von Andy Green
Uns allen ist die Gefahr bewusst, versehentlich unsere Sozialversicherungsnummer preiszugeben. Aber gibt es auch andere weniger personenbezogene oder gar anonyme Daten, die zusammengenommen wie eine Sozialversicherungsnummer funktionieren? Mit dem Reformpaket für europäische Vorschriften beschreitet die Europäische Union neue Wege im Verbraucherdatenschutz. Die Überlegungen der EU zur persönlichen Identität haben ihren Weg bis über den Teich und in die neu vorgeschlagenen US-Regelungen geschafft.
Die ersten Vorschriften über Verbraucherdatenschutz und Datensicherheit der Europäischen Union wurden mit der Datenschutzrichtlinie von 1995, der EU 96/46EG für Sicherheitsexperten, eingeführt. EU-Richtlinien bieten einen Leitfaden für die Gesetzgebung der Mitgliedsstaaten, die dann ihre eigenen spezifischen Gesetze ausarbeiten können. Die EU-Datenschutzrichtlinie hatte einen großen Einfluss auf die Gestaltung des Vokabulars und, wenn auch weniger freiwillig, auf den Jargon der Diskussion zum Verbraucherschutz auf beiden Seiten des Atlantiks.
In den USA war der Ausgangspunkt für die Diskussion zum Datenschutz der Sarbanes-Oxley-Act (SOX), der 2002 zum Gesetz wurde. Vergleicht man die beiden, könnte man sagen, dass die EU-Datenschutzrichtlinie eher auf den Schutz von Verbraucherinformationen, und dabei vor allem – im Gegensatz zum SOX – auf die Abdeckung von öffentlichen und privaten Unternehmen ausgerichtet war. Bis zum heutigen Tag gibt es in den USA kein eigenständiges und umfassendes Gesetz zum Verbraucherdatenschutz.
Die ursprüngliche Richtlinie der EU ist von großer Bedeutung, da sie persönliche Daten als „Informationen über eine bestimmte oder bestimmbare natürliche Person“ definiert. Laut der EU-Richtlinie gehören zum Beispiel die Hausanschrift, der Name und die Telefonnummer zu persönlichen Daten; Größe, Augenfarbe und das Auto, das man fährt, jedoch nicht. Diese Auffassung zu persönlichen Daten als eine Art Schlüssel ist Teil der Definition, die von Datenschutzgesetzen außerhalb der EU verwendet wird – darunter auch in den USA. In Nordamerika wurde jedoch ein eigener Begriff für persönliche Daten eingeführt: personenbezogene identifizierbare Informationen oder PII.
Nebenbei bemerkt haben die EU-Regulierungsbehörden bewusst einen weniger eindeutigen Begriff für persönliche Daten eingeführt, sodass neue Technologien darunter aufgenommen werden können. Seit 2012 zählen auch die E-Mail- sowie IP-Adresse und in einigen EU-Ländern sogar Fotos zu personenbezogenen identifizierbaren Informationen.
Um die Entwicklung bis heute zusammenzufassen; Sicherheitsexperten stellten fest, dass es neben den persönlichen Daten auch andere Informationen gibt (sozusagen quasi persönliche Daten), die bei einer Offenlegung ebenfalls zurück zur entsprechenden Person führen würden. Die Datenmagie, die genutzt wird, um eine Identifizierung zu ermöglichen, ist ein Abgleich der anonymen Datenpunkte, wie Geburtstag (oder -jahr), Postleitzahl, Ethnizität und vielleicht sogar die Automarke anhand öffentlich verfügbarer Datenbanken.
Es gibt zum Beispiel gut dokumentierte Fälle, in denen anonymisierte Entlassungsberichte aus einem Krankenhaus zur Identifizierung der Patienten genutzt wurden.
Mit mehr als 1 Milliarde registrierter Benutzer bei Facebook lässt sich sicher sagen, dass das Web einen Überschuss an persönlichen Daten mit allen Detailstufen bietet. Große soziale Netzwerke haben Hackern – den neuen ominösen Mitspieler in diesem Sektor – eine unerschöpfliche Quelle an Daten zum Abgleich bereitgestellt (vgl. Matt Honan).
Um besser verstehen zu können, wie eine Einzelperson nachträglich identifiziert werden kann, sollten wir uns eine Variante des zuvor erwähnten Falls ansehen. Während die Technik keine Garantie dafür ist, eine Person eindeutig identifizieren zu können (da dies von den jeweils verfügbaren Informationen abhängt), wird in vielen Fällen eine engere Liste von möglichen Zielpersonen erstellt.
Gehen wir rein hypothetisch davon aus, dass eine europäische Hypothekenbank einen Gesundheitsbericht von einem großen öffentlichen Krankenhaus auswertet. Die Berichte zeigen, dass fünf Einzelpersonen in Behandlung für eine seltene Krankheit waren. Auch das Alter der Personen wurde veröffentlicht. In der Annahme, dass die Patienten in der Nähe des Krankenhauses leben, filtert der Hypothekengeber einfach seine Datenbank nach der Postleitzahl und dem Geburtsjahr. Die dadurch erhaltenen kleineren Datensätze ermöglichen das Durchsuchen von sozialen Netzwerken oder Online-Foren sowie ein Filtern der abgefragten Namen und Daten, während nach „Gute Besserung“-Nachrichten gesucht wird. Der Hypothekengeber findet einige Treffer und dank der zusätzlichen neuen Datenpunkte der sozialen Seite kann die Person identifiziert werden.
Die gute Nachricht ist, dass EU-Länder schon lange erkannt haben, dass ihre Gesetze nicht mehr auf dem neuesten Stand sind. Der EU-Verwaltungsrat ist aktuell dabei, eine Reformierung der Richtlinie von 1995 zu bewirken, die die Verbreitung der öffentlichen Daten im Web und das Unkenntlichmachen von persönlichen und anonymen Daten berücksichtigt. Um mehr über den neuen Standpunkt der EU zu persönlichen Daten zu erfahren, werfen Sie einen Blick auf dieses Dokument.
Und auch in den USA gibt es Gerüchte zur Änderung der Datenschutzbestimmungen im Sinne der EU-Reform.
Ich werde in der Zukunft mehr über die Gesetze in den USA schreiben und was dies für die Datenschutzrichtlinien Ihres Unternehmens bedeutet.
Fotocredit: http://en.wikipedia.org/wiki/File:Institutions_europeennes_IMG_4300.jpg
The post Die neue Datenschutzumgebung: Europäische Union weist den Weg für personenbezogenen Datenschutz appeared first on Varonis Deutsch.