Naruszenie danych
Naruszenie danych lub wyciek jest przypadek, w którym osoby nieuprawnione uzyskanie dostępu do zbierania danych . Jeśli termin ten jest interpretowany szeroko, obejmuje również niepożądane usunięcie danych ( utratę danych ).
Definicje
Naruszenia danych to naruszenia bezpieczeństwa i ochrony danych, w przypadku których tajemnice państwowe, tajemnice handlowe lub dane osobowe prawdopodobnie zostały ujawnione osobom nieupoważnionym lub zostały im udowodnione. Nie ma znaczenia, czy dane są w formie analogowej czy elektronicznej. Obejmują one:
- świadome lub nieświadome niedozwolone przetwarzanie danych (np. wyciek danych),
- niedozwolone działania mające na celu obejście zabezpieczeń podczas przetwarzania danych,
- Ataki na infrastrukturę IT firmy.
Dane mogą zostać utracone w oryginale (np. W przypadku zgubienia, kradzieży lub nieprawidłowej utylizacji nośników danych lub plików ) lub w postaci kopii (np. Poprzez penetrację serwera, rozpowszechnianie przypadkowo opublikowanych danych lub pracę informatorów ) .
Amerykańska federalna ustawa o zarządzaniu bezpieczeństwem informacji definiuje naruszenia danych w następujący sposób:
- Termin „naruszenie danych” oznacza utratę, kradzież lub inny nieuprawniony dostęp, inny niż ten związany z zakresem zatrudnienia, do danych zawierających wrażliwe dane osobowe, w formie elektronicznej lub drukowanej, co skutkuje potencjalnym naruszeniem poufności lub integralność danych.
- (Naruszenie danych oznacza utratę, kradzież lub nieuprawniony dostęp, chyba że dotyczy stosunku pracy, / do danych, które zawierają wrażliwe dane osobowe w formie elektronicznej lub drukowanej, o ile zagraża to poufności lub integralności danych.)
W federalnej ustawie o ochronie danych naruszenia danych są definiowane pośrednio przez obowiązek informacyjny . W związku z tym naruszenie danych ma miejsce tylko wtedy, gdy
- 1. szczególne rodzaje danych osobowych ( § 3 ust. 9 BDSG),
- 2. dane osobowe objęte tajemnicą zawodową,
- 3. dane osobowe związane z czynami karnymi lub przestępstwami administracyjnymi lub podejrzeniem popełnienia przestępstwa lub wykroczenia administracyjnego, lub
- 4. dane osobowe dotyczące rachunków bankowych lub kart kredytowych
- przekazane niezgodnie z prawem lub w inny sposób bezprawnie uzyskane informacje o osobach trzecich [...]
Znaczenie prawne
W niektórych krajach istnieje obowiązek informowania o naruszeniu danych osobowych. W takich przypadkach należy powiadomić osoby, których to dotyczy, organy nadzorcze lub opinię publiczną. Z drugiej strony firmy zwykle ich nie publikują, jeśli są objęte tajemnicą handlową, aby zapobiec zniszczeniu ich wizerunku .
Sytuacja w Unii Europejskiej
Zgodnie z pakietem telekomunikacyjnym dostawcy usług telekomunikacyjnych są zobowiązani do informowania krajowych organów regulacyjnych o naruszeniach danych. W poważnych przypadkach osoby zainteresowane należy powiadomić bezpośrednio.
Od 25 maja 2018 roku, doszło do naruszenia obowiązku dane raportu zgodnie z artykułem 33 w Walnym rozporządzenia o ochronie danych (PKBR) we wszystkich państwach członkowskich.
Sytuacja w Niemczech
Od 2009 roku federalna ustawa o ochronie danych nakłada obowiązek informowania firm prywatnych i firm konkurencyjnych na mocy prawa publicznego , pod warunkiem, że dotyczy to danych osobowych. Firmy, które nie przestrzegają tego obowiązku informacyjnego, postępują niewłaściwie. Może to skutkować nałożeniem grzywny w wysokości do 300 000 EUR. W szczególnych przypadkach może zostać nałożona wyższa grzywna lub nawet kara więzienia. Dotychczas organy były zwolnione z obowiązku informacyjnego.
Wprowadzenie obowiązku udzielania informacji sprawiło, że firmy są bardziej skłonne do zapobiegania naruszeniom danych poprzez odpowiednie środki bezpieczeństwa IT .
Od czasu wejścia w życie RODO istnieje również znacznie bardziej kompleksowy obowiązek raportowania w przypadku naruszenia danych. Artykuły 33 i 34 regulują postępowanie i zgłaszanie naruszeń danych. Teraz każde naruszenie danych, które może stanowić zagrożenie dla osoby, której dane dotyczą, musi być niezwłocznie zgłaszane (zwykle w ciągu 72 godzin) właściwemu organowi nadzorczemu.
Sytuacja w Austrii
Austriacka ustawa o ochronie danych z 2000 r. Przewiduje również obowiązek udzielenia informacji, jeżeli dane z aplikacji danych „były systematycznie i poważnie wykorzystywane niezgodnie z prawem i grożą szkodą osobom, których to dotyczy”. Naruszenie może skutkować grzywną w wysokości do 10 000 euro.
Sytuacja w innych krajach
W Stanach Zjednoczonych osoby , których dane dotyczą, we wszystkich stanach z wyjątkiem Alabamy , Kentucky , Nowego Meksyku i Południowej Dakoty muszą zostać powiadomione o naruszeniu danych, jeśli dotyczy to danych osobowych.
Wykrywaj naruszenia danych
Naruszenia danych można wykryć w organizacji lub przynieść do niej z zewnątrz. Odbywa się to od wewnątrz np. Poprzez wywiady z pracownikami , przeglądy procesów, w których przetwarzane są dane wrażliwe, ocenę logów serwera , obserwację nieprawidłowości czy mechanizmy ostrzegania w przypadku nieuprawnionego dostępu. Informacje mogą być przekazywane z zewnątrz przez osoby trzecie, za pośrednictwem doniesień medialnych lub składając sprawozdania właściwemu organowi nadzorczemu . Powinien istnieć określony kanał raportowania, aby zgłoszenia stron trzecich mogły być przetwarzane szybko i niezawodnie. Aby zmniejszyć ryzyko naruszenia bezpieczeństwa danych, zaleca się wybieranie złożonych haseł, regularne instalowanie aktualizacji zabezpieczeń i aktywowanie uwierzytelniania dwuskładnikowego, jeśli jest dostępne.
konsekwencje
Naruszenie danych ma zwykle negatywne konsekwencje. Dla sprawcy, a jeśli są to dane osobowe, także dla poszkodowanych, może to być niekorzystne skutki ekonomiczne lub uszkodzenie wizerunku. W kilku przypadkach naruszenia ochrony danych mogą również mieć pozytywne konsekwencje, na przykład jeśli, podobnie jak w przypadku sygnalizowania nieprawidłowości, ujawnione zostaną ważne informacje, które nie zostały ujawnione opinii publicznej.
Według badania Ponemon średnie koszty naruszenia danych rosły w Niemczech co roku od 2008 r. W 2010 roku były to 3,4 miliona euro. Z tego 1,5 miliona euro można przypisać natychmiastowej utracie biznesu, 0,9 miliona euro utracie klientów i brakujących nowych klientów z powodu uszkodzenia wizerunku, 0,7 miliona euro wykryciu naruszenia danych i 0,2 miliona euro powiadomieniu osób, których dotyczy. Wraz z wprowadzeniem obowiązku informacyjnego w 2009 r. Koszty znacznie rosną, jeśli reakcja na naruszenie danych jest zbyt wolna lub niewystarczająca.
Jeśli naruszenie danych dotyczy danych osobowych, istnieje ryzyko kradzieży tożsamości . Dane mogą zostać wzbogacone przez przestępców poprzez phishing . Osoby dotknięte chorobą mogą wówczas ponieść ogromne szkody finansowe i osobiste.
Zobacz też
linki internetowe
- DATALOSS db - otwarta fundacja bezpieczeństwa - zbieranie naruszeń danych (szczególnie w krajach anglojęzycznych)
- datenleck.net - kronika naruszeń danych - zbiór naruszeń danych (szczególnie w krajach niemieckojęzycznych)
- Privacy Rights Clearing House: Chronology of Data Breaches - Gromadzenie naruszeń danych w Stanach Zjednoczonych
- Wymogi prawne (prawo o ochronie danych): Obowiązki informacyjne w przypadku wycieku danych (§ 42a BDSG)
Indywidualne dowody
- ↑ a b HRM.de: Wytyczne dotyczące przepływu informacji do stron trzecich. (Nie jest już dostępny online.) W: Biuletyn HRM Personalrecht. Luty 2010, zarchiwizowane od oryginału w dniu 11 października 2011 ; Źródło 3 października 2011 r . Informacja: Link do archiwum został wstawiony automatycznie i nie został jeszcze sprawdzony. Sprawdź oryginalny i archiwalny link zgodnie z instrukcjami, a następnie usuń to powiadomienie.
- ↑ Kodeks USA § 5727 (tytuł 38, część IV, rozdział 57, podrozdział III). Cornell University, dostęp 4 października 2011 .
- ^ Stefan Krempl: Bruksela przygotowuje pakiet telekomunikacyjny. C't, 2009, obejrzano 7 października 2011 .
- ↑ a b § 42a BDSG
- ↑ § 43 ust. 2 BDSG
- ↑ a b § 43 ust. 3 BDSG
- ↑ Rozdział 44 (1) BDSG
- ↑ a b c d Roczne badanie 2010: niemiecki koszt naruszenia danych. (PDF; 2,6 MB) Ponemon Institute, 2019, dostęp 12 października 2011 .
- ↑ Ogólne rozporządzenie o ochronie danych UE (RODO). (PDF) Bawarski Państwowy Urząd Nadzoru Ochrony Danych, luty 2011, dostęp 11 czerwca 2019 (niemiecki).
- ↑ Thomas Steinle: RODO obowiązek zgłaszania naruszeń danych. (html) it-rechtsanwalt.com, 2019, dostęp 11 czerwca 2019 (niemiecki).
- ↑ § 24 ust. 2a DSG
- ↑ Rozdział 52 (2) DSG
- ^ Przepisy dotyczące powiadamiania o naruszeniach bezpieczeństwa państwa. W: Krajowa Konferencja Legislatur Stanowych. Źródło 9 października 2011 r .
- ↑ Oliver Schonschek: Unikanie utraty danych: usterka danych - a teraz? W: PRAKTYKA OCHRONY DANYCH. WEKA MEDIA, dostęp 12 października 2011 .