Datenklau und EU Datenschutz Grundverordnung: Folgenabschätzung im Marketing

Kürzlich las ich wieder Dinge über Datenklau, Datendiebstahl, Hackangriffe, usw.
Das Thema ist schon seit einiger Zeit hochaktuell. Diese bekommt durch die Datenschutz-Grundverordnung (DSGVO) die am 25 Mai 2018 in Kraft tritt, immer grössere Dringlichkeit für Unternehmen.

Die Richtlinie muss von Unternehmen schnell umgesetzt werden.

Wir haben dazu am 23.11.2017 auch ein White Paper publiziert mit dem Deutschen Marketing Verband – Competence Circle Digital Marketplaces #CCdigitalM:

Hier einige Gedanken zum Thema.

Bullet Punkte einfach anklicken und Sie können sogleich die Antwort lesen.

Wissen Sie z.B. welche Marketing Daten beim Unternehmen gespeichert werden und ob diese gut genug gesichert sind?
Ist das Unternehmen compliant und folgt dem Sinn und Zweck der Regulierung, nicht nur dem Gesetzestext?

1.  ePrivacy Verordnung und Datenschutz Grundverordnung

Wenn Sie es nicht 100% genau wissen, dann ist dies ein interessanter Beitrag der ein wenig Licht in die Dinge bringen dürfte.

Am 10 Januar, 2017 wurde die finale Version der geplanten ePrivacy-Verordnung als offizieller Vorschlag der EU Kommission veröffentlicht. Die neue Verordnung soll die Datenschutz-Grundverordnung (DSGVO) flankieren, die zum 25. Mai 2018 in Kraft tritt.

Als EU Verordnung ist die DS-GVO wie auch die ePrivacy-Verordnung in jedem EU-Mitgliedstaat grundsätzlich unmittelbar anwendbar. Weil sie allerdings zahlreiche Öffnungsklauseln hat, ermöglicht z.B. die DS-GVO dem nationalen Gesetzgeber gewisse Spielräume.

Am 4. Mai 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) kundgemacht.

Die Verordnung ist in der deutschen Fassung 88 Seiten lang und hat 173 Erwägungsgründe und 99 Artikel.

2. Was bedeutet dies für Online Händler und Digital Marketplaces?

Jede Plattform ob Amazon, Digitec-Galaxus, Lidl und Outfittery nutzt Daten von deren Kunden. Diese sind natürlich sehr detailliert. Ansonsten wäre es z.B. nicht möglich produkt- und situationsspezifische Preise anbieten zu können. D.h. mit Hilfe dieser Informationen und Algorithmen kann es passieren, dass ein Sitzplatz für meinen Kollegen in Meersburg am schönen Bodensee mehr kostet als für jemanden in Hamburg.

Auch die öffentlichen Verwaltungen nutzen IT Systeme und speichern Daten über die Bürgerinnen und Bürger.

Das Datensicherheit, Datenschutz und Privacy ein Thema ist, zeigt nur schon der Nachrichtenüberblick dieser Woche.

1. 21,000 Passwörter und Logins wurden geklaut: Online Händler Digitec-Galaxus / Migros betroffen

Die Firma des Grossverteilers Migros hat ihre Kunden via e-mail informiert und diesen mitgeteilt, dass sie bitte ihre Zugangsdaten ändern.

SDA (2017-08-29). Computersicherheit. Unbekannte stehlen 21’000 Logins und Passwörter. Aufgerufen 2017-09-01 auf https://www.nzz.ch/schweiz/computersicherheit-unbekannte-stehlen-21000-logins-und-passwoerter-ld.1313261

SDA (2017-08-31). Zugansdaten zu Online-Shop. Auch Digitec-Galaxus ist vom Datenklau betroffen. Aufgerufen 2017-09-01 auf https://www.nzz.ch/wirtschaft/zugangsdaten-zu-online-shop-auch-digitec-galaxus-ist-von-datenklau-betroffen-ld.1313765

Spaeth, S. 2017-08-31) Hackerattacke in der Schweiz. Digitec-Galaxus informiert Kunden über Datenklau. Aufgerufen 2017-09-01 auf http://www.20min.ch/finance/news/story/10708674

2. Computer der Bundesverwaltung: 2014 – 2017 Ziel von Hackerattacken

2017-08-31 – Donnerstag diese Woche hat der Bundesrat – die 7 “Bundesminister” der Schweiz bekannt gegeben, dass zwischen 2014 und Anfang 2017 eine Sicherheitslücke bestand. Das ermöglichte es nicht autorisierten Hackern Zugriff auf wenige Applikationen zu erhalten.

Am 27. Januar 2017 wurde von Spezialisten des Bundes ein Fehlerverhalten des betreffenden Zugangsdienstes festgestellt. Danach haben die zuständigen Fachleute den Mangel umgehend eingegrenzt und am 9. Februar 2017 endgültig behoben.

17.3519 INTERPELLATION. Leichter Zugriff Unbefugter auf die Informatiknetze des Bundes während Jahren. Wer wusste davon, wer hat reagiert und wer hat informiert? Eingereicht 15.6.2017.

Doch der Bundesrat hält sich bedeckt und deutet darauf hin, dass es keine Hinweise darauf gebe, dass die Sicherheitslücke tatsächlich ausgenützt worden sei, so der Bundesrat. Zum möglichen Datenklau schreibt er nur so viel:

… lässt sich das nicht vollständig nachweisen und damit auch nicht vollständig ausschliessen. Die vorhandenen Aufzeichnungen des betroffenen Zugangsdienstes genügen für eine abschliessende Aussage dazu nicht.

Dies deutet darauf hin, dass keine Zugangs Logs vorhanden waren, d.h. wer wann welche Applikation genutzt hatte konnte nicht eruiert werden.

Fazit: Die Schweizerische Bundesverwaltung muss über die Bücher was Risikoabschätzung in Sachen Datenschutz und Dokumentation der Prozesse betrifft.

3. Was bedeutet dies für Online Händler / Marktforscher… ?

3 Dinge ändern sich ganz bestimmt wie unten aufgeführt.

Doch diese Dinge werden Unternehmen noch einige Sorgen bereiten.

3.1  Risikoabschätzung und Dokumenation ist Pflicht

Unter dem DSGVO oder auch GDPR genannt müssen Unternehmen genauestens dokumentieren welche persönlichen Daten gespeichert werden. Nur dann sind diese in der Lage die Daten dem Kunden oder aber einem Gericht übergeben zu können oder diese auf verlangen des Kunden zu löschen.

Das bedingt das mehr Experten in Datensicherheit und Datenschutz eingestellt werden müssen. Ebenfalls macht das 72 Stunden Fenster Probleme. Der Bundesrat wie oben beschrieben wurde erst Wochen nach der Entdeckung des Datenlecks informiert.  Ebenfalls müssen Firmen wie z.B. Xing oder Facebook es Kunden ermöglichen, deren Daten runter zu laden und dieses mitzunehmen.

Beispiel ist das Risiko, dass eine Sicherheitslücke einem Hacker unerlaubten Zutritt zu den Daten gibt. Die Schweizerische Bundesverwaltung hat beispielsweise einen solchen Fall für gut zwei Jahre nicht entdeckt.

Beim Fall der Galaxus-Digitec / Migros wo 12’000 Passwörter geklaut wurden, hat man diese Problematik auch zufällig entdeckt.

Unternehmen haben Schwierigkeiten, sich für die neue EU Datenschutz Grundverordnung fit zu machen. Doch der Datenklau zeigt, mehr Datenschutz ist keine schlechte Idee. | Grafik Financial Times
Unternehmen haben Schwierigkeiten, sich für die neue EU Datenschutz Grundverordnung fit zu machen. Doch der Datenklau zeigt, mehr Datenschutz ist keine schlechte Idee. | Grafik Financial Times

Grafik von FT: Tech sectors struggles to prepare for new EU data protection laws
Das Sicherheitslücken und Datenklau ein grosses Problem sind zeigt die obige Grafik von der Financial Times.

Fazit: Für die meisten Firmen ist es sehr schwierig diese Risiken genau abzuschätzen – da hilft die Dokumentation von der „Commission nationales de l’informatique et des libertés“ (CNIL) siehe Tabelle oben – Reiter Folgeabschätzung

3.1  Innerhalb von 72 Stunden muss Datenklau gemeldet werden

Oft wissen die betroffenen Organisationen nicht genau, was für Daten und Geheimnisse geklaut wurden. Bei der RUAG passierte dies 2016. Das wirklich peinliche dabei ist, dass RUAG auch Cyber-Security Dienstleistungen an Kunden anbietet. Das weckt nicht gerade viel vertrauen in den Service wenn die Firma Tausende von Datensätzen verliert, aber nicht sagen kann welche Daten es genau waren.

Das DSGVO oder GDPR wird eine der teuersten Regularien in der Geschichte. Die neue Verordnung verändert wie wir Daten sammeln, speichern und löschen müssen. Im Zentrum des DSGVO ist der Schutz der Konsumenten.

Im Zusammenhang mit den oben erwähnten Beispielen ist sicherlich interessant, das die neuen Regeln verlangen das innerhalb von 72 Stunden Sicherheitslücken indentifiziert und rapportiert werden müssen.  Der Bund hat am 27. Januar 2017 ein “Fehlerverhalten des betreffenden Zugangsdienstes festgestellt.” Danach hätten die zuständigen Fachleute den Mangel umgehend eingegrenzt und am 9. Februar 2017 endgültig behoben. Der zuständige Departementsvorsteher – Bundesrat Ueli Maurer – wurde jedoch erst am 15. Februar 2017 über die Sicherheitslücke und die eingeleiteten Massnahmen informiert.

Fazit: Verschiedene nichtautorisierte Zugänge zu Kunden- oder Firmendaten sind ein Teil der Dunkelziffer. Im Fall von Digitec-Galaxus / Migros wurde man auf den Angriff aufmerksam, weil es eine Häufung von nicht erfolgreichen Logins gegeben hat. Das passiert wenn ein Bot eine Liste von Logins mit Passwörtern abarbeitet. Macht er das jedoch versteckt und über längere Zeit, wird dies oft nicht bemerkt. Glück im Unglück war hier das Resultat, der Bot war schlecht programmiert und wurde somit entdeckt…. aber erst nach einiger Zeit, leider.

3.3 Folgeabschätzung

Oft weiss niemand genau was die Folgen sind.  Dazu schreibt z.B. Melani lapidar für die Kunden vom Digitec-Galaxus / Migros Datenklau:

Überprüfen Sie in den nächsten Wochen jegliche Art von Kontoauszügen, iTunes-Belastungen usw. Sollten Sie Unregelmässigkeiten feststellen, setzen Sie sich bitte sofort mit Ihrer Bank resp. dem entsprechenden Unternehmen in Verbindung

21’000 Zugangsdaten zu Internet-Diensten gestohlen

Wie soll man im Voraus genau abschätzen können wieviel Schaden genau entstehen dürfte wenn 21’000 Datensätze gestohlen werden?

Ein systematischer Ansatz soll man laut Experten nutzen siehe Folgeabschätzung Reiter Tabelle UNTEN – klick hier – Hilfe für Unternehmer – Tools

Auch das fünfte Arbeitspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder genannt Datenschutzkonferenz (DSK) beschäftigt sich mit der Thematik der Datenschutz-Folgenabschätzung im DSGVO.

Unser Verständnis zum Thema Marketing steigern mit Hilfe vom MCLago #CCdigitalM | Urheber: Rawpixel.com auf Fotolia
Unser Verständnis zum Thema Marketing steigern mit Hilfe vom MCLago #CCdigitalM | Urheber: Rawpixel.com auf Fotolia

Fazit: Zur Zeit sind die Dokumentation eher Abstrakt. Prinzipiell muss der Marketing Experte sich mit dem Datenschutzbeauftragten in Sachen Datenschutz-Folgeabschätzung austauschen (siehe Art. 35 DSGVO Datenschutz-Folgenabschätzung – Punkt 2).

Doch an handfeste, praktische und einfach anwendbare Werkzeuge zu kommen ist nicht einfach.

[vc_row][vc_column][vc_tta_tabs][vc_tta_section title=”Workshop” tab_id=”1504250923465-95bab21f-b115″][vc_column_text]Der MCLago in Zusammenarbeit mit dem Competence Circle Digital Marketplaces vom Deutschen Marketing Verband (DMV) macht zu diesem Thema einen Workshop.

Dieser ist für MC Lago Mitglieder und Gäste kostenlos.[/vc_column_text][/vc_tta_section][vc_tta_section title=”Ressourcen” tab_id=”1492769353288-3819f3fa-8f4a”][vc_column_text]2018 EU Datenschutz Ratgeber:  Folgen für Marketing   Mai
2018 EU Datenschutz Ratgeber: Folgen für Social Media Marketing  August
2018 EU Datenschutz: KMU, was nun? November
2018 EU Datenschutz Ratgeber: Zielgerade Januar

#MCLago 2018 EU Datenschutz Ratgeber: Marketing September (Sie sind hier)
#MCLago 2018 EU Datenschutz Ratgeber: Folgen und Bussen für Marketing Januar[/vc_column_text][/vc_tta_section][vc_tta_section title=”Folgeabschätzung” tab_id=”1492769194548-0b426f5c-8f33″][vc_column_text]1. Arbeitshilfen für eine Datenschutz-Folgenabschätzung gibt es von der
Aufsichtsbehörde für Informatik und Freiheiten in Frankreich genannt
“Commission nationales de l’informatique et des libertés” (CNIL):
– Französisch – Arbeitshilfe – Datenschutz-Folgeabschätzung – Risiko, und auf
– Englisch – Arbeitshilfe – Datenschutz-Folgeabschätzung – Privacy-Impact Assessment

Eine Risikoabschätzung, d.h. was könnte falsch gehen beim Datenschutz und welche Konsequenzen hat dies für die Datensicherheit, Rechte der Kunden, usw. ist zwingend.

Die obige Arbeitshilfe unterstützt einen systematischen Ansatz im Unternehmen.

2.  Checkliste EU Datenschutz 2018: 3 Dinge die es zu berücksichtigen gilt

3.  Folgeabschätzung: Wie machen wir es richtig?  Hinweise und Links zu den notwendigen Formularen für eine systematische Folgeabschätzung

4. EU-Datenschutz-Grundverordnung (DS-GVO). Das BayLDA auf dem Weg zur Umsetzung der Verordnung. XVIII Datenschutz-Folgenabschätzung (DSFA)- Art. 35 DS-GVO

5. Das fünfte Arbeitspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) beschäftigt sich eingehend mit der Thematik der Datenschutz-Folgenabschätzung gemäss DSGVO.

[/vc_column_text][/vc_tta_section][vc_tta_section title=”Formulare” tab_id=”1501489872213-4fefe4f9-d86e”][vc_column_text]1. Verständliche und transparente Datenschutzhinweise: 1-Pager vom Bundesministerium für Justiz und Verbraucherschutz – IT-Gipfel 2015  – Der 1-Pager 

Im September 2016 meldete das BMJV, dass erste Unternehmen den “One-Pager” als Muster für transparente Datenschutzhinweise aufgegriffen haben.

Die neue Datenschutz-Grundverordnung DSGVO fordert explizit:

Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen (…), die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

2. Verarbeitungskonzept der Marketing oder Personaldaten ist Pflicht. Datenschutzkonforme Datenverarbeitung nach der EU-Datenschutz-Grundverordnung (DS-GVO) – 2017 –  bitkom

[/vc_column_text][/vc_tta_section][vc_tta_section title=”Tools” tab_id=”1504249314635-0a5a492e-d92f”][vc_column_text]

[/vc_column_text][/vc_tta_section][vc_tta_section title=”Gesetze” tab_id=”1504249675484-b453c2e9-eba2″][vc_column_text]

  1. Grundsätzliches in der EU Datenschutz Grundverordnung (EU DS-GVO or DSGVO)
  2. Grundsätzliches in der EU ePrivacy Verordnung
  3. EU’s General Data Protection Regulation oder EU Datenschutz Grundverordnung – Text
  4. Art. 35 DSGVO Datenschutz-Folgenabschätzung

[/vc_column_text][/vc_tta_section][vc_tta_section title=”Schweiz/USA” tab_id=”1504249839171-62e7d076-5ec4″][vc_column_text]Die General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679) oder Datenschutz Grundverordnung (DSGVO) hat auch einige Auswirkungen für Firmen in der Schweiz.

Hier sind diese kurz zusammengefasst:

[/vc_column_text][/vc_tta_section][/vc_tta_tabs][/vc_column][/vc_row][vc_row][/vc_row][vc_column][/vc_column][vc_column_text][/vc_column_text][vc_row][/vc_row][vc_column][/vc_column][vc_tta_tabs][/vc_tta_tabs]

4. Schlussfolgerung

Lesenswert

Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) schlägt vor dass die Faktoren der Eintrittswahrscheinlichkeit und Schaden in wenigen möglichen Szenarien auszuformulieren. Dabei kann die Verarbeitung von Daten zu physischen, materiellen und immateriellen Schäden führen. Darunter versteht man, laut BAyLDA Dinge wie z.B.:

  • Diskriminierung,
  • Identitätsdiebstahl,
  • finanzieller Verlust,
  • Rufschädigung,
  • Hinderung der Kontrolle über eigene Daten, und
  • Profilbildung mit Standortdaten.

EU-Datenschutz-Grundverordnung (DS-GVO). Das BayLDA auf dem Weg zur Umsetzung der Verordnung. XVIII Datenschutz-Folgenabschätzung (DSFA)- Art. 35 DS-GVO

Doch das obige Dokument ist in dessen Formulierung sehr grundsätzlich gehalten und bringt situative Interpretation ins Spiel.

Das Galaxus-Digitec / Migros wie auch das Beispiel der Eidgenössischen Bundesverwaltung illustrieren dies sehr gut. 3 Herausforderungen gilt es zu meistern:

  1. Risiken und die Wahrscheinlichkeit das diese eintreten abzuschätzen ist sehr schwierig. Wissen wir denn wieviele Zero-Day Vulnerabilities in unserer Oracle oder SAP Datenbank stecken? Kaum. Wie sollen wir dann abschätzen das jemand eine solche Vulnerabilität ausnutzt und unseren Kunden schaden zufügt?
    PS. Ein Zero-Day-Vulnerability ist eine bis jetzt unbekannte Sicherheitslücke. Zwischen Erkennen und Ausnutzen der Sicherheitslücke durch einen Hacker liegen Null Tage. Dabei kann es Monate dauern bis die Sicherheitslücke auch dem Hersteller bekannt ist und von diesem eliminiert werden kann.
  2. 72 Std. bis Verletzung gemeldet sein muss. Wenn man nicht weiss das man seit über einem Jahr gehackt wurde, kann man weder informieren noch die notwendigen Gegenmassnahmen einleiten. Die Folgeabschätzung hier ist fast unmöglich, oder kennen Sie einen praktikablen Weg dieses Problem zu lösen?
  3. Wie werden die möglichen physischen, materiellen und immateriellen Schäden quantifiziert? Denn nur dann ist es möglich anhand der Wahrscheinlichkeit des Eintritts eines Szenarios X zu entschieden welche Investitionen gemacht werden müssen um adequate Verbesserungen machen zu können.

Galaxus-Digitec / Migros aber auch die Eidgenössische Bundesverwaltung und deren Rüstungsbetrieb RUAG sind nur 4 Beispiele die zeigen, dass diese Abklärungen kein Kinderspiel sind. In vielen Fällen haben wir keine Ahnung, was genau geklaut wurde. Z. B. die RUAG wusste ungefähr das 20 Gigabytes Daten entwendet wurden und versuchte das Volumen zu rekonstruieren.  Von wem der Hackerangriff lanciert war war in allen 4 Fällen unbekannt.

Übrigens, das Klauen eines Datensatzes ist das eine… doch für welche Zwecke und in welchen Umständen diese dann genutzt werden kann die physischen, materiellen und immateriellen Schäden verstärken. Es kann es aber auch für den einzelnen Kunden abschwächen (d.h. Risiko wird kleiner für einen Schaden).  Auch das ist schwierig zu eruieren.

Da gibt es viel zu tun. Packen wir es an. Siehe auch zum Thema:

Lesenswert

Anhand von Daten in Nord- und Südamerika sowie Asien hat Verizon den “2017 data breach investigations report” veröffentlicht (Aufgerufen am 2017-08-30 auf http://www.verizonenterprise.com/resources/reports/rp_DBIR_2017_Report_en_xg.pdf).

Rund 45% aller Unternehmen welche überprüft wurden von der Telekom Gruppe und den Partnern der Studie sind nicht in Compliance mit den Payment Card Industry (PCI) Regeln. D.h. sie erfüllen deren Auflagen nicht. Oft  überprüfen sie die IT Systeme nicht genügend of für Sicherheitslücken. Einige verschlüsseln auch die Daten nicht. Bei anderen passiert es, dass bei Übernahme eines Unternehmens es 24 Monate dauert, bis die Systeme soweit angepasst sind, das die Industrieregeln der PCI wieder eingehalten werden.

Ihre Meinung? Diskutieren Sie mit

Quelle: Datenklau und EU Datenschutz Grundverordnung: Marketing gefordert

Aber was uns natürlich brennend interessieren würde wäre Ihre Meinung:

Ihr Feedback, würde mich natürlich sehr freuen.

Teilen Sie diesen Beitrag

2 Antworten

    1. Liebe Petra

      Herzlichen Dank. Eines der Probleme sind natürlich die Pflicht Datenschutzverletzungen innerhalb von 72 Std. melden zu müssen. Hier ergeben sich auch für Schweizer Unternehmen Riesenprobleme
      1. Was tun wenn man nicht weiss, dass man gehackt wurde (Fall RUAG in der Schweiz wo 8 GB geklaut wurden oder das Beispiel vom Bund (siehe oben im Text).
      2. Fall Equifax Von 143 Mio US-Amerikanern (rund 40% der US-Bevölkerung) wurde die Sozialversicherungsnummer Namen, Geburtsdaten und Adressen geklaut. Auch Kunden aus Kanada und Grossbritannien sind betroffen.
      Die Sozialversicherungsnummer nutzt man in den USA oft zur Identifizierung im Alltag. Beispiele sind Kreditanfragen.

      Schlimm ist, dass Equifax erst 6 Wochen nach Entdeckung des Hacker-Angriffes die Öffentlichkeit darüber informierte.
      Unter dem neuen EU DS-GVO muss dies innerhalb von 72 Stunden geschehen.

      Investor Relations Q&A, Equifax Cybersecurity Incident September 7, 2017 .

      Einige der Absätze und Gesetzestexte sind in der Schweiz weiterhin unklar wen mann die Botschaft des Bundesrates an das Parlament und Wirtschaftsverbände vom 15. September 2017 studiert, wie z.B.:

      Die Vorkehren zur Datensicherheit müssen es neu “ermöglichen”, “Verletzungen der Datensicherheit zu vermeiden” (Art. 7 Abs. 2).

      Welche Vorkehren sind hier gut genug?
      Siehe: Revision des DSG: Entwurf und Botschaft veröffentlicht

      Ich bin gespannt was wir in der Schweiz dann im August 2018, wenn das neue DSG (das EU-konform sein soll) in Kraft tritt. In the meantime empfiehlt es sich vorerst einmal sich für das EU DS-GVO vorzubereiten, denn die Übergangsfrist läuft im Mai 2018 ab!

      Herzlichst
      Urs

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Plugin von Real Cookie Banner