Home / Aktuelles & Termine / it.sec blog

Die EU-Datenschutz-Grundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/EG von 1995 ab. Im Unterschied zur Datenschutzrichtlinie gilt die DSGVO unmittelbar in der gesamten Europäischen Union. Die DSGVO ist am 25.05.2016 in Kraft getreten und ist nach einer Umsetzungsfrist von zwei Jahren ab dem 25.05.2018 unmittelbar geltendes Recht in allen Mitgliedsstaaten.

Mit Hilfe der in den nächsten Wochen folgenden Blogbeiträge möchten wir Sie bezüglich der Änderungen sensibilisieren, damit die zu treffenden Anpassungen zeitnah bei Ihnen in die Wege geleitet werden können. Alle Unternehmen sollten die Übergangsfrist nutzen, um ihre gesamten Datenverarbeitungstätigkeiten inhaltlich und formal an die Anforderungen der DSGVO anzupassen. Spätestens ab dem 25.05.2018 muss jedes betroffene Unternehmen die neuen Anforderungen einhalten. Andernfalls drohen drastische Bußgelder.

Anwendbarkeit der DSGVO

Die Datenschutzgrundverordnung gilt für alle Datenverarbeitungsprozesse, die sich auf personenbezogene Daten von betroffenen Personen, die sich in der europäischen Union befinden, beziehen. Das gilt bei einer Verarbeitung im Rahmen einer EU-Niederlassung, dem Angebot von Waren und Dienstleistungen in der EU sowie bei der Verhaltensbeobachtung von Personen in der EU.

Sie gilt für ganz oder teilweise automatisierte Verarbeitungen personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

Begrifflichkeiten

Im Rahmen der DSGVO werden auch genetische und biometrische Daten unter den Begriff der sensiblen personenbezogenen Daten gefasst, Art. 4 und 9 DSGVO. Auch haben sich Begrifflichkeiten geändert, so wird beispielsweise der Auftragsdatenverarbeiter zum Auftragsverarbeiter und die verantwortliche Stelle zum Verantwortlichen.

Besondere personenbezogene Daten

Die besonderen Kategorien personenbezogener Daten finden sich in Art. 9 DSGVO. Folgende Kategorien sind dabei erfasst:

  • rassische oder ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen,
  • Gewerkschaftszugehörigkeit,
  • genetische Daten
  • biometrische Daten,
  • Gesundheitsdaten,
  • Sexualleben sowie sexuelle Orientierung.

Insofern sind gegenüber dem BDSG nur drei weitere Kategorien hinzugekommen: die genetischen und biometrischen Daten sowie die sexuelle Orientierung.

Die Verarbeitung dieser besonderen Daten bleibt grundsätzlich verboten. Diese dürfen nur dann verarbeitet werden, wenn eine der folgenden Voraussetzungen gegeben ist:

  • Einwilligung: Diese Erklärung muss ausdrücklich durch den Betroffenen erfolgen.
  • Die Verarbeitung Zwecken der Gesundheitsvorsorge und Arbeitsmedizin etc. dient.
  • Im öffentlichen Interesse liegende Wissenschafts- und Archivzwecke.
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
  • Öffnungsklausel für genetische, biometrische oder gesundheitliche Daten (die Mitgliedstaaten haben hier die Möglichkeit, zusätzliche Regelungen zu schaffen).
  • Zum Schutz lebenswichtiger Interessen, oder die Daten wurden durch den Betroffenen offenkundig öffentlich gemacht.
  • Mit der Datenschutzgrundverordnung gibt es zudem eine separate Regelung in Art. 10 DSGVO bezüglich der Datenverarbeitung von Straftaten oder strafrechtlichen Verurteilungen.

Auch an anderen Stellen der DSGVO wird auf die besonderen Datenkategorien konkret Bezug genommen. Beispielsweise bei der Folgenabschätzung in Art. 35 DSGVO oder bei der Pflicht zur Führung eines Verfahrensverzeichnisses in Artikel 30 DSGVO.

Fazit

Alle Datenverarbeitungsprozesse die sich auf personenbezogene Daten von betroffenen Personen, die sich in der EU befinden, beziehen, unterliegen der DSGVO.

Die Begrifflichkeiten haben sich leicht geändert, hinter ihnen versteckt sich jedoch das gleiche Konstrukt. Auch die besonderen personenbezogenen Daten wurden erweitert, jedoch hat sich im Grundsatz nichts daran geändert, dass deren Verarbeitung grundsätzlich verboten ist.

Bettina Kraft
Justiziarin, Consultant für Datenschutz
bkraft@it-sec.de

Die EU-Datenschutz-Grundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/EG von 1995 ab. Im Unterschied zur Datenschutzrichtlinie gilt die DSGVO unmittelbar in der gesamten Europäischen Union. Die DSGVO ist am 24.05.2016 in Kraft getreten und ist nach einer Umsetzungsfrist von zwei Jahren ab dem 25.05.2018 unmittelbar geltendes Recht in allen Mitgliedsstaaten. Steht eine Verordnung im Konflikt mit einem nationalen Gesetz, so hat die Verordnung Vorrang. Das BDSG findet dann über weite Strecken keine Anwendung mehr und wird vom Gesetzgeber in naher Zukunft reformiert werden.

Mit Hilfe der in den nächsten Wochen folgenden Blogbeiträge möchten wir Sie bezüglich der Änderungen sensibilisieren, damit die zu treffenden Anpassungen zeitnah bei Ihnen in die Wege geleitet werden können. Alle Unternehmen sollten die Übergangsfrist nutzen, um ihre gesamten Datenverarbeitungstätigkeiten inhaltlich und formal an die Anforderungen der DSGVO anzupassen. Spätestens ab dem 25.05.2018 muss jedes betroffene Unternehmen die neuen Anforderungen einhalten. Andernfalls drohen drastische Bußgelder.

Die Datenschutzerklärung

Alle Datenschutzerklärungen sind bis 2018 zu ergänzen. Die Informationsrechte der Betroffenen sind in der Datenschutzgrundverordnung stark erweitert worden. Es sind dem Betroffenen u.a. nun folgende Informationen mitzuteilen:

  • Angabe zur Identität und Kontaktdaten des Datenschutzbeauftragten.
  • Zweck und Rechtsgrundlage der Datenverarbeitung.
  • Bei Übermittlung der Daten in ein Land außerhalb der EU muss der Betroffene explizit darüber informiert werden (incl. entsprechender Rechtsgrundlage). Bei EU-Standardvertragsklauseln oder Binding Corporate Rules muss eine Kopie oder zumindest ein Link zu diesen bereitgestellt werden.Stützt der Verantwortliche den Verarbeitungsprozess auf berechtigte Interessen gemäß Art. 6 Abs. 1 Satz 1 lit. f DSGVO ist er verpflichtet, die jeweiligen Interessen anzugeben.
  • Die Betroffenen sind auf ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit Widerspruch und Beschwerderecht bei der Aufsichtsbehörde hinzuweisen.

Diese Informationen müssen gemäß Art. 12 DSGVO in leicht verständlicher Sprache für den Betroffenen leicht erreichbar sein. Sie können auf einer Webseite im Rahmen der Datenschutzerklärung oder in einer anderen elektronischen Form zur Verfügung stehen.

Bettina Kraft
Justiziarin, Consultant für Datenschutz
bkraft@it-sec.de

Laut SPIEGEL Online sind auf der US-Luftwaffenbasis Creech offenbar diverse Rechner von einem Virus befallen, der unter anderem alle Tastatureingaben protokolliert. Von dort aus werden zwar US Kampfdrohnen gesteuert, insgesamt ist sieht man die Situation aber gelassen:

"Wir löschen ihn immer wieder, und er kommt immer wieder zurück", zitiert das "Wired" Magazin eine ungenannte Quelle. Man gehe davon aus, dass der Virus "gutartig" sei, aber: "Wir wissen es einfach nicht genau."

Ich persönlich bin sehr beruhigt, dass das Mitschneiden von Tastatureingaben auf den Steuerrechnern von Kampfdrohnen durch Malware beim US Militär als nicht weiter bedrohlich eingestuft wird. Warum sollte einem das auch Sorgen machen? Jeder hatte doch schon mal einen Virus. Oder nicht?

Okay, Spaß beiseite: was lernen wir daraus? Warum nicht eine neue Form der Risikosteuerung zu den üblichen Methoden hinzufügen?

Zu den Klassikern der Risikosteuerung

  • Risikovermeidung
  • Risikoverminderung
  • Risikobegrenzung
  • Risikotransfer
  • Risikoakzeptanz

Unsere Empfehlung: Fügen wir hinzu

  • [NEU!] Wahrnehmungsfilterung!

Das Filtern der Wahrnehmung erfolgt idealerweise in der Form der "2nd Order Filterung". Das bedeutet, man stellt sich nicht selber dumm, sondern setzt jemand ein, der tatsächlich unverdächtig jeden Verständnisses der Situation ist und folgt dann dessen Einschätzung. Das ist geschickt, denn für sich selbst beinhaltet das dann auch gleich einen Risikotransfer, sollte jemand dahinterkommen. Man war's ja nicht selbst und kann auf Dritte zeigen, wenn die Welt doch untergeht.

Der Autor geht jetzt seine eigene Wahrnehmung filtern. Aus Selbstschutz.

Laut Presse und offiziellem Sony Blog wurden rund 77 Millionen Datensätze mit personenbezogenen Daten wie Name, Adresse, Geburtstag, Passworte(!), Sicherheitsantworten zum Passwort etc. kompromittiert, welche man im Rahmen der Anmeldung am PSN erhoben hat. Man fragt sich zunächst natürlich, ob wirklich alle Daten zum Mitspielen nötig waren.

Unabhängig davon bestätigt Sony, dass auf Kreditkartendaten zugegriffen werden konnte. Nach geraumer Zeit hat man aber nachgelegt und klar gestellt, dass diese verschlüsselt gewesen wären. Man darf sich allerdings schon fragen, ob man dieser Aussage glauben schenken darf. Immerhin schreibt der PCI-DSS Standard der Kreditkartenhersteller eine Verschlüsselung von Kreditkartennummern vor - und man wird irgendwie den Eindruck nicht los, dass man bei Sony durch eine Veränderung seiner Aussage dort im Nachhinein nichts anbrennen lassen will.

Der Eindruck wird dadurch verstärkt, dass zunächst auch behauptet wurde, die sogenannten CVCs (die dreistelligen Sicherheitscodes auf der Rückseite von Kreditkarten) seien nicht betroffen, da sie andernorts gespeichert wären. Mittlerweile hat man aber wohl erkannt, dass die CVC Nummern laut PCI-DSS in keinem Falle überhaupt gespeichert werden dürfen und beeilt sich nun zu behaupten, dass dies selbstverständlich der Fall sei.

All das sieht dann doch eher nach einer Schutzbehauptung aus haftungsrechtlicher Sicht aus, als nach glaubhaften Tatsachen, zumal offenbar mittlerweile lt. N-TV 2.2 Mio Datensätze aus dem Bestand inkl. Kreditkartennummern zum Kauf angeboten werden.

Immerhin ist davon auszugehen, dass das PCI Council einen unabhängigen Forensiker hinschicken wird und man wird sehen ...

Was tun?

Nachfolgend kurz die wichtigsten Tipps für Betroffene:

  • viele Menschen benutzen dieselben Accounts mit denselben Passworten auf verschiedenen Plattformen (ebay, Amazon, ...). Daher tut jeder Betroffene gut daran seine Passworte auf allen Plattformen zu ändern (und idealerweise überall andere zu nutzen)
  • Kreditkartenkonto und Bankkonto checken und unerklärbare Buchungen dem Kreditkartenunternehmen oder der ausgebenden Bank melden!
    Sollte bekannt werden, dass wirklich Kartennummern kompromittiert sind, werden die Kartenunternehmen normalerweise neue Kreditkarten mit neuen Nummern ausgeben und die alten Karten invalidieren!
  • Es ist damit zu rechnen, dass in nächster Zeit Spam oder Phishing Mails an die eMail Adressen von Betroffenen gesendet werden. Diese werden u.U. sehr vertrauenserweckend sein, kennt man ja die Nationalität, das Alter, Kreditkartenunternehmen etc.
    Es ist daher unbedingt darauf zu achten auf Anfragen hin keine persönlichen Angaben oder Passwörter preis zu geben. Sony wird derlei nicht erfragen.

Vorbeugen

  • Bei der Registrierung auf irgendwelchen Plattformen sollten man (im Rahmen des rechtlich vertretbaren) nur die wirklich wichtigen und nötigen Daten angeben, die der Anbieter tatsächlich benötigt. Ist es nicht möglich Felder leer zu lassen, kann man sich ja sicher schon mal vertippen.
  • Werden eMail Adressen gefordert, die für den eigentlichen Ablauf nicht nötig sind, kann es auch sinnvoll sein sich eine Spam-Adresse bei einem kostenfreien Provider zu sichern, die nur dazu dient unerwünschte Mails zu empfangen.
  • Lesen Sie die AGB und die Datenschutzbestimmungen! Stimmen Sie nicht zu, wenn Ihnen nicht gefällt was Sie lesen, oder wenn Sie die eigentlichen Text auch nach fünf klicks auf weitere Links noch nicht gefunden haben!
  • Wählen Sie Optionen ab, wie "ich will weitere Informationen erhalten", oder "ich bin einverstanden, dass meine Daten an Dritte weitergegeben werden, die mir wahnsinnig interessante Angebote machen werden".

it-sa 09 Interview 

Holger Heimann, Geschäftsführer der it.sec GmbH & Co. KG im Gespräch mit Marcus Beyer zu den Themen: Technokratie in Security-Projekten, Compliance und organisatorische Grundlagen:

Zum Video

Endlich: da kaufe ich mir einen Vulnerability Scanner/ein SIM/SIEM/wahlweise irgendwas anderes, und schwupp: compliant!

Den Herstellern von Produkten ist es ja nicht zu verdenken, dass sie die Nützlichkeit Ihrer Produkte zur Compliant-Werdung herausstellen. Eher erschreckend ist es, dass mit dieser Argumentation immer wieder in produktzentrischer Manier auch (mehr oder weniger) mal so eben gekauft wird. Dabei bestehen Vorgaben ("Controls") zu wie auch immer gearteter Compliance i.d.R. aus einer ganzen Reihe von technischen und auch organisatorischen Maßnahmen, welche wohldosiert und an der richtigen Stelle umgesetzt werden sollten - mit Maß und Verstand und vor allem mit einer definierten Zielsetzung. Die Zielsetzung beschreibt was erreicht werden soll - und vor allem auch was nicht.

Produkte alleine lösen diese Aufgabe nicht oder lösen auch schon mal Probleme, die man gar nicht hat - mit entsprechendem Ressourcenaufwand im Betrieb.

Beispielsweise ersaufen viele SIM/SIEM/IDS/IPS Projekte förmlich in Technokratie. Einmal ausgerollt hat mal möglicherweise wirklich das eine oder andere Control von vielleicht 100 weiteren des Frameworks XYZ erfüllt. Anstatt der noch fehlenden Controls werden aber oft nur die Möglichkeiten der Produkte ausgelotet: "whoa, was man da alles messen/scannen/xxx'en kann! Lass und das alles protkollieren!"

Auf die Frage wer das alles denn nun wie auswertet und vermittels welcher Prozesse die Daten wem, wannzur Verfügung gestellt werden, damit er damit was genau anfange sind die Antworten oft dünn: "Naja, das nutzen wir Abteilungsintern. Klar nicht immer, eben wenn jemand Zeit hat".

Das ist der falsche Weg. Richtiger ist es festzustellen, welche technischen und organisatorischen Anforderungen zur Lösung welcher Zielsetzung nötig sind und mit welchen Mitteln man die adressieren kann. Ihm Rahmen dieser Mittel ist festzulegen, wo die Grenzen des Nützlichen sind und was man tatsächlich benötigt, um welche Requirements zu adressieren. Und um den Rest aktiv wegzulassen.

ADCERT Anwendbarkeit Art. 17 DSGVO Art. 26 DSGVO Art. 32 DSGVO Audit Auftragsverarbeitung Auskunftsrecht Automatisierte Einzelentscheidung Autsch Begrifflichkeiten Beherbergungsstätten Betroffenenrechte Compliance Datenlöschung Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSGVO Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO EU-Datenschutz-Grundverordnung Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Konzern konzerninterner Datentransfer Löschung personenbezogener Daten Meldescheine Passwörter. 2016 Personalausweiskopien Privacy Shield Profiling Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Sony PSN Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Tracking Tools Übermittlung personenbezogener Daten unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Vertrag zur Auftragsverarbeitung Videoüberwachung Vorteile Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30