Datenschutz-Framework des US-NIST

Das "National Institute of Standards and Technology" arbeitet an einem Datenschutz Framework. Das "NIST" ist eine Behörde, die hilft Standards zu erarbeiten. Wie bei allen Standards üblich, gibt es in der Regel verschiedene Interessengruppen, die versuchen den Standards ihren Stempel aufzudrücken. Der Staat sitzt natürlich mit eigenen Interessen mit im Boot. Das lief schon einmal (im Jahr 2013) schlecht für das NIST, als das NIST bei der Festlegung der Verschlüsselungsstandards bei eliptischen Kurven (die bei Puiblic Key Kryptographie eingesetzt werden) zu sehr auf die NSA hörte. Deren Interesse lag eben darin verschlüsselte Inhalte auch entschlüsseln zu können und daher waren die eher an niedrigeren Verschlüsselungsstandards interessiert. Als das Publik wurde versprach das NIST in Zukunft kritischer zu werden.

Jedenfalls arbeitet das NIST an einem Standard "Developing a privacy framework" um verschiedene Datenschutzaspekte bei den verschiedenen Akteuren "zu orchestrieren". Dabei geht es z.B. auch um Sicherheitsstandards, die das NIST den amerikanischen Bundesbehörden empfiehlt, um deren Daten zu schützen. Und da in diesem Bereich der "technisch Fortschritt" rasant ist, ist ein permanentes Monitoren und Nachpflegen solcher Standards eine vernünftige Sache. Letztendlich geht es insgesamt darum die IT-Infrastruktur gegen Angriffe aller Art zu ertüchtigen um Daten zu schützen. Der Auftrag dafür geht aus eine "Presedential Executive Order" zurück, die noch im Mai 2017 von Obama erlassen wurde und die sich damals zunächst auf die Ertüchtigung der Cyberinfrastruktur gegen Angriffe bezog.

Das Framework besteht aus drei Bereichen:

Der Bereich "Kern" soll Unternehmen dabei unterstützen in einen Dialog einzutreten, der CISOs und ihre Sicherheitsteams, die anderen Teile der Unternehmensführung und diejenigen, die in den Firewallfront arbeiten, geeignete Produkte und Dienstleistungen entwickeln und dabei sicherzustellen sollen, dass Datenschutz in alle Ebenen eines Unternehmens integriert ist. Datenschutz als Kernkomponente also...
*
Der Bereich "Profil" wurde entwickelt, um Unternehmen bei der Priorisierung von Ergebnissen zu unterstützen. Es wird auch darauf geachtet, dass die Datenschutz- und Geschäftsanforderungen eines Unternehmens sowie die Risiken berücksichtigt werden.
*
Der Bereich "Implementierungsebenen" soll die Entscheidungsfindung und Kommunikation unterstützen, um sicherzustellen, dass die Datenschutzziele erreicht werden und die Ressourcen für das Management von Datenschutz und Risiko vorhanden sind.

Bei solchen Standards haben alle Beteiligten i.d.R. das Interesse, dass diese Standards möglichst nicht allzu verbindlich sind. Daher ist auch noch mit einigen "Justierungen" vor der erwarteten Veröffentlichung der Version 1.0 in diesem Jahr zu rechnen.

Hier kann man in das Projekt schauen: https://www.federalregister.gov/documents/2018/11/14/2018-24714/developing-a-privacy-framework

Datenschutz Bochum meint: Das ist ein interessanter und beobachtenswerter Ansatz.

USA: SHIELD-Act

In den USA haben 48 Bundesstaaten den "SHIELD Act" ratifiziert: "SHIELD" steht für "Stop Hacks and Improve Electronic Data Security Act”. Dieser SHIELD Act wude in New York am 17. Juni 2019 verabschiedet. Nach dem Shield Act wird von jedem Unternehmen und jeder Privatperson verlangt, dass substanzielle Datensicherheitskontrollen durchgeführt werden, um personenbezogene Daten zu schützen.

Explizit wird folgendes verlangt:

• Benennung von Mitarbeitern zur Koordination eines Datensicherheitsprogramms.
• Schulung der Mitarbeiter in Bezug auf Datensicherheit
• Risikobewertung interner und externer Risiken und Implementierung von Verfahren zur Reduzierung dieser Risiken.
• Überprüfung von Drittanbietern und Dienstleistern, um sicherzustellen, dass auch sie private Informationen schützen.
• Erstellung eines Datenlöschungkonzepts

Sollte ein Datenschutzverstoss festgestellt werden, dann ist in dem Fall, dass mehr als 500 in New York lebende Personen betroffen sein sollte, die Staatsanwaltschaft einzuschalten. Der Datenschutzverstoss rechtfertigt keine Schadenersatzforderungen der betroffenen Personen. Die Staatsanwaltschaft kann jedoch von sich aus Strafen für Datenschutzverstösse festlegen. Die maximale Strafhöhe wurde von 100.000 auf 250.000 US Dollar erhöht.

Datenschutz Bochum meint: Irgendwie kommt mir das bekannt vor. Eine Bussgeldbemessung anhand der Umsatzzahlen ist hier aber nicht vorhanden.

Kalifornien: Liste der Datenschutzvorfälle

Auf der Webseite des kalifornischen Justizministerium pflegt der zuständige Generalstaatsanwalt von Kalifornien "Xavier Becerra" eine Liste mit Datenschutzvorfällen. Der Bundesstaat Kalifornieren ist aus Datenschutzsicht deshalb so interessant, weil dort ja sehr viele Tech-Firmen Ihren Stammsitz haben. Abgedruckt werden auf der Liste die jeweiligen Presse- bzw. Kundenmitteilungen, die die betroffenen Unternehmen veröffentlicht bzw. deren Kunden haben zukommen lassen.

Interessant fand ich z.B. den Eintrag von "Foxit Software - Notice of Data Breach in US". Dort fand sich z.B. keine Angabe, wann sich der Vorfall ereignet hatte. "Slack" findet sich auch auf der Liste: Dort ist als Datum der 20. März 2015 angegeben. Slack listet einige Maßnahmen auf, die deren Kunden ergreifen sollten: Virenscanner, Zwei-Faktor-Authentifizierung, jedes Passwort nur einmal verwenden und Zugriffs-Logs kontrollieren.Die Meldung von Slack datiert vom 17. Juli 2019, also über vier Jahre später.

Datenschutz Bochum meint: Was kann man daraus lernen? Wenn Sie eine ähnliche Pressemitteilung verfassen müssen, dann fallen Ihnen schnell alte Sünden ein. Sorgen Sie heute dafür, dass es dann nicht so viele sein werden.

Datenschutz Bochum - Nicht ist unmöglich.

Crypto-Mining - Bezahlen Sie nicht mehr mit Ihren guten Daten (2019)

"Bezahlen Sie einfach mit Ihrem guten Namen“ war man 1984 der Slogan von American Express. Mit seinem guten Namen zahlen war die bequeme Alternative zur Bargeldzahlung. Das ist 35 Jahre her. Heute im Online-Zeitalter würde man es vielleicht umtexten zu "Bezahlen Sie einfach mit Ihren guten Daten". Gerne nutzt man vermeintlich kostenlose Online-Dienste, weil man die eben auch bequem durch das zur-Verfügung-Stellen der eigenen Profil-Daten tun kann. Aber gibt es eigentlich keine Alternativen zum Tracking für Werbezwecke? Doch!

Letztendlich geht es beim "Datenhandel" ja darum, dass der Benutzer möglichst ohne ein unangenehmes Zahlungsgefühl eine Lesitung in Anspruch nimmt, die in der realen Welt Geld kostet. Insofern ist die Online-Währung "Daten" eine Disruption des Zahlungsvorgangs. Durch die Einführung von Cryptowährungen ergeben sich hier aber auch neue technische Möglichkeiten.

Das kann man von "Crypto-Trojanern" lernen. "Crypto-Trojaner" sind Programme, die sich in Ihren Browser einnisten und im Hintergrund Berechnungen durchführen, die an anderer Stelle zum Mining von Crypto-Währungen führen. Das technische Problem ist dabei natürlich, dass das Mining bei den Crypto-Trojanern ohne das Wissen und ohne die Zustimmung der Benutzer erfolgt und man nicht weiß, was die Programme sonst noch alles auf den Computern anrichten.

Aber die technische Lösung wäre auf das Online-Bezahlen übertragbar. Anstatt des Trackings genehmigt man das Crypto-Minen im Hintergrund ganz legal und mit einem Schlag wäre die ganze Tracking-Datenübermittlung obsolet, weil die Anbieter sich über das Crypto-Mining refinanzieren könnten. Denn wer würde sich schon freiwillig damit einverstanden erklären, mit seinen guten Daten zu zahlen, wenn es derartige Alternativen gäbe? Naürlich wäre die Online-Marketingbranche "not amused", denn die Auswertung der Tracking-Daten ermöglicht ihr ja eine präzise Einschätzung der Kaufpräferenzen von deren Kunden, die eben auch gut montarisiert werden können.

Ich sehe es so, dass es ähnlich sein wird, wie bei der Bio-Milch. Die ist zwar teurer, aber i.d.R. zahlt man gerne mehr, weil man ja auch etwas besseres bekommt.

Datenschutz Bochum meint: Wo bleiben die Datenschutz-Startups, die solche Lösungen ermöglichen?