Klienteninfo Ausgabe 11 / Februar 2020

Inhalt:

 

10.02.2020

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

Click to print!

 

 

 

Datenschutzverletzung - Was tun?

Seriöse Fachleute gehen davon aus, dass es keine Frage ist, OB ein Unternehmen Opfer einer erfolgreichen Cyberattacke wird, sondern nur WANN dieser Fall eintritt. *) Davon abgesehen ereignen sich aber zusätzlich auch noch genügend Fälle unbeabsichtigter Schutzverletzungen - Betriebsunfälle, wenn man so will. Wir wollen einige Punkte zeigen, die in der Praxis zu beachten sind, wenn das passiert, was keiner will - nämlich eine Datenschutzverletzung.

Zwei prominente Beispiele aus der jüngsten Vergangenheit:

In einem Fall wurden Mitarbeiter von H&M ausgespäht, d.h. ihre personenbezogenen Daten widerrechtlich verarbeitet. Da fanden sich Informationen über ihre Krankheiten, Schwangerschaften, Vorlieben etc. Die Täter waren Personen des mittleren Managements, also andere Mitarbeiter der gleichen Firma. Der Rechtsbruch wurde "im eigenen Haus" verübt, die Sache flog zufällig auf. H&M versprach Abhilfe und Konsequenzen. Der Datenschutzbeauftragte von Hamburg kümmert sich darum. Eine angemessener Bußgeldbescheid mit allen Konsequenzen für die Täter - inklusive Schadenersatzpflicht - steht zu erwarten.

In einem anderen aufsehenerregenden Fall verhielten sich die Verantwortlichen falsch: Die Autovermietung Buchbinder reagierte nicht auf Warnungen und mußte dann eine gravierende Datenschutzverletzung eingestehen. Ein Backup-Server, auf dem die Daten des Unternehmens gespeichert waren, war schutzlos frei aus dem Internet zu erreichen. Alle Kundendaten inklusive Bankverbindungen und Passworte waren auf diesem Rechner gespeichert. Unabhängig davon, ob nun tatsächlich Unbefugte Daten abgezogen haben, stellt alleine die Möglichkeit bereits einen Rechtsbruch dar.

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Was ist wichtig?

Die geltende Rechtslage sieht bei Datenschutzverletzungen zwei Meldepflichten des Verantwortlichen einer Datenverarbeitung vor:

a) Nach Art. 33 Datenschutzgrundverordnung (DSGVO) muss die Datenschutzbehörde (DSB) binnen 72 Stunden offiziell von der Schutzverletzung informiert werden.

b) Art. 34 DSGVO verlangt, dass auch die Betroffenen vom Vorfall in Kenntnis gesetzt werden, wenn Gefahr für ihre Rechte und Freiheiten droht. Dann müssen sie auch vom Verantwortlichen Hinweise erhalten, wie sie mögliche persönliche Nachteile minimieren oder abwehren können.

Was relativ einfach klingt, ist oft eine Herausforderung, weil eine ganze Reihe von Dingen zu berücksichtigen ist, um den Gesetzesauftrag zu erfüllen:

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

1. Die Entdeckung eines Vorfalles

Wie stellt man fest, dass es zu einer Datenschutzverletzung gekommen ist, bei der personenbezogene Daten gelöscht, verändert, unbefugt weitergeleitet oder auch nur Unbefugten (theoretisch) zugänglich gemacht wurden? Wenn nach einem Einbruchsdiebstahl das Büro verwüstet und die Computer verschwunden sind, wird man wohl nicht lange nachdenken müssen. Verschwundene Karteikästen mit Klientendaten oder fehlende Ordner mit Papierunterlagen sind ebenso ein untrügliches Anzeichen eines "Databreach". So offensichtlich sind die Dinge aber nicht immer.

Wie entdeckt man etwa Schadprogramme, die im Hintergrund laufend Daten abgesaugen und an Unbefugte übermitteln? Wie kommt man einem Unbefugten auf die Schliche, der sich Zugang zum Firmennetzwerk verschafft hat und dort laufend heimlich "mitliest"? Wie findet man - wie offenbar im Fall Buchbinder - fehlerhafte Einstellungen eines ansonsten normal laufenden Rechners, die es Unbefugten ermöglichen, an personenbezogene Daten zu gelangen?

Allgemeine Regeln, um solche Dinge entdecken zu können, gibt es ganz wenige. Die Wichtigste lautet: Jeder Verantwortliche einer Datenverarbeitung muss von Anfang an eine umfassende Risikoanalyse für seinen Betrieb durchführen - und zwar BEVOR es zu einer Schutzverletzung kommt. Am besten tut man das sogar bevor das Firmennetzwerk aufgebaut wird und zieht dabei Fachleute - nicht nur Techniker! - zu Rate. Dabei ist eine Reihe von Fragen zu beantworten, etwa auch die nach dem allgemeinen Nutzen einer Attacke auf das Unternehmen und nach möglichen Angreifern. Für die Ordination eines Arztes wird die Antwort signifikant anders ausfallen, als für einen Hotelbetrieb, einen Verein oder eine politische Partei. Sobald man einen Überblick über die möglichen Bedrohungen gewonnen hat, kann man darangehen, Maßnahmen zu planen, mit denen die Gefahr ausgeschaltet, verringert oder wenigstens die Folgen einer Schutzverletzung reduziert werden können.

In unserem Beispiel - das Erkennen eines heimlichen, widerrechtlichen Datenabflusses - könnte vielleicht auch ein Programm helfen, das die Zugriffe auf das Netzwerk und die Speichermedien protokolliert und bei Unregelmäßigkeiten Alarm schlägt. Wie immer die Lösung aber aussieht: Wirksam kann sie nur werden, wenn bereits VOR dem Ereignis Vorsorge getroffen wurde, dass die Dinge so rasch wie möglich ans Tageslicht kommen, sobald etwas schief läuft.

Sollte sich eine externe Person mit der Nachricht melden, ein Datenleck entdeckt zu haben, besteht jedenfalls akuter Handlungsbedarf. In der Vergangenheit haben nämlich manchmal spezialisierte Vereine, Aktivisten oder Redaktionen von Medien die Verantwortlichen gewarnt und mit Informationen über ihre Entdeckungen versorgt. Manchesmal melden sich auch Unbekannte mit Behauptungen, die für Laien schwer überprüfbar sind und verlangen für ihre "zweckdienlichen Hinweise" zu Sicherheitslücken Geld. Fachleute können meistens rasch überprüfen, ob solche Tips ernst gemeint sind und beraten auch hinsichtlich der weiteren Vorgangsweise.

Wie auch immer: Eine sofortige kluge Reaktion ist unverzichtbar. Bisweilen wurde aber berichtet, dass die Verantwortlichen nicht auf Hinweise reagierten.Wie die deutsche Tageszeitung "Die Welt" meldete, trifft das auch auf das Unternehmen Buchbinder zu, das bereits im Dezember 2019 Hinweise eines Sicherheitsforschers erhielt. Nachdem der Mann die Firma mehrfach erfolglos kontaktiert hatte, verständigte er die zuständige Datenschutzbehörde in Bayern. Hinsichtlich der Ursachen für das Verhalten von Buchbinder sind wir auf Spekulationen angewiesen. Unangemessener Hochmut kommt beispielsweise genau so in Betracht, wie mangelhafte interne Kommunikation oder schlichtweg fehlende Schulung von Mitarbeitern.

Ein unterschätztes Risiko sind falsch adressierte Mails oder Briefe, die unbeabsichtigt versandt werden und personenbezogene Daten enthalten. Vorfälle dieser Art sind relativ häufig. Nachträglich entdeckt werden können sie, wenn die Urheber, also etwa die Mitarbeiter, denen der Irrtum passiert ist, den Vorfall melden. Das aber setzt voraus, dass im Unternehmen ein Klima der Angstfreiheit herrscht (das heute fast schon Mangelware ist!) und der Pechvogel keine persönlichen Konsequenzen zu befürchten hat. Die zweite Möglichkeit der Entdeckung ist die Beschwerde eines Empfängers, dem eine Nachricht irrtümlich zugestellt wurde.

Immer wieder kommt es vor, dass Mails mit kontaminierten Anhängen, die Viren oder Trojaner enthalten, unachtsam geöffnet werden. Wenn dann der PC immer langsamer wird und schließlich vielleicht die Erpresser-Forderung am Bildschirm erscheint, ist offensichtlich, was geschehen ist. Die Daten sind dann nicht mehr verfügbar, verändert oder vielleicht sogar in die Hände von Unbefugten gekommen. Ein klassischer Fall von Schutzverletzung also. Dann muss sofort gehandelt werden, am besten innerhalb von Sekunden.

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

2. Feststellung von Art und Umfang der Schutzverletzung - Schadensermittlung

Das Gesetz verlangt, dass im Detail ermittelt wird, welche Art von Daten und welche Personen vom Vorfall betroffen sind. Wenn eine unverschlüsselte Festplatte gelöscht ist oder Karteikästen mit den Eintragungen verschwunden sind, ist diese Feststellung allein noch nicht die Lösung des Problems, sondern bestenfalls der erste Anhalt für eine Schadensbeschreibung.

Vollständig lösbar wäre die Aufgabe dann, wenn es eine exakte Kopie des Datenträgers oder des Karteikastens gibt, mit deren Hilfe man ermitteln kann, welche Daten und welche Personen betroffen sind. Während man aber bei elektronischen Datenträgern davon ausgehen kann, dass es eine Kopie (Backup) gibt, wird das beim verschwundenen Karteikasten wohl selten der Fall sein. Möglicherweise ist dann sogar der Kreis der Betroffenen unklar. Sollten etwa Kreditkartendaten oder Mailaccounts etc. eines unbestimmbaren Personenkreises betroffen sein, der zwingend zu verständigen wäre, hat die DSGVO auch für diesen Fall eine Regelung getroffen. Sie ist jedoch für den Verantwortlichen der Datenverarbeitung extrem unangenehm: Er muß die Schutzverletzung öffentlich bekanntmachen, um mögliche Betroffene zu informieren, die dann ggfs. selbst Vorsorge treffen können, damit die Auswirkungen des Vorfalls so gering wie möglich bleiben.

Soferne ein "stiller", vielleicht monatelanger Datenabfluss an einen unbekannten oder getarnten Empfänger erfolgt, ist das sozusagen ein Super-GAU, weil man dann den Umfang der Schutzverletzung nur nach langwierigen Nachforschungen und durch Zuhilfenahme von Spezialisten abschätzen kann. Manchmal wollen Täter öffentlichen Druck aufbauen und geben Teile ihrer kriminellen Beute im Internet zur Ansicht frei, was vielleicht auch einen Hinweis auf den Gesamtumfang der gestohlenen Daten ermöglicht.

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

3. Maßnahmen zur Schadensbegrenzung

Für diesen Schritt sollte man sich jedenfalls fachmännischer Hilfe von außen bedienen. Dabei sind zwei Aufgaben zu lösen: Die Beendigung der Schutzverletzung bzw. die Blockade eines eventuell noch laufenden Angriffs und das Setzen wirkungsvoller Abwehrmaßmahmen gegen künftige Attacken einerseits. Andererseits geht es darum, den Schaden, der durch den Datenabfluss, die Datenveränderung oder die Löschung der Daten entstanden ist, möglichst gering zu halten. Was konkret im Einzelfall zu tun ist, entscheidet sich, sobald klar ist, welche Daten und wieviele Daten betroffen sind und auf welche Weise die Schutzverletzung geschehen konnte.

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

"Hands on" - 10 Tips

Die praktischen Maßnahmen lassen sich in zwei Gruppen teilen: solche die VOR dem Ereignis gesetzt werden und solche, die NACHTRÄGLICH, d.h. sofort nach der Entdeckung zur Anwendung kommen. Wir haben für jede der beiden Gruppen fünf Punkte formuliert, die wir Ihnen besonders ans Herz legen. Die stärkste Wirkung haben natürlich alle Vorkehrungen, die getroffen werden, BEVOR „Feuer am Dach“ ist, weil damit die Erfolgsschancen eines eventuellen Angreifers deutlich herabgesetzt werden und eintretender Schaden so gering wie möglich bleibt.

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

VOR dem Schadensereignis

1. Maßnahmen nach einer Risikoanalyse für den Betrieb: Was könnte passieren? Wie häufig könnte so ein Vorfall passieren? Wie schwerwiegend wäre die Auswirkung? Wer könnte daraus Nutzen ziehen bzw. kommt als Täter in Betracht? Welche Datenschutzverletzungen können unbeabsichtigt ausgelöst werden? Wie kann man eine Datenschutzverletzung erkennen, verhindern oder wenigstens eingrenzen? Hilft das „4-Augen-Prinzip“?

2. Rasche Meldung des Schadensfalles: Wer muss informiert werden, wenn eine Schutzverletzung vermutet oder erkannt wird? Im Betrieb müssen Meldewege regelmäßig kommuniziert und trainiert werden, um sicherzustellen, dass der Verantwortliche der Datenverarbeitung umgehend (allenfalls auch in der Nacht) über Vorfälle informiert wird und seine Maßnahmen setzen kann. Es müssen auch Vertretungen festgelegt werden, die im Fall der Verhinderung einzelner Personen zur Anwendung kommen. Für eine effiziente und zeitsparende "Alarmierung" ist entscheidend, dass vorher genau abgesprochen wurde, wer welche Aufgaben übernimmt.

3. Regelmäßige Schulung aller Personen, die mit Datenverarbeitung zu tun haben: Alle Beteiligten müssen sofort reagieren, sobald sie das Gefühl haben, dass Dinge passieren, die nicht zum üblichen Ablauf passen. Wenn irrtümlich ein Mail mit infiziertem Anhang geöffnet wurde, hat die Meldung an den Verantwortlichen und die Schadensbegrenzung Priorität. Dazu muss aber ein entsprechendes Betriebsklima des gegenseitigen Vertrauens herrschen. Vorgesetzte, die regelmäßig Angst und Schrecken verbreiten, werden beim Datenschutz (aber nicht nur da!) Nachteile in Kauf nehmen müssen. Für Betriebe ab ca. 30 Mitarbeitern können auch Simulationen hilfreich sein. Dafür gibt es eigene Software, mit der ein Scheinangriff geführt und das Funktionieren der Alarmpläne ausgewertet wird. Die Mitarbeiter können das richtige Verhalten gefahrlos üben.

4. Verschlüsselte Datenträger sind für Unbefugte nicht lesbar. Ihr Inhalt ist daher für Außenstehende wertlos. Die Verfügbarkeit der Daten, die gesetzlich verlangt ist, kann durch ein Backup gewährleistet werden. Im Fall der Schutzverletzung fällt die Meldung an die Behörde sehr kurz aus, sofern die Daten verschlüsselt waren. Die Betroffenen müssen nicht verständigt werden, weil sie in ihren Rechten und Freiheiten nicht beeinträchtigt sind.

5. Bei handschriftlichen Unterlagen kann die Gefahr des Datenmissbrauchs und des Datenverlustes nur durch den Umgang mit dem Material im täglichen Betrieb reduziert werden: Einschränkung des Zugriffs auf möglichst wenige Personen, 4-Augen-Prinzip und sichere Lagerung (Schutz vor Einbruch, Feuer, Wasser). Wo immer möglich und sinnvoll sollten Kopien angelegt und sicher verwahrt werden.

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

NACH dem Schadensereignis

1. Wer immer eine Datenschutzverletzung beobachtet oder aufgrund verschiedener Anzeichen zu erkennen meint, muss so rasch wie möglich den Verantwortlichen der Datenverarbeitung davon in Kenntnis setzen. Dies ist extrem wichtig, um den Schaden gering halten zu können und die äußerst knappen gesetzlichen Fristen gut zu nützen.

2. Im Eintrittsfall muss auch die sofortige Beiziehung einer Fachkraft für Datenschutz und des "hauseigenen" IT-Experten erfolgen. Dies ist notwendig, um mögliche technische, strafrechtliche oder schadenersatzrechtliche Probleme später überschaubar zu halten. Allenfalls müssen die Datenschutz- und die Sicherheitsbehörden sofort zwecks Beweissicherung und Verfolgung der Täter bei laufenden "Angriffen" eingeschaltet werden.

3. Feststellung des Schadensumfanges und der Ursache: Welche Daten sind betroffen? Welche Personen sind betroffen? Wie ist der Vorfall erklärlich? Besteht die Möglichkeit einer "Gefahr für die Rechte und Freiheiten" der betroffenen Personen? Was kann getan werden, um diese Gefahren zu minimieren? Was können die Betroffenen allenfalls tun?

4. Meldung an die Behörde: In diesem Schritt müssen bereits getroffene Maßnahmen zur Herstellung des gesetzlichen Zustandes berichtet werden.

5. Meldung an die Betroffenen: Die Meldung muss auch Vorschläge enthalten, wie die Personen die negativen Folgen für ihre Rechte und Freiheiten möglichst gering halten können.

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Quellen:

https://futurezone.at/netzpolitik/hm-spionierte-mitarbeiter-aus-infos-ueber-krebs-blasenschwaeche/400737099
(26.1.2020)

https://www.sueddeutsche.de/wirtschaft/h-m-datenschutz-mitarbeiter-ausspioniert-1.4771636
(26.1.2020)

https://www.derstandard.at/story/2000113689706/datenleck-bei-buchbinder-was-betroffene-tun-koennen
(24.1.2020)

https://www.derstandard.at/story/2000113814618/was-betroffene-nach-dem-datenleck-beim-autovermieter-buchbinder-tun-koennen
(27.1.2020)

https://www.heise.de/ct/artikel/Datenleck-bei-Buchbinder-Was-Betroffene-jetzt-tun-koennen-4644140.html
(28.1.2020 - Wichtige Details zu den Datenkategoerien)

https://www.welt.de/wirtschaft/article205352735/Buchbinder-Datenleck-schlimmer-als-bislang-bekannt.html
(28.1.2020)

https://fm4.orf.at/stories/2997893/
(29.1.2020)

https://www.it-rechtsanwalt.com/datenschutz/dsgvo-meldepflicht-bei-datenpannen-4874.php
(19.1.2020)

*) https://www.derstandard.at/story/2000113983055/im-kopf-eines-hackers-wo-die-gefahren-fuer-cyberangriffe-lauern
(31.1.2020)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

EU-Kommission will strengere Anwendung des Datenschutzes

Die EU-Kommission hat sich positiv zum deutlich gestiegenen Bewußtsein der Bevölkerung für den Datenschutz geäußert. Ziel ist es jetzt, dass die Mitgliedsstaaten den nationalen Datenschutzbehörden die notwendigen Ressourcen zukommen lassen, damit sie Schutzverletzungen konsequenter verfolgen können. Es wird auch eine stärkere Vereinheitlichung der Entscheidungen im Rahmen der Union angestrebt.

Zu hoffen wäre, dass die österreichische Datenschutzbehörde in Zukunft - so wie die Datenschutzbehörden in Deutschland und Italien - mehr beratende Serviceleistung anbietet und sich inhaltlich nicht bloß auf die Publikation von Entscheidungen abgehandelter Fälle beschränkt.

Quelle:

https://www.derstandard.at/story/2000113844441/eu-kommission-will-verstoesse-der-dsgvo-schaerfer-bestrafen
(28.1.2020)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Italienische Datenschutzbehörde will europäische TaskForce gegen TicTok

Der Leiter der italienischen Datenschutzbehörde, Antonello Soro, hat bekanntgegeben, dass er sich bei der nächsten Koordinationssitzung der europäischen Datenschutzbehörde am 28.2.2020 für eine gemeinsame TaskForce gegen die beliebte, aber gefährliche Applikation TicTok einsetzen wird.

Wie wir schon in der letzten Ausgabe der Klienteninfo berichtet haben speichert TicTok Bilder, Videos und Standortdaten der Nutzer, bei denen es sich mehrheitlich um Kinder und Jugendliche unterhalb der Alterschutzgrenze handelt. Der chinesische Anbieter der Applikation hat zwar kurz vor Weihnachten 2019 erklärt, Daten, die außerhalb von China gesammelt wurden, nicht an Dritte weiterzugeben. Einen belastbaren Beweis für diese Aussage gibt es allerdings nicht, sodass die europäischen Datenschutzbehörden vorallem hinsichtlich des Jugendschutzes erhebliche Skepsis haben.

Quelle:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9249688
(24.1.2020)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

EU-Datenschutzbehörde: Neues Online-Tool zur Sicherheitsprüfung für Datenverarbeitungen

Aus Anlaß des Europäischen Datenschutztages am 29.Jänner 2020 wurde von der Europäischen Datenschutzbehörde ein Online-Tool veröffentlicht, mit dem das Risiko für für die Verarbeitung personenbezogener Daten überprüft werden kann. Leider hat die österreichische Datenschutzbehörde bisher keinen Hinweis auf diesen neuen Standard publiziert. Die Verwendung dieses Tools ist ab sofort dringend anzuraten, um im Fall einer Datenschutzverletzung nachweisen zu können, dass man sich als Verantwortlicher oder als Auftragsdatenverarbeiter entsprechender Verfahren (Art.32 Abs.3 DSGVO) bedient hat, um die Sicherheit der Datenverarbeitung und der getroffenen Maßnahmen zu gewährleisten.

Quellen:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9254237
(3.2.2020)

https://www.enisa.europa.eu/risk-level-tool/
(3.2.2020)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

 

Click to print!