Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Die neue Datenschutzumgebung: Europäische Union weist den Weg für personenbezogenen Datenschutz

von Andy Green Uns allen ist die Gefahr bewusst, versehentlich unsere Sozialversicherungsnummer preiszugeben. Aber gibt es auch andere weniger personenbezogene oder gar anonyme Daten, die zusammengenommen wie eine Sozialversicherungsnummer funktionieren? Mit...
Michael Buckbee
3 minute gelesen
Veröffentlicht 15. Juli 2016
Letzte aktualisierung 28. Oktober 2021

von Andy Green

Uns allen ist die Gefahr bewusst, versehentlich unsere Sozialversicherungsnummer preiszugeben. Aber gibt es auch andere weniger personenbezogene oder gar anonyme Daten, die zusammengenommen wie eine Sozialversicherungsnummer funktionieren? Mit dem Reformpaket für europäische Vorschriften beschreitet die Europäische Union neue Wege im Verbraucherdatenschutz. Die Überlegungen der EU zur persönlichen Identität haben ihren Weg bis über den Teich und in die neu vorgeschlagenen US-Regelungen geschafft.

Die ersten Vorschriften über Verbraucherdatenschutz und Datensicherheit der Europäischen Union wurden mit der Datenschutzrichtlinie von 1995, der EU 96/46EG für Sicherheitsexperten, eingeführt. EU-Richtlinien bieten einen Leitfaden für die Gesetzgebung der Mitgliedsstaaten, die dann ihre eigenen spezifischen Gesetze ausarbeiten können. Die EU-Datenschutzrichtlinie hatte einen großen Einfluss auf die Gestaltung des Vokabulars und, wenn auch weniger freiwillig, auf den Jargon der Diskussion zum Verbraucherschutz auf beiden Seiten des Atlantiks.

In den USA war der Ausgangspunkt für die Diskussion zum Datenschutz der Sarbanes-Oxley-Act (SOX), der 2002 zum Gesetz wurde. Vergleicht man die beiden, könnte man sagen, dass die EU-Datenschutzrichtlinie eher auf den Schutz von Verbraucherinformationen, und dabei vor allem – im Gegensatz zum SOX – auf die Abdeckung von öffentlichen und privaten Unternehmen ausgerichtet war. Bis zum heutigen Tag gibt es in den USA kein eigenständiges und umfassendes Gesetz zum Verbraucherdatenschutz.

Die ursprüngliche Richtlinie der EU ist von großer Bedeutung, da sie persönliche Daten als „Informationen über eine bestimmte oder bestimmbare natürliche Person“ definiert. Laut der EU-Richtlinie gehören zum Beispiel die Hausanschrift, der Name und die Telefonnummer zu persönlichen Daten; Größe, Augenfarbe und das Auto, das man fährt, jedoch nicht. Diese Auffassung zu persönlichen Daten als eine Art Schlüssel ist Teil der Definition, die von Datenschutzgesetzen außerhalb der EU verwendet wird – darunter auch in den USA. In Nordamerika wurde jedoch ein eigener Begriff für persönliche Daten eingeführt: personenbezogene identifizierbare Informationen oder PII.

Nebenbei bemerkt haben die EU-Regulierungsbehörden bewusst einen weniger eindeutigen Begriff für persönliche Daten eingeführt, sodass neue Technologien darunter aufgenommen werden können. Seit 2012 zählen auch die E-Mail- sowie IP-Adresse und in einigen EU-Ländern sogar Fotos zu personenbezogenen identifizierbaren Informationen.

Um die Entwicklung bis heute zusammenzufassen; Sicherheitsexperten stellten fest, dass es neben den persönlichen Daten auch andere Informationen gibt (sozusagen quasi persönliche Daten), die bei einer Offenlegung ebenfalls zurück zur entsprechenden Person führen würden. Die Datenmagie, die genutzt wird, um eine Identifizierung zu ermöglichen, ist ein Abgleich der anonymen Datenpunkte, wie Geburtstag (oder -jahr), Postleitzahl, Ethnizität und vielleicht sogar die Automarke anhand öffentlich verfügbarer Datenbanken.

Es gibt zum Beispiel gut dokumentierte Fälle, in denen anonymisierte Entlassungsberichte aus einem Krankenhaus zur Identifizierung der Patienten genutzt wurden.

Mit mehr als 1 Milliarde registrierter Benutzer bei Facebook lässt sich sicher sagen, dass das Web einen Überschuss an persönlichen Daten mit allen Detailstufen bietet. Große soziale Netzwerke haben Hackern – den neuen ominösen Mitspieler in diesem Sektor – eine unerschöpfliche Quelle an Daten zum Abgleich bereitgestellt (vgl. Matt Honan).

Um besser verstehen zu können, wie eine Einzelperson nachträglich identifiziert werden kann, sollten wir uns eine Variante des zuvor erwähnten Falls ansehen. Während die Technik keine Garantie dafür ist, eine Person eindeutig identifizieren zu können (da dies von den jeweils verfügbaren Informationen abhängt), wird in vielen Fällen eine engere Liste von möglichen Zielpersonen erstellt.

Gehen wir rein hypothetisch davon aus, dass eine europäische Hypothekenbank einen Gesundheitsbericht von einem großen öffentlichen Krankenhaus auswertet. Die Berichte zeigen, dass fünf Einzelpersonen in Behandlung für eine seltene Krankheit waren. Auch das Alter der Personen wurde veröffentlicht. In der Annahme, dass die Patienten in der Nähe des Krankenhauses leben, filtert der Hypothekengeber einfach seine Datenbank nach der Postleitzahl und dem Geburtsjahr. Die dadurch erhaltenen kleineren Datensätze ermöglichen das Durchsuchen von sozialen Netzwerken oder Online-Foren sowie ein Filtern der abgefragten Namen und Daten, während nach „Gute Besserung“-Nachrichten gesucht wird. Der Hypothekengeber findet einige Treffer und dank der zusätzlichen neuen Datenpunkte der sozialen Seite kann die Person identifiziert werden.

Die gute Nachricht ist, dass EU-Länder schon lange erkannt haben, dass ihre Gesetze nicht mehr auf dem neuesten Stand sind. Der EU-Verwaltungsrat ist aktuell dabei, eine Reformierung der Richtlinie von 1995 zu bewirken, die die Verbreitung der öffentlichen Daten im Web und das Unkenntlichmachen von persönlichen und anonymen Daten berücksichtigt. Um mehr über den neuen Standpunkt der EU zu persönlichen Daten zu erfahren, werfen Sie einen Blick auf dieses Dokument.

Und auch in den USA gibt es Gerüchte zur Änderung der Datenschutzbestimmungen im Sinne der EU-Reform.

Ich werde in der Zukunft mehr über die Gesetze in den USA schreiben und was dies für die Datenschutzrichtlinien Ihres Unternehmens bedeutet.

Fotocredit: http://en.wikipedia.org/wiki/File:Institutions_europeennes_IMG_4300.jpg

The post Die neue Datenschutzumgebung: Europäische Union weist den Weg für personenbezogenen Datenschutz appeared first on Varonis Deutsch.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?