[datensicherheit.de, 15.05.2020] Der Bundestag hat am Donnerstag, den 14. Mai 2020, über den Entwurf von CDU/CSU und SPD für ein zweites Gesetz zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite beraten, und die Beschlussempfehlung des Gesundheitsausschusses [1] angenommen.

Meldepflicht soll dauerhaft verankert werden

Für das Infektionsschutzgesetz sieht der Entwurf vor, eine gesetzliche Meldepflicht in Bezug auf COVID-19 und Sars-CoV-2 dauerhaft zu verankern. Das betrifft auch die neuen Meldepflichten zur Genesung und bei negativem Labortest. Es sollen also persönliche Daten aller getesteten Personen erfasst werden [2].

BfDI Kelber bezweifelt Erforderlichkeit und Verhältnismäßigkeit der Regelung

Der Bundesbeauftragte für den Datenschutz Ulrich Kelber beklagte, dass im Dunklen bleibt, welche Vorteile sich aus der Erfassung der Daten von allen getesteten Personen gegenüber einer rein statistischen Erfassung ergebe. Damit sei die verfassungsrechtlich erforderliche Abwägung mit dem Grundrecht auf informationelle Selbstbestimmung nicht möglich. Er bezweifelt die Erforderlichkeit und Verhältnismäßigkeit dieser Regelung [3].

„Die Bundesregierung möchte – so macht die Beschlussempfehlung deutlich – das zweite Pandemieschutzgesetz nutzen, um umfangreich Daten zu sammeln. Es sollen nun von allen Getesteten persönliche Daten gesammelt werden, ungeachtet des Ergebnisses. Sie verletzt dabei auf unverhältnismäßige Weise das Grundrecht auf informationelle Selbstbestimmung. Das Motto der Regierung scheint also zu sein: Nimm dir was du kriegen kannst.“, erklärt Sebastian Alscher, Bundesvorsitzender der Piratenpartei Deutschland.

„Was neben den datenschutzrechtlichen Aspekten bisher komplett übersehen wird, ist der soziale Effekt, den eine solche Meldepflicht auslösen kann. Wenn eine Diagnose, etwa im Zusammenhang mit der Abklärung von Atemwegsbeschwerden, immer direkt zu einer offiziellen Meldung führt, könnte ein Vermeidungsverhalten auftreten. Dies gefährdet dann nicht nur die Person und ihr Umfeld, sondern führt das gesamte System der Tests und Nachverfolgung ad absurdum. Das darf unter keinen Umständen passieren“, betont Anja Hirschel, Themenbeauftragte für Digitalisierung der Piratenpartei.

Weitere Informationen zum Thema:

Piratenpartei Deutschland
Datenerfassung auch bei Gesunden

Quellen/Fußnoten:
[1] Beschlussempfelung: dip21.bundestag.de/dip21/btd/19/192/1919216.pdf
[2] Entwurf eines Zweiten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite, Drucksache 19/18967: dip21.bundestag.de/dip21/btd/19/189/1918967.pdf
[3] Stellungnahme des BfDI an den Deutschen Bundestag zum zweiten Pandemieschutzgesetz www.bfdi.bund.de/DE/Infothek/Transparenz/Stellungnahmen/2020/StgN_zweites-Gesetz-Schutz-bei-epidemischer-Lage.html

Tipps für Unternehmen bei der Wahl einer Verschlüsselungslösung

[datensicherheit.de, 09.05.2018] Christian Heutger, Geschäftsführer der PSW GROUP, weist in seiner aktuellen Stellungnahme darauf hin, dass bereits heute das bisherige Bundesdatenschutzgesetz (BDSG) die Verschlüsselung von E-Mails mit personenbezogenen Daten vorschreibt. Ab dem 25. Mai 2018 verschärfe indes die Datenschutz-Grundverordnung (DSGVO) die Lage: „Die E-Mail-Verschlüsselung wird endgültig zur Pflicht!“

E-Mail-Verschlüsselung unabdingbar

„Wer dann noch auf E-Mail-Verschlüsselung verzichtet, für den kann es richtig teuer werden, weil Sicherheitsvorkehrungen zum Schutz von Daten nach aktuellem Stand der Technik nicht umgesetzt wurden“, warnt Heutger.
Der IT-Sicherheitsexperte rät, jedoch nicht gleich in Panik zu verfallen: „E-Mail-Verschlüsselung ist heutzutage praktikabel und mit geringem Aufwand implementiert. Idealerweise greifen Unternehmen zu einer Lösung, die unbemerkt im Hintergrund, also serverseitig, aufgesetzt wird. So müssen sich Mitarbeiter nicht in ihren Arbeitsabläufen umstellen.“

Unternehmen müssen Meldepflicht beachten

Nicht vernachlässigen sollten Unternehmen zudem, dass sie im Falle einer Datenpanne künftig verpflichtet sind, diese binnen 72 Stunden der zuständigen Aufsichtsbehörde sowie, bei hohem Risiko für persönliche Daten, den betroffenen Personen zu melden.
Waren die kompromittierten Daten jedoch so verschlüsselt, dass Dritte nicht an diese gelangen können, könnten Unternehmen zumindest auf die Bekanntgabe gegenüber betroffenen Personen verzichten. „Das erspart viel Arbeit und schützt den Ruf als datenschutzorientiertes Unternehmen“, unterstreicht Heutger.

Auswahl einer praktikablen, sichere Verschlüsselungslösung

„Bei der Verschlüsselung von E-Mails wird zwischen Transport- und Inhaltsverschlüsselung unterschieden. Während bei der ersten Variante die E-Mail auf ihrem Weg von Server zu Server quasi nur durch einen verschlüsselten Tunnel geschickt wird und auf den Servern selbst im Klartext gespeichert ist, wird bei der Inhaltsverschlüsselung auch die E-Mail selbst verschlüsselt“, erläutert Heutger.
Da dabei Metadaten wie Absender, Betreff der Nachricht und Empfänger unverschlüsselt und damit lesbar bleiben, sollten in der Praxis beide Verfahren kombiniert werden: „Es empfiehlt sich, auf Standardprotokolle zu setzen. So bietet sich S/MIME für die Inhaltsverschlüsselung an; eine Alternative wäre OpenPGP. TLS ist hingegen das Standardprotokoll für die Transportverschlüsselung.“
Laut Heutger sind mit S/MIME und PGP Lösungen auf dem Markt, für deren Einsatz Zertifikate sowie Schlüssel zwingende Voraussetzungen sind. Dies jedoch setze eine entsprechende Infrastruktur und zumindest ein wenig technisches Wissen voraus. In der Praxis lohne es sich deshalb über Alternativen nachzudenken: „Deshalb bieten sich Gateway-Lösungen zur E-Mail-Verschlüsselung an. Mit ihnen gelingt das Verschlüsseln und Signieren von E-Mails automatisch und zentral auf dem Server.“

Gateway-Lösungen für KMU nicht immer die beste Wahl

Kleinen Unternehmen rät Heutger jedoch von Gateway Lösungen ab: „Im Vergleich zu isolierten Ende-zu-Ende-Lösungen fällt der Konfigurationsaufwand recht hoch aus. Sie sollten deshalb ernsthaft über eine isolierte Lösung nachdenken und sich individuell beraten lassen, welche Lösung für sie richtig ist. Hinzu kommt, dass viele E-Mail-Gateways den unternehmensinternen Mail-Versand nicht schützen und bei Bedarf die innere Sicherheit mit einer weiteren Lösung erreicht werden muss.“

© PSW Group

Christian Heutger: Individuelle Verschlüsselungslösung für KMU empfohlen

Lösung sollte kompatibel mit vielen Betriebssystemen und Plattformen sein

Bei der Wahl der geeigneten Verschlüsselungslösung keinesfalls vernachlässigt werden sollten Schnittstellen zu weiterer Sicherheitssoftware, beispielsweise einem Virenscanner, um eingehende E-Mails auf Schadsoftware zu scannen.
Dasselbe gelte für das E-Mail-Archiv: Um E-Mails zu indizieren, sollte das Archivsystem auf E-Mail-Inhalte im Klartext zugreifen können. Andernfalls werde es schwer, eine bestimmte E-Mail später wieder aufzufinden. Die Wahl der geeigneten Verschlüsselungslösung sollte zudem auf ein System fallen, das auch mobile Endgeräte wie Smartphones oder Tablets mit einbindet.
„Um flexibel zu bleiben und für die Zukunft gerüstet zu sein, sollte eine Lösung gewählt werden, die mit vielen Betriebssystemen und Plattformen kompatibel ist“, so Heutger.

Weitere Informationen zum Thema:

PSW GROUP, 25.04.2018
Rechtliches / DSGVO: E-Mail-Verschlüsselung ist Pflicht

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

[datensicherheit.de, 31.10.2013] Am 25. August 2013 trat eine neue Verordnung der Europäischen Union in Kraft, die langfristig Auswirkungen auf die E-Mail-Kommunikation aller Unternehmen in der EU haben könnte, prognostiziert die GROUP Business Software AG (GBS).
Mit dieser Regelung werde – zunächst für Telekommunikations- und Internet-Anbieter – eine 24-stündige Meldepflicht von Datenpannen und Datendiebstählen eingeführt. Entsprechende Vorkommnisse, wozu auch der unbefugte Zugriff auf sensible Kundendaten beispielsweise in E-Mails zählt, seien demnach fristgerecht an die zuständigen Aufsichtsbehörden und Betroffenen zu melden. Nach Einschätzung der E-Mail-Experten der GBS ist dies angesichts der Zunahme an Fällen von Datenmissbrauch, auf die die EU mit dieser Verordnung reagiere, vermutlich erst der erste Schritt hin zu einer branchenübergreifenden Verschärfung der Meldepflichten.
Sie erwarteten, dass die Regelung schon bald auch auf andere Branchen ausgeweitet werde, erklärt Andreas Richter, „VP Marketing Europe“ bei GBS. Unabhängig davon sollten sich Unternehmen schon jetzt wappnen und ihre E-Mail-Kommunikation gegen Datendiebstahl und -verlust wirksam absichern. Es würde nichts nützen, USB-Ports zu blockieren oder CD-Rom-Laufwerke auszubauen, wenn sensible Kundendaten per E-Mail abflössen und in die Hände unbefugter Dritter gerieten, veranschaulicht Richter. Ein gutes Sicherheitskonzept müsse daher auch E-Mails samt ihrer Datei-Anhänge umfassen. Denn oftmals fänden sich in diesen
besonders wichtige Informationen.
GBS bietet seinen Kunden nach eigenen Angaben umfangreiche Möglichkeiten, einem Datenabfluss via E-Mail vorzubeugen – beginnend bei der Integration von „Data Leakage Prevention“ (DLP) bis hin zur Verschlüsselung der ausgehenden Kommunikation. Damit werde nicht nur einem Verlust wichtiger Daten vorgebeugt, sondern zugleich die Vertraulichkeit im B2B- und B2C-Umfeld sichergestellt.
Die E-Mail Experten von GBS üben jedoch auch Kritik an der neuen EU-Verordnung – Unternehmen könnten natürlich nur die Datenpannen melden, von denen sie Kenntnis erhalten. Bei Angriffsversuchen, die häufig unbemerkt blieben, laufe die 24-stündige Meldepflicht ins Leere. Gefragt seien daher zukünftig mehr präventive Maßnahmen, gibt Richter zu bedenken.

[datensicherheit.de, 26.02.2013] Der Hightech-Verband BITKOM hat die Unternehmen in Deutschland dazu aufgerufen, schwerwiegende Angriffe auf ihre IT-Systeme freiwillig den Behörden zu melden. „Die Sicherheitsbehörden brauchen aktuelle Informationen über gravierende Cyberangriffe, um Gegenmaßnahmen entwickeln und die Nutzer warnen zu können“, sagt BITKOM-Präsident Prof. Dieter Kempf mit Blick auf die jüngsten Attacken auf Unternehmen in den USA und Deutschland. In den vergangenen Wochen berichteten Unternehmen wie Apple, Microsoft und Facebook von Hacker-Angriffen, in Europa bestätigten EADS und ThyssenKrupp entsprechende Vorfälle. Entscheidend ist dabei aus Sicht des BITKOM, dass Meldungen an staatliche Stellen vertraulich behandelt werden. „Wir brauchen eine neue IT-Sicherheitskultur in der Wirtschaft, die auf Transparenz und Kooperation setzt“, sagt Kempf. „Und wir brauchen Sicherheitsbehörden, die von ihrer technologischen und personellen Ausstattung her in der Lage sind, Cyberangriffe abzuwehren und die Unternehmen in ihren eigenen Sicherheitsaktivitäten wirksam zu unterstützen.“ Laut einer BITKOM-Umfrage sind fast drei Viertel aller deutschen Unternehmen grundsätzlich dazu bereit, bei IT-Sicherheitsvorfällen mit den Behörden zusammenzuarbeiten.

Ein entsprechendes Meldesystem für IT-Sicherheitsvorfälle hat die ITK-Branche in Deutschland in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits etabliert. Dazu wurde die Allianz für Cybersicherheit gegründet, die die Zusammenarbeit von Sicherheitsbehörden, Forschungseinrichtungen und Wirtschaft beim Kampf gegen die Cyberkriminaliät koordiniert. Hier können Angriffe freiwillig und anonym gemeldet werden. „Das Meldesystem muss in der Fläche bekannt gemacht werden, damit auch der Mittelstand entsprechend sensibilisiert wird.“ Der BITKOM setzt hier auf den Aufbau regionaler Netzwerke in Kooperation mit Sicherheitsbehörden, Kammern und anderen Institutionen.

Laut einer BITKOM-Umfrage verzeichneten 40 Prozent der Unternehmen in Deutschland bereits Angriffe auf ihre IT-Systeme oder andere IT-Sicherheitsvorfälle. Viele Unternehmen sind auf solche Situationen schlecht vorbereitet. Die Hälfte der Befragten gab an, dass sie keinen Notfallplan für IT-Sicherheitsvorfälle hat. Und ein Drittel der Unternehmen gestehen ein, dass sie Nachholbedarf beim Thema IT-Sicherheit haben. „Die Unternehmen müssen sehr schnell auf neue Gefahren reagieren“, sagte Kempf. Besonders gefährlich seien derzeit so genannte Drive-by-Downloads. Dabei laden sich Internetnutzer beim Besuch manipulierter Webseiten unbewusst Schadsoftware auf den eigenen Rechner. Bei einigen der jüngsten Attacken war die Schadsoftware auf speziellen Webseiten für Software-Entwickler versteckt.

Gesetzliche Meldepflichten von IT-Sicherheitsvorfällen sieht der BITKOM dagegen weiterhin kritisch. „Wir brauchen nicht für jedes Sicherheitsproblem ein neues Gesetz“, sagte Kempf. „Gesetzliche Meldepflichten für IT-Sicherheitsvorfälle sollten sich auf die Betreiber Kritischer Infrastrukturen beschränken.“ Eine vorübergehende Unterbrechung von Online-Diensten infolge eines Cyberangriffs sei nicht mit Angriffen auf Telekommunikationsnetze, Verkehrswege oder die Energieversorgung zu vergleichen.

Meldepflichten von IT-Sicherheitsvorfällen gibt es in Deutschland bereits für die Betreiber von Telekommunikationsnetzen nach dem Telekommunikationsgesetz. Nach dem Bundesdatenschutzgesetz müssen außerdem Vorfälle gemeldet werden, wenn personenbezogene Daten betroffen sind. Das ist zum Beispiel der Fall, wenn die Zugangsdaten oder Kreditkartendaten gestohlen werden. Anonyme und freiwillige Meldungen von IT-Sicherheitsvorfällen sind beim BSI möglich. Die Meldestelle ist auf der Website der Allianz für Cybersicherheit erreichbar.

[datensicherheit.de, 01.10.2011] Peter Schaar begrüßt, dass das Gesetz die unverzügliche Löschung aller im Zusammenhang mit dem „ELENA“-Verfahren entstandenen Daten vorsieht und die Meldepflicht der Arbeitgeber aufhebt. In der Datenbank seien bereits mehr als 700 Millionen Datensätze gespeichert. Den Löschprozess werde er begleiten und den von ihm treuhänderisch verwalteten Datenbank-Hauptschlüssel, mit dem bislang die Verschlüsselung der „ELENA“-Datenbank sichergestellt wurde, unverzüglich nach Inkrafttreten des Gesetzes löschen.
Das „ELENA“-Verfahren, bei dem Arbeitgeber seit Januar 2010 Entgeltdaten ihrer Mitarbeiter an die bei der Deutschen Rentenversicherung Bund eingerichtete Zentrale Speicherstelle übermittelt hatten, war von der Bundesregierung im Juli 2011 wegen der nicht ausreichenden Verbreitung der qualifizierten elektronischen Signatur gestoppt worden.
Zur Ankündigung der Bundesregierung, nun ein einfacheres und unbürokratisches Meldeverfahren in der Sozialversicherung entwickeln zu wollen, erklärt der Bundesdatenschutzbeauftragte, dass auch bei einem etwaigen neuen Verfahren der Datenschutz gewährleistet sein müsse. Dabei dürfe es keine Abstriche geben. Wichtig sei ihm insbesondere, den Umfang der personenbezogenen Daten so gering wie möglich zu halten – eine Datenspeicherung auf Vorrat dürfe es nicht geben. Von zentraler Bedeutung sei auch, dass die Betroffenen soweit wie möglich die Kontrolle über ihre Daten behielten und dass Auskunfts- und Berichtigungsansprüche von Anfang an gewährleistet würden.
Die datenschutzrechtlichen Anforderungen für ein Nachfolgeverfahren seien den nachfolgenden Eckpunkten zu entnehmen:

1. Erforderlichkeit und Datensparsamkeit
   Im Sinne der Datensparsamkeit sollte der Umfang der personenbezogenen
   Daten so gering wie möglich bleiben. Das Verfahren sollte so gestaltet
   werden, dass nur die für den konkreten Zweck erforderlichen Daten
   erhoben und anlassbezogen verarbeitet werden. Zu vermeiden sei auch,
   dass Daten von Personen gesammelt würden, die das System mit an
   Sicherheit grenzender Wahrscheinlichkeit nicht nutzen würden (also keine
   Vorratsspeicherung).
2. Einkommensbegriff vereinheitlichen – Daten reduzieren
   Die Vielfalt der im Sozialrecht verwendeten Einkommensbegriffe habe eine
   hohe Komplexität der Verfahrensanforderungen zur Folge und mache
   umfangreiche einkommensrelevante Angaben erforderlich. Im Interesse des
   Bürokratieabbaus und der Datensparsamkeit sollten diese
   Einkommensbegriffe mit dem Ziel ihrer Reduzierung und Vereinheitlichung
   überprüft werden.
3. Strikte Zweckbindung
   Die im Rahmen des Verfahrens erhobenen und verarbeiteten Daten müssten
   einer strikten Zweckbindung unterworfen werden. Ihre Verwendung sei
   durch eine spezialgesetzliche Regelung auf die Sozialbehörden zu
   beschränken. Diese Zweckbindung sei technisch und organisatorisch
   abzusichern.
4. Datenverarbeitung unter Kontrolle der Betroffenen
   Es sollte angestrebt werden, dass die Betroffenen soweit wie möglich die
   Kontrolle über ihre Daten behielten.
5. IT-Sicherheit
   Die zur Absicherung der personenbezogenen Daten zu treffenden
   technischen und organisatorischen Maßnahmen müssten der hohen
   Sensibilität der Sozialdaten entsprechen und sich am Stand der Technik
   orientieren, insbesondere hinsichtlich der Anforderungen eindeutige
   Identifizierung aller Verfahrensbeteiligten, Verschlüsselung und
   Protokollierung. Soweit Daten an zentraler Stelle zusammengeführt werden
   sollten, müssten die Anforderungen des Bundesverfassungsgerichts für
   Telekommunikationsdaten berücksichtigt werden.
6. Verfahren bürgerfreundlich gestalten
   Das Verfahren sei so bürgerfreundlich wie möglich zu gestalten. Dazu
   gehöre, dass eine Antragstellung des Bürgers einfach,
   datenschutz-/-sicherheitsgerecht und zügig erfolgen könne. Dazu gehöre
   auch, dass für den Bürger transparent werde, welche Daten über ihn
   gespeichert, übermittelt und genutzt werden und zu welchem Zweck dies
   geschieht.
7. Auskunftsanspruch der Bürger realisieren
   Die Rechte der Betroffenen (insbesondere Auskunfts- und
   Berichtigungsansprüche) seien zu gewährleisten. Entsprechende
   Vorkehrungen müssten bereits in der Verfahrenskonzeption berücksichtigt
   werden.

[datensicherheit.de, 18.07.2011] Das Bundesministerium für Wirtschaft und Technologie und des Bundesministerium für Arbeit und Soziales haben am 18. Juli 2011 gemeinsam die Einstellung des ELENA-Verfahrens verkündet:
Beide hätten sich demnach „nach eingehender Überprüfung“ darauf verständigt, das ELENA-Verfahren schnellstmöglich einzustellen. Grund sei die fehlende Verbreitung der qualifizierten elektronischen Signatur. Umfassende Untersuchungen hätten jetzt gezeigt, dass sich dieser Sicherheitsstandard, der für das ELENA-Verfahren datenschutzrechtlich zwingend geboten sei, trotz aller Bemühungen in absehbarer Zeit nicht flächendeckend verbreiten werde – davon aber hänge dessen Erfolg ab.
Die Bundesregierung werde dafür Sorge tragen, dass die bisher gespeicherten Daten unverzüglich gelöscht und die Arbeitgeber von den bestehenden elektronischen Meldepflichten entlastet würden. Das Bundesministerium für Wirtschaft und Technologie werde in Kürze einen entsprechenden Gesetzentwurf vorlegen.
Es sei der Bundesregierung ein wichtiges Anliegen, Lösungen aufzuzeigen, die die bisher getätigten Investitionen der Wirtschaft aufgriffen. Das Bundesministerium für Arbeit und Soziales werde ein Konzept erarbeiten, wie die bereits bestehende Infrastruktur des ELENA-Verfahrens und das erworbene Know-how für ein einfacheres und unbürokratisches Meldeverfahren in der Sozialversicherung genutzt werden könnten.

Weitere Informationen zum Thema:

BMWi, 18.7.2011
ELENA-Verfahren wird eingestellt

[datensicherheit.de, 14.01.2011] Die enisa hat am 14. Januar 2011 einen Bericht über Meldungen von Verletzungen der Datensicherheit veröffentlicht. Die Forderung der EU nach der Meldung von Verletzungen der Datensicherheit im Bereich der elektronischen Kommunikation nach der EG-Richtlinie zur „e-Privacy“ (2002/58/EG) trage demnach entscheidend zur langfristigen Verbesserung der Datensicherheit in Europa bei. Die enisa hat die aktuelle Situation unter die Lupe genommen und in ihrem neuen Bericht die wichtigsten Problempunkte sowohl der Betreiber von Telekommunikationseinrichtungen als auch der Datenschutz-Behörden identifiziert.
Das Vertrauen der Bürger zu gewinnen und zu erhalten, dass ihre Daten sicher und geschützt sind, sei ein wichtiger Faktor für die zukünftige Entwicklung und die Einführung neuer Technologien und Internet-Dienstleistungen in ganz Europa, so der Geschäftsführende Direktor der enisa, Prof. Udo Helmbrecht.

Zu den wichtigsten Problempunkten gehören unter anderem:

• Risikopriorisierung – die Schwere der Verletzung sollte das Niveau der Antwort bestimmen.
• Kommunikationskanäle – die Betreiber müssen die Sicherheit haben, dass die Meldeanforderungen ihre Marken nicht negativ beeinflussen.
• Ressourcen – manche Aufsichtsbehörden sind schon mit anderen Aufgaben beschäftigt, denen sie Priorität einräumen.
• Durchsetzung – die Datenschutz-Behörden haben angeführt, dass die Ermächtigung zur Auferlegung von Sanktionen sie befähigt, die Regelungen besser durchzusetzen.
• Zu starke Verzögerungen bei der Berichterstattung – die Aufsichtsbehörden wollen kurze Fristsetzungen für das Melden von Verletzungen durchsetzen.
• Inhalt der Meldungen – die Betreiber wollen sicherstellen, dass die Inhalte der Meldungen sich nicht negativ auf ihre Kundenbeziehungen auswirken.

Im Jahr 2011 wird die enisa Ausführungsanweisungen für die technischen Implementierungsmaßnahmen und die Verfahren aufstellen, wie sie in §4 der EG-Richtlinie 2002/58/EC enthalten sind, und sie wird die Möglichkeit analysieren, die allgemeine Pflicht zur Meldung von Verletzungen der Datensicherheit (Data Breach Notification) auf andere Bereiche auszudehnen, z.B. auf den Finanzsektor, das Gesundheitswesen und Kleinunternehmen.

Weitere Informationen zum Thema:

enisa
Data breach notifications / Review of the current situation in the implementation of data breach notifications requirement, set up by the Article 4 of the reviewed ePrivacy Directive

enisa
Data Breach Notifications in Europe – The way forward / Workshop organised by ENISA on the future of notifications about data breaches

[datensicherheit.de, 01.09.2009] Mit dem Inkrafttreten der Novelle des Bundesdatenschutzgesetzes am 1. September 2009 wird auch eine gesetzliche Informationspflicht bei Datensicherheitsverletzungen geregelt:
Gehen beispielsweise personenbezogene Daten verloren, verschaffen sich Unbefugte Zugriff darauf oder werden sie unrechtmäßig an Dritte weitergegeben, müssen Unternehmen und Behörden dies künftig veröffentlichen (Novelle II des Bundesdatenschutzgesetzes BDSG, §42a). Festgelegt ist auch, dass Unternehmen die von den Datensicherheitsverletzungen Betroffenen informieren müssen. Dies könnte schlimmstenfalls bedeuten, dass sie sich an Millionen von Betroffenen beispielsweise über Anzeigen in Tageszeitungen wenden müssen.
„Sophos“, Anbieter von IT-Lösungen für „Security and Data Protection“, begrüße das neue Gesetz. Nichts treffe Unternehmen so nachhaltig, wie die Schädigung ihres guten Rufs. In Ländern wie den USA hätten ähnlich verstärkte Gesetze bereits zu einem Rückgang bei IT- und Datensicherheitsvorfällen geführt, so Christoph Hardy, Senior Security Consultant.
„Sophos“ und „Utimaco“ haben sich daher schon in der Vergangenheit für eine Meldepflicht eingesetzt. Für deutsche Unternehmen sollte die Verschärfung des Datenschutzrechts daher Anlass sein, ihre bestehenden IT- und Datensicherheitskonzepte kritisch zu prüfen und bei Bedarf zu optimieren. Nur so könnten sie vermeiden, dass vertrauliche Daten verloren gingen oder von Hackern gestohlen würden. Der Einsatz geeigneter technischer Lösungen mit integrierten Funktionen zum Schutz der IT-Systeme vor Schadsoftware und unberechtigten Datenzugriffen sollte mittlerweile selbstverständlich sein.
Sieben Goldene Regeln, die Mitarbeiter beim Umgang mit E-Mail, Internet und vertraulichen Daten beachten sollten:

1. Jeder Klick kann gefährlich sein
2. Schwer zu knackende Passwörter einrichten
3. Vorsicht bei sozialen Online-Netzwerken
4. Nur verschlüsselte Daten sind sicher
5. Auf mobile Geräte besonders achten
6. Daten sind bares Geld wert
7. Datendiebstahl kann Folgen haben

Zur Aufklärung der Mitarbeiter in Sachen IT- und Datensicherheit sollten Unternehmen regelmäßige Schulungen abhalten und praxistaugliche Informationsmaterialien bereitstellen. Darüber hinaus sind klare Regeln zum Umgang mit Daten, E-Mail und Internet zu definieren und durchsetzen!

Weitere Informationen zum Thema:

utimaco safeware, 31.08.2009
Neue Meldepflicht bei Datenverlust: Aufklärung der Mitarbeiter Grundvoraussetzung für die Datensicherheit

SOPHOS
Praxis-Tipps / Einfache Schritte zum Schutz vor den neuesten Bedrohungen

utimaco safeware
Sicherheits-Tipps / Top Tipps für die sichere Datenhaltung auf mobilen Geräten