritannien gelten, sodass er nicht einmal den eigentlichen Text kopiert. Was steht also auf den restlichen 200 Seiten des Gesetzes? Ein Großteil befasst sich mit Ausnahmen, Einschränkungen, Klarstellungen, die durch die DSGVO genehmigt werden und die die britische DPB im Kleingedruckten vollständig nutzt. Der Kernpunkt des Gesetzes befindet sich im zweiten Teil, in dem verschiedene Änderungen — im Bereich personenbezogene Daten im Zusammenhang mit Gesundheit, wissenschaftliche Forschung, strafrechtliche Ermittlungen, Mitarbeitersicherheit und öffentliches Interesse — dargelegt sind. Die eigentlichen Details sind am Ende der DPB in einem langen Abschnitt über „Zeitabläufe“ vergraben. So gelten DSGVO-Artikel zum Recht auf Löschung, zur Datenberichtigung und über Einwände gegen die Verarbeitung nicht für Ermittlungen z. B. im Bereich der finanziellen Misswirtschaft oder für Amtsmissbrauch von Beamten. Tatsächlich verlieren die Ziele einer Untersuchung die Kontrolle über ihre Daten. Das DPB ist auch deshalb komplex, weil es einen kompletten Satz an DSGVO-ähnlichen Sicherheits- und Datenschutzrichtlinien für die Strafverfolgungs- und nationale Sicherheitsdienste enthält: Die DPB setzt hier eine weitere EU-Richtlinie um, nämlich die Richtlinie (EU) 2016/680 „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung“. Am Ende des Dokuments gibt es außerdem noch eine lange Liste von Ausnahmen, die in noch mehr Zeitpläne und Tabellen gepackt sind. Das Ziel des Brexit war, sich den EU-Vorschriften zu entziehen. Wie man aber hier sieht, hält die Data Protection Bill im Wesentlichen an den bisherigen europäischen Richtlinien fest. Unternehmen aufgepasst: Die neuen Prüfkompetenzen des ICO Dies bedeutet jedoch nicht, dass das neue britische Gesetz keine Überraschungen zu bieten hat. Der DPB räumt den Aufsichtsbehörden des britischen Information Commission’s Office (ICO) neue Untersuchungsbefugnisse durch “Beurteilungsbescheide” ein. Diese Mitteilungen ermöglichen den ICO-Mitarbeitern, Unternehmen und Organisationen zu betreten, Dokumente und das Equipment zu prüfen und die Verarbeitung personenbezogener Daten zu beobachten. Die britischen Regulierungsbehörden werden also die Möglichkeit haben, die Einhaltung der Datenschutzbestimmungen eines Unternehmens zu überprüfen. Im Rahmen des bestehenden DPA kann das ICO diese nicht freiwilligen Bewertungen nur gegen Regierungsbehörden wie den NHS (die staatliche Gesundheitsversorgung) anordnen. Die DBP weitet die obligatorische Datensicherheitsprüfung auf den privaten Sektor aus. Wenn das ICO entscheidet, dass die Organisation nicht die DPD-Compliance erfüllt, können diese Prüfungen zu Durchsetzungsbescheiden führen, in denen die Sicherheitsmängel herausgestellt werden und ein Zeitplan festgelegt wird, bis wann sie korrigiert werden müssen. Die eigentliche Stärke des ICO liegt in seiner Macht, Geldbußen von bis zu 4 Prozent des weltweiten Umsatzes eines Unternehmens zu verhängen. Dies ist dieselbe Größenordnung, die auch die DSGVO vorsieht Kurzum: DPB und DSGVO sind Zwillinge. Für britische Unternehmen (wie auch für internationale, die ihren Sitz im Vereinigten Königreich haben), die bereits Sicherheitskontrollen und -verfahren umsetzen (basierend auf anerkannten Standards wie ISO 27001), sollte es nicht so schwierig sein, die DPB-Richtlinien einzuhalten. Für Unternehmen, die grundlegende Datenverwaltungspraktiken vernachlässigt haben, insbesondere für die enormen Datenmengen, die in Unternehmensdateisystemen zu finden sind, wird die DPD jedoch ein Schock sein. CSOs, CIOs und CPOs in diesen Unternehmen werden sich diese Frage stellen müssen: möchten wir unsere eigenen Bewertungen durchführen und Datensicherheit verbessern oder soll das ICO dies für uns übernehmen? Ich denke, die Antwort liegt auf der Hand!

Vorschau auf GDPR Erkennungsmuster Seit weniger als einem Jahr ist die General Data Protection Regulation (GDPR) der Europäischen Union, zu Deutsch EU-Datenschutz-Grundverordnung (EU-DSGVO), in Kraft und wir stellen fest, dass sich unsere Kunden mehr denn damit beschäftigen, ihre Datenschutzrichtlinien auf diese Verordnung vorzubereiten. Um Unternehmen dabei zu helfen, GDPR schnell zu erfüllen, führen wir GDPR Erkennungsmuster mit über 150 Mustern bestimmter personenbezogener Daten ein, die GDPR unterliegen. Wir beginnen dabei mit Mustern aus 19 Ländern, die derzeit zur EU gehören (einschließlich UK). Unter Verwendung der Datenklassifizierungsstruktur als Grundlage werden GDPR Patterns Organisationen die Möglichkeit bieten, regulierte, personenbezogene Daten zu erkennen: von nationalen Identifikationsnummern über IBAN, Blutgruppe bis hin zu Kreditkartendaten. Das bedeutet, dass Sie Berichte über GDPR-gültige Daten erstellen können, einschließlich Berechtigungen, uneingeschränktem Zugriff und veralteter Daten. Diese Muster und Klassifizierungen helfen Unternehmen, GDPR voll und ganz zu erfüllen und eine Sicherheitsstrategie für die Überwachung und Meldung von Daten, die von GDPR betroffen sind, aufzubauen. Testen Sie es noch heute und erfahren Sie, wie GDPR Patterns Ihnen bei der Vorbereitung auf 2018 helfen und Ihre Daten schützen können. IAM- & ITSM-Integration mit DataPrivilege Wir haben kürzlich viel über einheitliche Strategien für Datenschutz und Datenmanagement sowie über die Herausforderung bei der Handhabung mehrerer Lösungen zur Einhaltung unternehmerischer Sicherheitsanforderungen gesprochen. DataPrivilege überträgt Eigentümern die Verantwortung von Dateifreigaben, SharePoint-Seiten, AD-Sicherheits- und Verteilungsgruppen, indem Autorisierungsanfragen, Anspruchsprüfungen und vieles mehr automatisiert werden. DataPrivilege verfügt jetzt über ein neues API, sodass Kunden die Vorteile ihrer Fähigkeiten nutzen können, indem sie andere Technologien in das Sicherheitssystem integrieren, wie etwa IAM- (Identity and Access Management) und ITSM-Lösungen (IT Service Management). Unser neues DataPrivilege API bietet IT- und Geschäftsbenutzern mehr Flexibilität, damit sie ihr Benutzererlebnis und ihre Workflows vereinheitlichen und wunschgemäß anpassen können. Mit dem API können Sie verwaltete Daten mit Ihrer IAM-/ITSM-Lösung synchronisieren und Anweisungen an DataPrivilege zurückgeben, um Anfragen auszuführen und Anfragen sowie Änderungen der Zugriffskontrolle zu melden. Sie können die Integration nutzen, um DataPrivilege-Anspruchsprüfungen, Workflows mit Self-Service-Zugriff, Eigentumszuordnungen und vieles mehr von außerhalb zu kontrollieren. Fordern Sie eine Demo an und erfahren Sie, wie das mit Ihrem derzeitigen System funktioniert.

Geografische Reichweite, Recht auf Vergessen und Bußgelder