Data Protection und DSGVO: PII-Daten sichern und verwalten
IT-Teams müssen die Zusammenhänge personenbezogener Daten (PII) kennen, um sie sinnvoll zu speichern und zu verwalten, um Regeln einzuhalten und drohende Bußgelder zu vermeiden.
Die Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) ist seit dem 25. Mai 2018 in Kraft. Jedes Unternehmen oder jede Organisation, die personenbezogene Daten – Personally Identifying Information, PII – über Einwohner der EU oder Großbritanniens sammelt, unterliegt diesen Anforderungen und muss Strafen bei Nichteinhaltung fürchten. Zusätzlich zur DSGVO gibt es zahlreiche andere PII-Gesetze und -Vorschriften, die Unternehmen einhalten müssen und die harte Strafen nach sich ziehen.
Die mit DSGVO verbundenen Geldbußen für die Nichteinhaltung von PII-Umgang wurden im vergangenen Jahr streng bemessen. Der Singapore's Personal Data Protection Act von 2012, der Japan's Act on the Protection of Personal Information und der California Consumer Privacy Act von 2018 zum Beispiel haben ebenfalls hohe Bußgelder.
Nichteinhaltung bedeutet treuhänderische Verantwortungslosigkeit, die zu Geschäftsversagen und möglicher Inhaftierung führen kann. Das bedeutet, dass der Schutz der PII-Daten nicht optional, sondern unerlässlich ist.
Anlässlich des einjährigen Jubiläums der DSGVO berichtete das European Data Protection Board über mehr als 500.000 registrierte Datenschutzbeauftragte, mehr als 280.000 Fälle und 144.000 Beschwerden, mehr als 89.000 Datenmissbrauchsmeldungen und über 446 grenzüberschreitenden Fälle. Die verhängten Geldbußen wurden auf über 56 Millionen Euro festgesetzt.
Noch wichtiger ist, dass DSGVO nicht allein ist, wenn es um die Einhaltung von PII geht. Weltweit gibt es Dutzende von PII-Datenschutzgesetzen und -vorschriften, und weitere sind in Arbeit. Um mit ihnen allen Schritt zu halten, ist ein Vollzeitaufwand erforderlich, insbesondere für Unternehmen, die weltweit Geschäfte tätigen.
Es ist wichtig zu beachten, dass viele Länder ihre PII-Datenschutzgesetze und -vorschriften an die DSGVO der EU angepasst haben. Diese enthält grenzüberschreitende Bestimmungen, die die Angleichung fördern. Dies erleichtert es einheimischen Unternehmen, in der EU Geschäfte zu tätigen. Die meisten europäischen Länder, die nicht der EU angehören, und diejenigen, die sich in Nordafrika und im Pazifikraum befinden, haben sich der GSDVO angeschlossen oder sind dabei, dies zu tun, weil es allgemein als der PII-Goldstandard gilt.
Es gibt jedoch wichtige Unterschiede, auf die IT-Organisationen achten müssen. Wenn ein Unternehmen beispielsweise Informationen über russische Einwohner sammelt, müssen alle Datenbanken mit diesen Informationen in Russland bleiben. Andernfalls wird die Website blockiert, eine Geldstrafe verhängt und möglicherweise das Unternehmen aus dem Land verbannt.
Fragmentierung und Marktbarrieren sind bei den Anforderungen an PII entstanden, der Datenverkehr meist grenzüberschreitend ist, was wiederum internationale Geschäfte zu einer wachsenden Herausforderung macht. Zwischen diesen Gesetzen, Vorschriften und Sanktionen gibt es erhebliche Unterschiede. Glücklicherweise sollten wesentliche Gemeinsamkeiten zwischen diesen Gesetzen den IT-Abteilungen helfen, sich besser durch das wachsende Labyrinth aus Gesetzen, Regeln, Vorschriften und Bußgeldern zu bewegen.
Allgemeines: Wo unterscheiden sich PII-Daten und was haben sie gemeinsam
Obwohl dies keine umfassende Auflistung ist, sind hier die häufigsten Gemeinsamkeiten zusammengefasst, auf die IT-Organisationen achten sollten. Dies sind nicht die einzigen Punkte, um die Sie sich kümmern müssen. Die Details hängen von den Ländern ab, in denen Sie tätig sind.
PII-Verantwortung. Jemand muss für die Einhaltung der PII-Gesetze und Vorschriften verantwortlich sein. Unabhängig davon, welchen Titel der- oder diejenigen erhalten – Datenschutzbeauftragter (DSB), Chief Security Officer (CSO) oder ähnliches – dies sind die Personen mit der Hauptverantwortung für den gesamten Datenschutz und die Einhaltung der PII-Regeln. Die Rolle kann andere zudem noch weitere Verantwortlichkeiten als die PII-Verantwortlichkeit umfassen.
Einwilligungen verwalten. Dies kann zwischen DSGVO und den an DSGVO angepassten Gesetzen und Vorschriften sowie Ländern wie den USA und Kanada etwas variieren. Es gibt drei Probleme bei der Einwilligung:
Opt-in versus Opt-out.Die DSGVO besagt, dass die Zustimmung erteilt werden muss, d.h. der Einzelne muss sich entscheiden (Opt-in). Die USA und Kanada erlauben eine stillschweigende Zustimmung und verlangen nur, dass Einzelpersonen die Möglichkeit haben, sich abzumelden (Opt-out). Es ist sicherer und klüger, immer von einem Opt-in-Verfahren auszugehen. In beiden Fällen ist ein Opt-out erforderlich.
Zweck der PII-Sammlung. Bei der Datenerfassung muss ein definierter Anwendungsfall vorliegen. Wenn dieser Anwendungsfall wegfällt, müssen die PII-Daten gelöscht werden und können nicht wiederverwendet werden. Dies ist einer der umstrittensten Aspekte des PII-Datenschutzes, da er im Allgemeinen bedeutet, dass PII-Daten nicht verkauft werden können.
Dokumentation der Einwilligung des Nutzers. Diese Informationen müssen auf Anforderung durch verschiedene PII-Gesetze und Vorschriften erstellt werden.
Recht auf Zugang. IT-Organisationen müssen eine vollständige Buchhaltung der personenbezogenen Daten, die ihre Unternehmen über eine bestimmte Person haben, auf Anfrage erstellen. Dazu muss ein Unternehmen wissen, welche Informationen es hat und wo diese sich befinden, und in der Lage sein, innerhalb von 30 Tagen oder weniger eine Kopie davon abzurufen.
Dies für unstrukturierte Daten umzusetzen, ist schwieriger, als es scheint. Das Auffinden von PII in einer Datenbank ist nicht schwierig, aber einige dieser Informationen werden unstrukturierte Daten sein, die im Rechenzentrum und, wahrscheinlicher, am Edge der IT-Struktur, beispielsweise auf Laptops vorhanden sind. Das Auffinden von PII in unstrukturierten Daten erfordert das Wissen, wo man und mit welchen Tools man suchen muss, damit man über die Metadaten hinaus in die Daten selbst schauen kann. Dies zentral zu realisieren, wenn es viele Laptops gibt, ist nicht einfach.
Eine Möglichkeit, diese Aufgabe zu erfüllen, ist die Verwendung von Backups. Da sie in der Regel zentralisiert sind, verfügen Backups über die neuesten personenbezogenen Daten. Sie müssen die Daten mounten und entsprechende Such-Tools verwenden, um die richtigen PII-Daten zu finden.
Backup-Anbieter Druva mit E-Discovery-Partnern, Actifio, Cohesity, Commvault und Rubrik, haben diese Fähigkeit in ihren Produkten integriert. Darüber hinaus kann Cloudtenna DirectSearch auf beliebigen gemounteten Daten von jedem Backup-Anbieter suchen.
Sie können auch Datenverwaltungssoftware verwenden, die unstrukturierte Daten aggregiert, zusammenträgt, analysiert, kategorisiert, kopiert und verschiebt. Beispiele sind Dell EMC ClarityNow, Komprise Intelligent Data Management, Spectra Logic StorCycle, Starfish Storage und StrongBox Data Solution's StrongLink.
Schutz der PII-Daten. Zu viele Unternehmen betrachten den Datenschutz als Kostenfaktor und sparen hier an Produkten, Prozessen und Budgets. PII-Gesetze und -Vorschriften machen ein solches Handeln umso riskanter. Die meisten erfordern den Schutz von PII-Daten vor menschlichen Fehlern, Systemausfällen, Softwarefehlern, Korruption, Katastrophen, Malware und Ransomware.
Unternehmen müssen einen umfassenden Datenschutz in die PII-Datenerfassungsprozesse integrieren und in der Lage sein, die Verfügbarkeit von PII-Daten und den Zugang zu personenbezogenen Daten rechtzeitig wiederherzustellen.
Dies könnte von Stunden für die meisten Situationen bis hin zu maximal 30 Tagen im Falle einer größeren Katastrophe reichen. Um diese Fähigkeit zu gewährleisten, implementieren Sie einen dokumentierten Prozess, um diese Abläufe regelmäßig zu testen, zu bewerten und effektiv zu bewerten. Übersichtliche Gestaltung, aktualisieren und testen Sie Ihre DR- und Business Continuity-Verfahren einmal jährlich oder häufiger.
Die Prozesse müssen auf dem neuesten Stand der Technik sein, aber das bedeutet nicht, dass es sich um eine bestimmte Technologie oder einen bestimmten Anbieter handelt. Dabei werden Prozesse eingesetzt, die den Marktangeboten entsprechen, um die Anforderungen des PII-Datenschutzes zu einem bestimmten Zeitpunkt zu erfüllen. Ein Unternehmen kann nicht davon ausgehen, dass das, was es in der Vergangenheit getan hat, gut genug ist. Das gilt als vorsätzliche Nichteinhaltung.
Wenn Datenschutzprozesse fehlschlagen und PII-Daten verloren gehen, besteht die Gefahr, dass das Unternehmen nicht konform ist, wenn sie nicht dem Stand der Technik entsprechen und können dann mit angemessenen Geldbußen belegt werden.
Wie die DSGVO Geldbußen und Sanktionen festlegt
DSGVO scheint der Goldstandard für den Schutz personenbezogener Daten zu sein, den viele Länder nachahmen oder an ihre eigenen PII-Gesetze anpassen. Die DSGVO bestimmt hohe Bußgelder bei Nichteinhaltung.
Die Regulierungsbehörden der Europäischen Union verwenden die folgenden zehn Benchmarks, um die Höhe der Geldbuße bei Nichteinhaltung der DSGVO zu bestimmen:
Art der Verletzung. Wie viele Menschen waren betroffen, wie viel Schaden wurde erzeugt, wie lange war die Dauer der Verletzung und was war der Verarbeitungszweck?
War die Verletzung vorsätzlich oder fahrlässig?
Welche Maßnahmen wurden ergriffen, um den Schaden für die betroffenen Personen zu begrenzen?
Vorbeugende Maßnahmen. Wie viel technische und organisatorische Vorbereitung wurde bisher durchgeführt, um Verstöße zu vermeiden?
Hatte das Unternehmen in der Vergangenheit relevante Verstöße begangen, die so ausgelegt werden können, dass sie Verstöße gegen die Datenschutzrichtlinie – den Vorläufer von DSGVO – und frühere administrative Korrekturmaßnahmen im Rahmen von DSGVO umfassen, von Verwarnungen über Verarbeitungsverbot bis hin zu Geldbußen?
Wie kooperativ war das Unternehmen mit der Aufsichtsbehörde bei der Behebung der Verletzung?
Welche Arten von Daten sind von der Verletzung betroffen?
Wurde der Verstoß von dem Unternehmen selbst oder von einem Dritten proaktiv an die Aufsichtsbehörde gemeldet?
Hat sich das Unternehmen für genehmigte Zertifizierungen qualifiziert oder die genehmigten Verhaltenskodizes eingehalten?
Gibt es zusätzliche erschwerende oder mildernde Faktoren, die finanzielle Auswirkungen der Verletzung auf das Unternehmen haben können?
Verstößt ein Unternehmen gegen mehrere Bestimmungen der DSGVO, wird es nach der schwersten Verletzung bestraft, anstatt für jede Bestimmung separat bestraft zu werden. Dies kann jedoch angesichts der möglichen Bußgeldbeträge keine große Entlastung darstellen.
Für folgende Verstöße werden bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist, verhängt:
Kontrolleure und Verarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43
Zertifizierungsstelle nach den Artikeln 42 und 43
Überwachungsstelle gemäß Artikel 41 Absatz 4
Für folgende Verstöße werden bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist, verhängt:
die Grundprinzipien für die Verarbeitung, einschließlich der Bedingungen für die Zustimmung, gemäß den Artikeln 5, 6, 7 und 9
die Rechte der betroffenen Personen nach den Artikeln 12 bis 22 („Recht auf Vergessen“ ist Artikel 17)
die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation gemäß den Artikeln 44 bis 49
alle Verpflichtungen aufgrund des nach Kapitel IX erlassenen Rechts des Mitgliedstaats
jede Nichteinhaltung einer Anordnung einer Aufsichtsbehörde
Meldung einer Verletzung der PII-Daten. Die Meldung einer Verletzung kann verheerend für den Aktienkurs, die Boni, den Ruf, die laufenden Einnahmen und die Karriere von IT-Managern und Führungskräften auf C-Ebene sein. Es ist jedoch erforderlich und muss in der Regel innerhalb von 72 Stunden nach der Entdeckung durchgeführt werden. Einige Gesetze und Vorschriften verlangen nur, dass sie einen Verstoß an die Regierung melden. Die Mehrheit verlangt, dass sie sowohl die Regierung als auch die von der Verletzung betroffenen Personen informiert.
Das Recht, gelöscht zu werden, auch bekannt als das Recht, vergessen zu werden. Das Löschen von PII-Daten ist einer der schwierigsten Aspekte der PII-Gesetze und -Verordnungen. Unternehmen müssen PII-Daten aus allen IT-Systemen löschen, wenn eines von drei Dingen eintritt:
Der Eigentümer beantragt die Löschung der PII-Daten.
Der Zweck der PII-Datenerhebung ist nicht mehr erforderlich.
Der Eigentümer widerruft seine Zustimmung zu den PII-Daten.
PII-Daten müssen rechtzeitig und dauerhaft gelöscht werden – in der Regel in weniger als oder innerhalb von 30 Tage. Es bedeutet auch, dass personenbezogene Daten überall dort gelöscht werden müssen, wo sie sich befinden, einschließlich Datenbanken, Server, Laptops, Cloud, Archive, Backups, Bandbibliotheken und in unstrukturierten Daten wie Tabellen, Dokumenten und Präsentationen.
Einige PII-Datenschutz- und Compliance-Gesetze und -Vorschriften erlauben Ausnahmen. Andere, wie zum Beispiel die DSGVO, nicht, obwohl gelegentlich Ausnahmen möglich sind. Das Problem ist, dass viele IT-Experten Backups als einfache Form der Archivierung verwenden und sie über Jahre oder sogar für immer aufbewahren. Es ist ein sehr schlechtes Archiv, da die Daten wiederhergestellt oder gemountet werden müssen, um durchsucht zu werden, und es gibt zahlreiche physische oder virtuelle Kopien, die durchsucht werden müssen.
Dies ist sehr problematisch, insbesondere bei Image-Backups, die heute die häufigste Sicherung sind. So werden die meisten Hypervisoren – VMware vSphere, Microsoft Hyper-V, Nutanix Acropolis und KVM – und ihre VMs gesichert.
Das Löschen von Daten aus einem Backup führt nicht zu einer Übertragung auf vorherige oder nachfolgende Backups. Es beschädigt tatsächlich alle Sicherungen, die nach der Sicherung gemacht wurden, in der die PII-Daten gelöscht werden.
Das bedeutet, dass jedes Backup, von der neuesten bis zur ältesten Version, gemountet werden muss; PII-Daten gesucht, gefunden und gelöscht werden müssen; und das Backup in seinen nutzbaren Backup-Zustand zurückgesetzt werden muss.
Es mag für eine Handvoll oder sogar einen Monat Backups etwas lästig sein, aber es ist eine unmögliche Aufgabe für mehrere Jahre an Backups, besonders in einem 30-tägigen Zeitfenster.
Viele Backup-Manager argumentieren, dass das Löschen von PII-Daten aus primären Systemen alles ist, was nötig ist. Denn diese Systeme werden innerhalb von 24 Stunden ohne die gelöschten PII-Daten wieder gesichert. Und da die überwiegende Mehrheit der Wiederherstellungen von den neuesten Backups stammen wird, sollte dies kein Problem darstellen. Es gibt jedoch einige Ausnahmen.
Wenn DevOps beispielsweise Backup-Daten für die Entwicklung verwendet, könnten sie angeblich gelöschte PII-Daten verwenden. Aber wenn die Backups mit einem Ransomware-Virus infiziert wurden, der monatelang inaktiv bleibt, wenn die Ransomware in den Primärsystemen detoniert, wird die Datenwiederherstellung von den neuesten Backups fehlschlagen, da die Malware in den wiederhergestellten Daten in einer sogenannten Angriffsschleife detoniert.
Um mit allen PII-Datenschutzgesetzen Schritt zu halten, ist ein Vollzeitaufwand erforderlich, insbesondere für Unternehmen, die weltweit Geschäfte tätigen.
Das drängt den IT-Manager, weiter in die Vergangenheit zu gehen, um eine Wiederherstellung einzuleiten – wahrscheinlich zu einem Zeitpunkt, der PII-Daten enthält, die gelöscht werden sollten.
Einige Backup-Anbieter wie Asigra und ioFabric beheben dieses Problem. Sie können PII-Daten aus einem einzelnen Backup löschen und diese Löschung auf alle anderen Backups übertragen, ohne jedes einzelne mounten zu müssen oder die nachfolgenden Backups zu beschädigen.
Minimierung der PII-Datenerfassung. Mehrere PII-Gesetze und -Vorschriften verlangen ausdrücklich, dass der Umfang der PII-Datenerfassung, die Speicherung und die Aufbewahrungsdauer auf ein Minimum beschränkt werden. Es gibt Ausnahmen für das Gesundheits- und Strafregister.
Verarbeitungssicherheit. Die PII-Sicherheitsregeln schreiben die Nutzung angemessener Security für das Risikoniveau vor – zum Beispiel die Verwendung von Pseudonymen, Aliasen, Verschlüsselung, Biometrie, Multifaktor-Authentifizierung, Antimalware-Software, Firewalls oder Deep Packet Inspection. Die Sicherheit sollte die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten gewährleisten.
Wie bei PII-Datenschutzverfahren muss die Sicherheit regelmäßig überprüft werden, um sicherzustellen, dass sie das tut, was sie tun soll.
Grenzüberschreitender PII-Datenverkehr. Diese Vorschriften verpflichten Unternehmen, die erfassten PII-Daten in dem Land zu speichern, in dem sie erhoben wurden, oder in Ländern, die mit den PII-Gesetzen und Vorschriften des Landes, in dem die Daten erhoben wurden, übereinstimmen.
Fazit
Die Gesetze und Vorschriften für PII sind vielfältig und verwirrend, so dass es auf die IT-Abteilung ankommt, die Einhaltung der allgemeinen Grundregeln sicherzustellen. Als Datenschutzbeauftragter oder CSO in diesem regulatorischen Umfeld kann es zu einem von zwei Ergebnissen kommen: einem karrierefördernden Schritt oder einen karrierebeendenden Schritt. Welcher es ist, hängt von Ihnen und Ihrer Organisation ab.
