Sécurité des données : l’erreur est (souvent) humaine

Datensicherheit: Irren ist (oft) menschlich

Legal Watch – November 2019.

Datensicherheit: Irren ist (oft) menschlich. Zu diesem Schluss kamen die für den Schutz personenbezogener Daten zuständigen Behörden bei ihrem Treffen vom 21. bis 24. Oktober in Tirana.

Auf der internationalen Konferenz, die jährlich Aufsichtsbehörden, Privatwirtschaft und Zivilgesellschaft zusammenbringt, wurden mehrere Resolutionen verabschiedet.

Dazu gehören zwei Entschließungen zur Verbesserung der grenzüberschreitenden Zusammenarbeit zwischen Behörden und zur besseren Umsetzung der DSGVO, eine Entschließung zu sozialen Medien und gewalttätigen extremistischen Inhalten sowie die hier behandelte Entschließung zu menschlichem Versagen bei Sicherheitsverletzungen.

Zur Erinnerung: Unter der DSGVO liegt eine Sicherheitsverletzung in jeder Situation vor, in der personenbezogene Daten versehentlich oder unrechtmäßig:

  • Zerstört
  • Verloren
  • Verändert
  • Offengelegt
  • Oder wenn ein unbefugter Zugriff auf Daten festgestellt wird.

Es handelt sich daher um einen besonders weitreichenden Anwendungsbereich mit Konsequenzen für den für die Verarbeitung Verantwortlichen, der je nach Auswirkung der Sicherheitsverletzung die CNIL und die vom Vorfall betroffenen Personen benachrichtigen muss.

Mehr als ein Jahr nach Inkrafttreten der DSGVO stellen wir fest, dass ein großer Teil der wegen Nichteinhaltung der Verordnung verhängten Bußgelder auf mangelnde Sicherheit bei der Datenverarbeitung zurückzuführen ist. 

Auch die verschiedenen Behörden in Europa haben eine große Zahl von Meldungen erhalten und bekommen allmählich ein klareres Bild von den Ursachen der Sicherheitsprobleme, was zu einer besseren Prävention in diesem Bereich beitragen dürfte.

Die Beobachtung ist wie folgt: Ein großer Teil der Sicherheitsverletzungen entsteht durch die unbeabsichtigte Weitergabe von Informationen durch Mitarbeiter. an nicht autorisierte Empfänger oder an Personen, die dazu verleitet werden, Kennungen und Zugangscodes zu Informationen weiterzugeben.

Neben der Implementierung robuster Datenschutztechniken im Systemdesign („Privacy by Design“) fordert die Resolution die Entwicklung einer Datenschutzkultur im Unternehmen. Folgende Maßnahmen werden hervorgehoben:

  • Regelmäßige Schulungs-, Aufklärungs- und Sensibilisierungsprogramme für Mitarbeiter zu den Aspekten „Datenschutz“ und Datensicherheit;
  • Schulung zum Erkennen und Melden von Sicherheitsverletzungen;
  • Regelmäßige Überwachung und Prüfung der zum Schutz der Daten implementierten Verfahren und Systeme.

Eine nützliche Erinnerung: Verschlüsselung bleibt in Kombination mit anderen technischen und organisatorischen Maßnahmen ein äußerst wichtiges Mittel zum Schutz von Daten. Die CNIL und die ANSSI (französische Datenschutzbehörde) haben im Oktober anlässlich des Cybersicherheitsmonats zahlreiche praktische Informationen online veröffentlicht.

Und außerdem:

  • In Frankreich:

Die französische Aufsichtsbehörde hat Mitte Oktober ihren Fahrplan 2019–2021 veröffentlicht. um seine Prioritäten im Bereich des Schutzes personenbezogener Daten zu kommunizieren. Es gibt fünf Arbeitsbereiche:

  • Die digitalen Herausforderungen im Alltag der Bürger;
  • Ausgewogene Regulierung (unterstützende und repressive Maßnahmen);
  • Eine bedeutende Investition in die europäische Zusammenarbeit;
  • Spitzenkompetenz im Bereich Digital- und Cybersicherheit;
  • Eine innovative öffentliche Dienstleistungsmission, die auf humanistischen Werten basiert.

Die CNIL nahm am 17. Oktober auch zu zwei Gesichtserkennungssystemen Stellung in den Schulen umgesetzt.

Sie hielt diese Projekte, die sich an überwiegend minderjährige Schüler richteten und deren einziges Ziel die Vereinfachung und Sicherung des Zugangs sei, für „weder notwendig noch verhältnismäßig, um diese Ziele zu erreichen“.

Vergleichbar sind diese Entscheidungen mit denen der schwedischen Aufsichtsbehörde Ende August im Zusammenhang mit der Gesichtserkennung in Schulen, diesmal mit dem Ziel der Anwesenheitskontrolle.

  • In Europa:

Entschädigung bei Gesetzesverstößen: Die Voraussetzungen, unter denen ein Einzelner im Falle einer Verletzung seiner Rechte Schadensersatz verlangen kann, sind durch die Rechtsprechung geklärt.

Die jüngste Entscheidung des Londoner Berufungsgerichts vom 2. Oktober spricht Google eine Entschädigung für die betrügerische Datensammlung auf den iPhones von mehr als vier Millionen Nutzern zu, sofern kein Schaden nachgewiesen werden kann: Das Gericht stellt klar, dass die Kontrolle einer Person über ihre Daten einen Wert hat und daher auch der Verlust dieser Kontrolle einen Wert haben muss.

Daher kann eine Person nach dem Gesetz eine Entschädigung erhalten, ohne einen finanziellen Verlust oder eine finanzielle Belastung nachweisen zu müssen.

Wir weisen auf den Zusammenhang zwischen dieser Entscheidung und Artikel 82 der DSGVO hin, der das Vorliegen eines materiellen und immateriellen Schadens feststellt und dem Verantwortlichen die Beweislast dafür überlässt, dass er für den Schaden nicht verantwortlich ist.

  • In den Vereinigten Staaten:

Internationale Datenübertragungen: Am 23. Oktober veröffentlichte die Europäische Kommission die Schlussfolgerungen der dritten jährlichen Überprüfung des „Privacy Shield“, das die Datenübertragung in die USA für Unternehmen regelt, die ihm beigetreten sind.

Der Bericht bestätigt, dass das System weiterhin ein angemessenes Schutzniveau bietet.

Darin werden Verbesserungen bei der Umsetzung des „Shields“ hervorgehoben und verbleibende Schwachstellen erwähnt, darunter die lange Zeitspanne, die für die (erneute) Zertifizierung benötigt wird, und die Überprüfung falscher Zertifizierungsansprüche einiger Unternehmen.

Entdecken Sie Viqtor®
de_DE_formalDE
fr_FRFR en_USEN es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL de_DE_formalDE