Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Große Datenmengen und Datenschutz: Der Reidentifizierung widerstehen

von Andy Green Am Dienstag hielt Julie Brill, eine der vier FTC-Beauftragen, auf der Datenschutzkonferenz eine Grundsatzrede mit dem Titel „Reclaim Your Name“ (Machen Sie sich Ihren Namen wieder zu eigen)....
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Inhalt

    von Andy Green

    Am Dienstag hielt Julie Brill, eine der vier FTC-Beauftragen, auf der Datenschutzkonferenz eine Grundsatzrede mit dem Titel „Reclaim Your Name“ (Machen Sie sich Ihren Namen wieder zu eigen). Brill weist darauf hin, dass die Offenlegungen des US-Geheimdienstes dabei helfen, eine umfassende Diskussion zum Thema Datenschutz beim E-Commerce zu führen. Ihrer Meinung nach sollten wir uns nicht nur darauf beschränken, zu definieren wie groß der Anteil unserer Privatsphäre ist, den wir für die nationale Sicherheit opfern wollen, sondern auch darauf, wie viele unserer persönlichen Informationen im Rahmen des Online-Commerce gesammelt, verarbeitet und geteilt werden dürfen. Ihre vollständige Rede finden Sie hier.

    Diese Grundsatzrede greift das Thema der Anonymisierung von großen Datenmengen auf. Das ist ein wichtiges Thema für die FTC als Regulierungsbehörde. Da immer mehr Unternehmen ihre Datensätze mit Partnern teilen, könnte diese kombinierte Datenmenge ausreichende Informationen für eine Reidentifizierung von Verbrauchern enthalten.

    Das bekannteste amerikanische Beispiel für einen solchen Prozess ist der Abgleich von Stimmzetteln mit Daten aus der Volkszählung – siehe unser Post über die Arbeit von Professor Sweeney. Auch in der Welt von Social Media gibt es ähnliche Beispiele.

    In Übereinstimmung mit den jüngsten Richtlinien der amerikanischen Bundeshandelskommission (FTC) macht Brill einmal mehr deutlich, dass es zur Anonymisierung von großen Datensätzen mehr braucht, als nur die Entfernung des Namens, der Adresse und anderer klassischer personenbezogener Informationen (PII). Dabei bezieht sie sich vor allem auf Gesichtsbilder, die effektiv als PII genutzt werden, sowie auf andere nahezu identifizierende Daten.

    Darüber hinaus machte Brill einen weiteren Punkt in Bezug auf große Datenmengen und die Anonymität von Verbrauchern. Ein Punkt, der meiner Meinung nach mehr Aufmerksamkeit verdient.

    Brill kommt grundsätzlich zu dem Schluss, dass es in der Praxis fast unmöglich ist, Datensätze vollständig zu anonymisieren, und sie fordert Unternehmen, die große Datenmengen mit Verbraucherinformationen austauschen, dazu auf, keine Anstrengungen auf die Reidentifizierung zu verwenden. Dieser freiwillige Aspekt ihrer Anfrage entspricht dem jüngsten Standpunkt der FTC in punkto Datenschutz.

    Dabei beruft sie sich auf das Beispiel eines Mobilfunkunternehmens, das seine Daten mit einer städtischen Verkehrsplanungsbehörde teilt. Dabei werden zwar die klassischen personenbezogenen Daten zuvor entfernt, aber in diesem Szenario ist es technisch möglich, die Geo-Positionen und Zeitstempel mit externen Check-In-Daten aus sozialen Medien zu vergleichen und die Datensätze zu identifizieren. Diese hypothetische Behörde sollte jedoch genau diesen Schritt vermeiden.

    Eine der wichtigsten Zielgruppen für die Grundsatzrede von Brill ist die neue Generation der Datenbroker, deren Geschäftsmodell auf der Reidentifizierung von Verbraucherdaten basiert. Datenbroker fallen nicht in den traditionellen Anwendungsbereich der Datenschutzgesetze zur Sammlung von Verbraucherprofilen – d. h. dem amerikanischen Gesetz zur Regelung des Datenschutzes bei Verbraucherkrediten – und sind schon seit längerem im Visier der FTC-Untersuchungen.

    Das Versprechen auf eine Reidentifizierung zu verzichten ist aber für alle Zuhörer aus praktischer und finanzieller Sicht sinnvoll. Das Ziel ist es das unnötige Risiko von Datenschutzverstößen zu senken: Indem georeferenzierte Datensätze unverändert bleiben, machen wir es möglichen Cyber-Kriminellen zumindest nicht noch einfacher, diese Daten zu Geld zu machen.

    In meiner Welt kann ich daraus nur eine Schlussfolgerung ziehen: Daten sollten nicht reidentifiziert und ausschließlich für den vorgesehenen Zweck verwendet werden.

    Wird die FTC einschreiten und die neuen Regeln zur Reidentifzierung umsetzen, wenn Unternehmen diesen Spielregeln nicht folgen? Die Datenschutzverstöße der nächsten paar Jahre werden uns die Antwort geben.

     

    The post Große Datenmengen und Datenschutz: Der Reidentifizierung widerstehen appeared first on Varonis Deutsch.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?