Seminar des Europäischen Datenschutzbeauftragten: Reaktion auf Datenverletzungen
Verfasst von sac am 21. November 2009 - 16:10
Dieser Artikel ist auch verfügbar auf:
Englisch: EDPS Seminar: Responding to data breaches
Am 23. Oktober 2009 hielten der Europäische Datenschutzbeauftragte (EDPS) und die Europäische Agentur für Netz- und Informationssicherheit (ENISA) ein Seminar über die Verletzung von Sicherheitsbestimmungen ab. Dies erfolgte in drei Sitzungen, die sich auf die Vermeidung, Handhabung und Auswertung von Datenverletzungen konzentrierten.
Die Grundlage dieses Seminars bot die bevorstehende Reform der ePrivacy-Richtlinie (2002/58), die voraussetzt dass Telekommunikationsanbieter über Sicherheitsverletzungen bezüglich persönlicher Daten Bericht erstatten. EDRi wurde eingeladen seine Haltung zu diesem Thema zu präsentieren.
Aus der Sicht eines Dateninhabers sind Benachrichtigungen über Datenverletzungen nicht bloß ein wichtiges Instrument zur Minderung des Risikos von Identitätsdiebstahl oder anderer krimineller Nutzung durchgesickerter Daten. Seit eine aktive Identitätsverwaltung (jeder führt irgendeine Art „Identitätsmanagement“ aus, z.B. indem man private und berufliche Informationen trennt) in der Informationsgesellschaft mehr und mehr an Bedeutung gewinnt, wird es auch zunehmend wichtiger zu wissen wer Zugang zu welchen persönlichen Informationen hat und welche Informationen veröffentlicht werden – ob nun mit Absicht oder durch versehentliche Sicherheitsverletzungen.
Datenverletzungen verursachen daher nicht bloß finanzielle Risiken, sondern auch eine Gefahr für die Identitätsverwaltung einer Person und das Recht auf informationelle Selbstbestimmung, wie es das deutsche Verfassungsgericht vor rund 25 Jahren definierte.
Folglich sind etliche Schutzmaßnahmen nötig um das Risiko auftretender Datenverletzungen zu verringern. Datenverantwortliche sollten Risikoanalysen betreiben, um potentielle Gefahren für Daten, die sie verwalten, und eventuelle negative Auswirkungen einer solchen Verletzung sowohl auf Verantwortliche als auch auf Dateninhaber zu erkennen. Basierend auf dieser Analyse sollten sie den Datenschutz durch technische und organisatorische Maßnahmen verbessern, mit einem besonderen Augenmerk auf Datenminimierung und die Nutzung von datenschutzförderlichen Technologien.
Gestützt von der Risikoanalyse sollten Richtlinien darüber entwickelt werden, wie man als Datenverantwortlicher aber auch als Dateninhaber auf Verletzungen zu reagieren hat. Dies hilft sicherzustellen dass Verantwortliche und betroffene Personen effektiv auf eine Datenverletzung reagieren können und alle jene Informationen zur Hand haben, die sie zur Minimierung negativer Folgen benötigen.
Obligatorische Benachrichtigungen über Datenverletzungen für Telekommunikationsanbieter stellen einen bedeutenden ersten Schritt bei der Befassung mit einem wichtigen Problem dar. Ähnliche Verpflichtungen sollten bald für alle weiteren Sektoren – öffentlich und privat – und Unternehmen implementiert werden.
(Ein Beitrag von Andreas Krisch - EDRi)
Stakeholders discuss how to respond to data breaches at EDPS-ENISA seminar (26.10.2009)
Data breach notification: Requirements from a Civil society perspective (23.10.2009)
Neueste Kommentare
vor 1 Woche 1 Tag
vor 3 Wochen 6 Tage
vor 3 Wochen 6 Tage
vor 4 Wochen 3 Tage
vor 4 Wochen 3 Tage
vor 4 Wochen 6 Tage
vor 5 Wochen 8 Stunden
vor 7 Wochen 5 Tage
vor 7 Wochen 5 Tage
vor 10 Wochen 5 Tage