Benachrichtigung bei Datenschutzverletzungen

Inhaltsverzeichnis

1 Einleitung

2 Grundlagen
2.1 DSGVO und BDSG
2.2 Artikel 33 & 34 DSGVO
2.3 Datensehutzbeauftragter

3 Enthüllungen von Datenpannen
3.1 Leak
3.2 Doxing
3.3 Gegenüberstellung Leak und Doxing

4 Aktuelle Form der Benachrichtigung
4.1 Informationsdienste
4.1.1 Have I Been Pwned
4.1.2 HPI -Identitiy Checker
4.1.3 Zusammenfassung
4.2 Informationsstellen
4.2.1 BSI
4.2.2 ENISA
4.2.3 Zusammenfassung

5 Aktive Benachrichtigung der Kunden

6 Diskussion

Abstract

Die vorliegende Arbeit gibt einen Überblick über die rechtlichen Verpflichtungen bei einer Datenschutzverletzung. Die Datenpannen Leak und Doxing werden ausführlich er­klärt und miteinander verglichen. Es werden Möglichkeiten vorgestellt, bei der Personen mithilfe von Eigeninitiative die Betroffenheit herausfinden können und an welche Gren­zen diese Tools stoßen. Die gesetzliche Verpflichtung zur Information der Betroffenen durch den Verursacher gibt es, aber eine adäquate Zuordnung anhand Identitätsmerk­malen nicht. Hier werden die verschiedenen Ansätze für eine automatische Analyse der Datenleaks vorgestellt und Probleme bei der Analyse herausgearbeitet.

Die Feststellung eines Leaks passiert häufig im Zusammenhang mit der illegalen Nut­zung dieser Daten. Durch die unbekannte Anzahl der Datenleaks und den Mangel an Korrektheit und Gültigkeit dieser Daten ist eine frühzeitige Benachrichtigung schwer zu realisieren. Auch die Zuordnung der gefundenen Daten zu einem Merkmal stellt sieh bei verschiedener Semantik und Syntax schwierig dar. Nach der Identifikation muss dieses Merkmal mit einer Person in Verbindung gebracht und ein gültiger Kommunikationsweg für die Benachrichtigung gewählt werden. Als zusätzliche Schwierigkeiten ergeben sieh diverse länderspezifisehen Merkmale.

This paper gives an overview of the legal obligations in ease of data protection breaches. The data breaches Leak and Doxing are explained in detail and compared with each other. It presents ways in which individuals can use their own initiative to find out how concerned they are and what the limits of these tools are. There is a legal obligation on the causer to inform the data subjects, but there is no adequate classification on the basis of identity characteristics. Here the different approaches for an automatic analysis of the data leaks are presented and problems in the analysis are worked out.

The detection of a leak often occurs in connection with the illegal use of this data. Due to the unknown number of data leaks and the lack of correctness and validity of this data, early notification is difficult to implement. Also the assignment of found data to a charac­teristic is difficult with different semantics and syntax. After identification, this feature must be associated with a person and a valid communication channel must be chosen for the notification. Additional difficulties include various country-specific features.

1 Einleitung

Doxing und Leaks bei Politikern oder bekannten Weltfirmen sind schon längst keine Seltenheit mehr und haben in den letzten Jahren erheblich zugenommen. Die rasan­ten Entwicklungen der Digitalisierung in allen Lebensbereiehen trägt maßgeblich zu den steigenden Informationen in digitaler Form bei. Das Interesse der Menschen über die persönliche Betroffenheit wächst stetig an. Die vorliegende Arbeit beschäftigt sieh mit den verschiedenen Möglichkeiten der Benachrichtigung betroffener Personen bei einer Datenschutzverletzung und der Selbstinitiative, Das Ziel der Arbeit ist es einen Weg aufzuzeigen, der für die Zukunft eine Benachrichtigung betroffener Personen bei einem Datenleak in adäquater Zeit ermöglichen soll. Dies soll anhand verschiedener Überlegun­gen zur Datenstrukturen und -arten, sowie Merkmalen bestimmter Datentypen, realisiert werden. Die Arbeit beginnt mit den Grundlagen zu den rechtlichen Rahmenbedingun­gen, Danach folgen verschiedene Definitionen und die aktuellen Formen der Benachrich­tigung bei Datenschutzverletzungen. Anschließend werden die Benachrichtigungen durch den Verursacher analysiert und aktuelle Probleme mit Lösungsansätzen aufgezeigt. Ab­schließend folgt eine Diskussion über die Realisierung einer automatisierten Analyse und Benachrichtigung der Betroffenen, Hier spielt besonders der Zeit- und Fehlerfaktor eine Rolle,

2 Grundlagen

2.1 DSGVO und BDSG

Die Datenschutzgrundverordnung (DSGVO) ist eine Verordnung der Europäischen Uni­on, mit der die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht und geregelt werden. "Das Ziel der DSGVO ist es, besseren Schutz der Privatsphäre zu leisten, welches durch Transparenz und Mo­dalität erreicht werden soll "[Kranig:2017:185],

Das Bundesdatensehutzgesetz (BDSG) regelt zusammen mit den Datensehutzgesetzen der Länder und anderen bereiehsspeziüsehen Regelungen den Umgang mit personenbe­zogenen Daten, die in Informations- und Kommunikationssystemen oder manuell verar­beitet werden [Daeubler:2018]. Das BDSG, welches schon seit 1977/78 existiert bzw. die Neufassung, die ab 25. Mai 2018 mit der DSGVO veröffentlicht wurde, ergänzt die DSGVO.

Die Mitgliedsstaaten können mit den Öffnungsklauseln die Regelungen der DSGVO um eigene Regeln erweitern. Insgesamt gibt es mehr als 70 solcher Öffnungsklauseln in der DSGVO mit verschiedenen Kategorien. Die erste Kategorie ermöglicht dem Staat eine Konkretisierung der Vorschriften durehzuführen. Es kann aber auch eine Ergänzung er­folgen, die weitere länderspeziüsehe Punkte zu diesem hinzufügt. Als letzte Möglichkeit gibt es die Modiükation, um eine Abweichung zu realisieren, die sowohl stärkend als auch absehwäehend angewendet werden kann [Gesetze-DSGVO:2018],

Die Konkretisierung wird wie folgt beschrieben: "Die Mitgliedsstaaten können durch Rechtsvorschriften speziüsehere Vorschriften zur Gewährleistung des Schutzes im Besehäftigungskontext .. vorsehen"[Gesetze-BDSG2018:Art.88 Abs. 1], Diese Öff­nungsklausel wird in Deutschland genutzt, beispielsweise ist hier die Regelung im Pa­ragraph 23 Absatz 1 Nummer 6 des BDSG zu nennen. Hier dürfen öffentliche Stehen personenbezogene Daten zu anderen Zwecken verarbeiten, wenn es für die Wahrnehmung der Aufsiehts- und Kontrollfunktion nützlich ist.

Eine Ergänzung wird deüniert als: " der Verantwortliche und der Auftragsverarbeiter [müssen] einen Datensehutzbeauftragten benennen; falls dies [] nach dem Recht der Mitgliedstaaten vorgeschrieben ist."[Gesetze-BDSG:2018], Die Ergänzung spiegelt sieh in der Pflicht zur Bestellung eines Datensehutzbeauftragten wider. Als konkretes Beispiel ist hier Paragraph 38 Absatz 1 BDSG zu nennen. Dieser besagt, dass ein Da­ tenschutzbeauftragter bestellt werden muss, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Von Seiten der DSGVO gibt es darüber keine Verpflichtung diesen zu benennen, lediglich die Verankerung, dass es ein abweichendes Recht für jeden einzelnen Mitgliedsstaat geben kann und keine allgemeine Regelung für alle greift.

Bei einer Modifikation werden die Vorschriften der DSGVO nicht angewendet, soweit das Recht der Mitgliedstaaten dem Verantwortlichen abweichende rechtliche Verpflich­tungen auferlegt [Gesetze-BDSG:2018], Die Öffnungsklausel Modifikation wurde bei der Lösehpflieht im Artikel 17 der DSGVO in Deutschland genutzt. Dieser wird durch den Paragraphen 35 Absatz 1 und Absatz 3 des BDSG modifiziert. Hier entfällt die Pflicht zum Löschen personenbezogener Daten, wenn satzungsmäßige oder vertragliche Aufbewahrungsfristen getroffen wurden. Weitere Modifikationen finden sieh auch im Handelsgesetzbuch mit der Aufbewahrung von Jahresabschlüssen und im Strafgesetz­buch mit der Speicherung von Sozialdaten,

2.2 Artikel 33 & 34 DSGVO

In diesen beiden Artikeln wird der Umgang mit Datenpannen und die Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten geregelt. Im Artikel 33 der DSGVO werden die Vorgaben zur Meldung von Verletzung des Schut­zes personenbezogener Daten detailliert aufgeführt. Im ersten Abschnitt geht es um die unverzügliche Meldung an die Aufsichtsbehörde binnen 72 Stunden nachdem die Ver­letzung bekannt wurde. Allerdings muss sie nicht erfolgen, wenn für das Recht und die Freiheit der natürlichen Person kein Risiko besteht,

Absatz 2 befasst sieh mit dem Auftragsverarbeiter, der eine Mitteilungspflicht gegenüber dem Verantwortlichen hat, wenn er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt. Im darauffolgenden Abschnitt geht es um den Informationsum­fang, den eine Meldung enthalten muss. Die Meldung muss die Beschreibung der Art der Verletzung enthalten, sowie Name und Kontaktdaten des Datensehutzbeauftragten oder einer sonstigen Anlaufstelle, Zusätzlich wird eine Beschreibung der wahrscheinli­chen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung gefordert. Die Meldung kann in klarer und einfacher Spra­che erfolgen. In Absatz 4 geht es um die verzögerte Bereitstellung der Meldung, Wenn diese nicht zeitgleieh möglich ist, muss die Meldung schrittweise zur Verfügung gestellt werden. Im letzten Abschnitt wird die Dokumentationspflieht angesproehen. Der Verant­wortliche muss alle Fakten und Zusammenhänge dokumentieren. Diese Dokumentation muss der Aufsichtsbehörde zur Überprüfung und Einhaltung der Bestimmungen zur Ver­fügung gestellt werden [Gesetze-DSGVO:2018],

Im Artikel 34 wird die Benachrichtigung von betroffenen Personen geregelt. Hier wird nach den verschiedenen Risikoarten unterschieden. Generell gilt, dass immer informiert werden muss, wenn ein hohes Risiko besteht.

Abbildung in dieser Leseprobe nicht enthalten

Es gibt drei Risikobereitste, die sieh nach der Schwere und Eintrittswahrscheinlichkeit eines Schadens gliedern. Problematisch sind hier die Grenzfälle zwischen den verschie­denen Abstufungen (siehe Abbildung 2,1),

Allerdings gibt es auch Ausnahmen, bei denen eine Benachrichtigung entfällt. Dies ist der Fall, wenn geeignete Sicherheitsvorkehrungen getroffen waren, wie beispielsweise Ver­schlüsselung der Daten, Ebenfalls prüft die Aufsichtsbehörde den Vorfall und kann von dem Verantwortlichen verlangen dies nachzuholen, wenn er noch nicht informiert hat. Das Bayerische Landesamt für Datensicherheit beschreibt die Meldung als kein "Wunsch­konzert", Dies wird deutlich in den hohen Bußgeldstrafen von bis zu 10 Mio, Euro bzw, zwei Prozent des Umsatzes, Die Risikoarteneinteilung ist in drei Phasen nach dem Kurz­papier der Aufsichtsbehörden zu durchlaufen. Zuerst werden die möglichen Schäden be­stimmt, Dies dient dazu, anschließend eine Abschätzung der Eintrittswahrscheinlichkeit und Schwere der möglichen Schäden zu treffen. Zum Schluss erfolgt noch die Zuordnung zur jeweiligen Risikostufe [Gesetze-DSGVO:2018],

2.3 Datenschutzbeauftragter

Als Datenschutzbeauftragter darf grundsätzlich jeder tätig sein. Es wird darauf auf­merksam gemacht, dass Unternehmen und auch Vereine einen Datenschutzbeauftragten bestellen müssen, wenn bei ihnen mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Diese Person darf in keinem In­teressenskonflikt stehen, als Beispiel wird hier der IT-Leiter aufgeführt. Die Aufgaben eines Datenschutzbeauftragten sind sehr umfangreich und werden ausführlich erläutert [Kranig:2017], Die benannte Person muss sowohl umfangreiches Wissen über DSGVO und BDSG, als auch über Prozesse im Unternehmen haben. Zusätzlich muss diese Person die Datenschutz Compliance sieherstellen und ein Risikomanagement betreiben, Daten- sehutzstrukturen und Datensehutzprozesse sind auch Teil des Aufgabengebietes, Es be­steht eine Dokumentations- und Nachweispflicht. Diese kann aber an eine andere Person des Vertrauens delegiert werden.

[...]