Sicherheit, Datenlecks und Ransomware: Angriffe, die ernst genommen werden müssen.

Legal Watch Nr. 32 – Februar 2021

Sicherheit, Datenlecks und Ransomware: Angriffe, die ernst genommen werden müssen. Die Presse berichtete Ende Februar Massiver Datenabfluss im Medizinbereich.

Vertrauliche Informationen über mehr als 500.000 Menschen, darunter Blutgruppen und Sozialversicherungsnummern, wurden in einem Fachforum verkauft, bevor sie frei im Internet veröffentlicht wurden.

In dieser Datenliste sind auch die Benutzernamen und Passwörter enthalten, die es diesen Patienten ermöglichten, sich mit den vom Datenleck betroffenen medizinischen Zentren und Analyselabors zu verbinden.

Eine gerichtliche Untersuchung ist im Gange und sowohl ANSSI als auch CNIL haben sich des Falls angenommen.

Die Schwere des Datenschutzverstoßes hängt sowohl von der Anzahl der betroffenen Personen als auch von der Sensibilität der Daten ab.

Dies ist eine Gelegenheit, eine Bestandsaufnahme der Maßnahmen zu machen, die wir ergreifen müssen, um auf solche Angriffe zu reagieren und uns vor allem im Vorfeld davor zu schützen.

Sowohl die CNIL als auch die ANSSI und das Justizministerium haben mehrere Leitfäden veröffentlicht, die den für die Datenverarbeitung Verantwortlichen dabei helfen sollen, sich vor solchen Sicherheitsverletzungen zu schützen., sei es ein interner Fehler oder ein Ransomware-Angriff.

Die insbesondere von der CNIL veröffentlichten Empfehlungen listen die verschiedenen Phasen des Sicherheitsmanagements bei der Datenverarbeitung auf.

Im Wesentlichen ist es angebracht:

• Identifizieren Sie die Datenverarbeitung und ihre Unterstützung (Hardware, Software, Kommunikationskanäle, Papierunterstützung):

• Bewerten Sie die Risiken, die durch jeden Verarbeitungsvorgang entstehen, und ermitteln Sie die potenziellen Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen im Falle eines unrechtmäßigen Zugriffs auf Daten, einer unerwünschten Änderung von Daten oder eines Verschwindens von Daten.

Bei der Verarbeitung besonderer Kategorien von Daten, wie etwa Gesundheitsdaten, sind die Auswirkungen einer Datenschutzverletzung für die betroffenen Personen sogar noch größer.

Eine solche Behandlung erfordert daher eine gründliche Risikobewertung.

• Identifizieren Sie Risikoquellen (menschliche und nicht-menschliche Quellen).
• Analysieren Sie die möglichen Bedrohungen, d. h. die möglichen auslösenden Ereignisse (z. B. Vandalismus, Verschlechterung durch natürliche Abnutzung, volle Speichereinheit, Denial-of-Service-Angriff).
• Identifizieren Sie bestehende oder geplante Maßnahmen zur Bewältigung jedes Risikos (z. B. Backups, Verschlüsselung). Die Maßnahmen müssen im Verhältnis zu den Risiken stehen. Bei sensiblen Daten muss ein besonders hohes Sicherheitsniveau gewährleistet sein. Die Speicherung von Passwörtern im Klartext in den Dateien des Verantwortlichen sollte daher verboten werden: Die Informationen müssen verschlüsselt werden, und es müssen strenge Authentifizierungsmaßnahmen ergriffen werden.
• Bewerten Sie die Schwere und Wahrscheinlichkeit der Risiken im Lichte der vorhergehenden Elemente.

Im Falle einer Datenschutzverletzung müssen unverzüglich geeignete Maßnahmen ergriffen werden, um die Verletzung zu stoppen und die Auswirkungen auf die betroffenen Personen zu begrenzen.

Die verantwortliche Person muss die CNIL außerdem innerhalb von 72 Stunden nach Kenntnisnahme des Verstoßes über diesen informieren.

Darüber hinaus besteht die Pflicht, die betroffenen Personen individuell zu informieren, wenn durch den Datenverlust voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten entsteht.  Dies ist der Fall, wenn es sich um sensible Daten handelt, beispielsweise Gesundheitsdaten.

Im Zusammenhang mit dem massiven Datenleck Ende Februar sind daher Auskünfte der Betroffenen erforderlich.

Der Schaden kann für Patienten, deren medizinische Versorgung beeinträchtigt sein kann, äußerst schwerwiegend sein, aber auch für die für die Datenverarbeitung Verantwortlichen, deren Ruf und Geschäft auf dem Spiel stehen.

Die CNIL weist darauf hin, dass die Zahl der Meldungen von Datenschutzverletzungen im Jahr 2020 um 241 TP3T gestiegen ist und dass sich die Zahl der Verstöße im Zusammenhang mit Cryptolocker-Angriffen auf Gesundheitseinrichtungen (Krankenhäuser, EPHADs, Pflegeheime, Labore usw.) innerhalb eines Jahres verdreifacht hat.

Darüber hinaus betreffen zwei Drittel der von der CNIL verhängten Sanktionen Verstöße gegen Datenschutzverpflichtungen, ein Trend, der sich in ganz Europa widerspiegelt.

Und auch

Frankreich:

Die Anwendung „tousanticovid“ wird weiterentwickelt, um ein Benutzerwarnsystem im Hinblick auf die mögliche Wiedereröffnung von Sporthallen, Restaurants oder Veranstaltungshallen zu integrieren. 

Die CNIL, die den Verordnungsentwurf erhalten hat, bewertete ihn im Allgemeinen positiv, forderte jedoch, dass das System zur Aufzeichnung von Besuchen nur für Orte mit hohem Risiko (schwer umsetzbare Barrieremaßnahmen) obligatorisch sein sollte und nicht für Orte, bei denen durch den Besuch sensible Daten preisgegeben werden könnten (wie etwa Gotteshäuser).

Nach der Veröffentlichung seiner Richtlinien zur Verwendung von Cookies Im vergangenen Oktober erinnerte die CNIL daran, dass die Frist zur Einhaltung Ende März abläuft.

Sie hat einen Brief an zweihundert öffentliche Stellen sowie an die wichtigsten privaten Akteure gesandt und dabei insbesondere die Notwendigkeit betont, dem Benutzer die Möglichkeit zu geben, Cookies mit der gleichen Einfachheit zu akzeptieren oder abzulehnen (die Schaltfläche „Konfigurieren“, die oft in Bannern vorhanden ist, erfüllt diese Anforderung nicht).

Europa:

• Belgien: Datenschutzbehörde veröffentlicht eine ausführliche Anleitung zu Techniken zur Datenbereinigung und Datenträgervernichtung, ein Reflex, der beim Entsorgen eines Computerwerkzeugs zu oft vernachlässigt wird.

• Vereinigtes Königreich: Europäische Kommission veröffentlicht Entscheidungsentwurf zur das vom Vereinigten Königreich garantierte Schutzniveau zur Verarbeitung personenbezogener Daten, die der Europäischen Union gleichwertig ist.

Wenn der Europäische Datenschutzausschuss und Vertreter der Mitgliedstaaten diese Einschätzung unterstützen, können Datenübermittlungen in das Vereinigte Königreich ohne zusätzliche Bedingungen fortgesetzt werden.

Es sei auch darauf hingewiesen, dass der Europäische Datenschutzbeauftragte am 22. Februar eine Stellungnahme abgegeben hat, in der er bekräftigte, dass der Datenschutz als Grundrecht im Rahmen von Handelsabkommen zwischen der Europäischen Union und dem Vereinigten Königreich nicht verhandelbar sei.

• Europa – eDatenschutz Nach vierjährigen Verhandlungen haben die EU-Mitgliedsstaaten endlich eine gemeinsame Position zum Schutz der elektronischen Kommunikation verabschiedet.

Die ePrivacy-Verordnung soll die aktuelle Richtlinie aktualisieren, indem sie unter anderem die Regeln für die Vertraulichkeit der Kommunikation, den Schutz von Metadaten und die für Cookies und andere Tracker geltenden Regeln präzisiert.

Der Text muss noch im Europäischen Parlament diskutiert werden und seine endgültige Fassung wird zwei Jahre nach seiner Veröffentlichung in Kraft treten.

• Europa – Gesundheitspass : Die Europäische Kommission gab am 1. März bekannt, dass sie ein Projekt für einen gemeinsamen Reisepass für die Mitgliedstaaten vorbereite, der die Freizügigkeit der Menschen im aktuellen Kontext der Pandemie erleichtern würde.

Dieser Pass würde persönliche Daten zu Impfungen, erworbener Immunität oder durchgeführten Tests der betreffenden Person enthalten.

Die Kommission versichert, dass Maßnahmen ergriffen werden, um jegliche Diskriminierung oder Missbrauch der Privatsphäre der betroffenen Personen zu verhindern.

Internationales:

VEREINIGTE STAATEN: Nach Kalifornien bereiten rund zehn US-Bundesstaaten Gesetze zum Schutz personenbezogener Daten vor. einschließlich des Staates New York und des Staates Washington.

Im Allgemeinen gewähren diese Gesetze den Nutzern weniger umfassende Rechte als die DSGVO und räumen ihnen lieber das Recht ein, der Verarbeitung ihrer Daten zu widersprechen, als sie vorher um ihre Zustimmung zu bitten.

In jedem Fall haben sie den Vorteil, dass sie die Transparenz der Datenverarbeitung verbessern und den amerikanischen Verbrauchern Rechtsmittel gewähren.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.