Erkennung und Klassifizierung personenbezogener Daten Privatsphäre im Datenzeitalter

Von Kai Zobel

Bereits vor über zwanzig Jahren ließen sich 87 Prozent der Menschen in den USA mit nur drei persönlichen Informationen eindeutig identifizieren: Geschlecht, Postleitzahl und vollständiges Geburtsdatum reichten aus. Heute stehen Unmengen personenbezogener Daten im Internet und die Möglichkeiten für Cyberkriminelle werden immer größer.

Anbieter zum Thema

Schon wenige personenbezogene Daten können in den falschen Händen eine ernsthafte Bedrohung für die Privatsphäre darstellen.
Schon wenige personenbezogene Daten können in den falschen Händen eine ernsthafte Bedrohung für die Privatsphäre darstellen.
(Bild: Angelov - stock.adobe.com)

Eine Analyse der hundert größten Datenschutzverletzungen durch Imperva Research Labs ergab, dass es sich bei 76 Prozent der gestohlenen Informationen um personenbezogene Daten handelte. Was jedoch noch besorgniserregender ist: Die Frequenz, mit der unsere Daten kompromittiert werden, steigt. Seit 2017 hat die Zahl der Datenschutzverletzungen jedes Jahr um über 30 Prozent zugenommen. Die Anzahl kompromittierter Datensätze ist in diesem Zeitraum im Jahresvergleich um durchschnittlich 224 Prozent pro Jahr gestiegen. Allein im Januar 2021 waren mehr als 870 Millionen Datensätze betroffen – mehr als im gesamten Jahr 2017.

Sammeln und richtig kombinieren

Einzelne personenbezogene Daten haben für sich genommen nur selten Informationswert für Cyberkriminelle – deshalb setzen sie auf Web-Scraping-Bots. Diese Bots sammeln große Datenmengen von mehreren Websites. Ein Paradebeispiel für Scraping betraf vergangenes Jahr LinkedIn-Benutzerprofile: Dabei haben Bots effizient die öffentlich zugänglichen Daten von über 700 Millionen Nutzerinnen und Nutzern erfasst. Cyberkriminelle verknüpfen die scheinbar unzusammenhängenden Informationen, um sich so ein klares Bild vom Nutzer zu machen.

Solche Daten können Identitätsdieben beispielsweise ermöglichen, die Kreditwürdigkeit des Opfers zu zerstören. Abgesehen von den Auswirkungen auf den Einzelnen sind die finanziellen Folgen für Unternehmen – und die Gesellschaft insgesamt – enorm. Laut einer Studie im Auftrag von Pricewaterhousecoopers war bereits 2016 jeder Dritte Deutsche schon einmal Opfer von Identitätsdiebstahl im Internet. Drei von zehn Betroffenen haben dadurch einen finanziellen Schaden erlitten, der im Durchschnitt bei über 1.000 Euro lag.

Auch wenn es etwas gedauert hat, haben die meisten Unternehmen inzwischen verstanden, wie wichtig der sichere Umgang mit personenbezogenen Daten ist. Wenn sie trotzdem zögern, sich um den Datenschutz zu kümmern, sorgen zahlreiche Aufsichtsbehörden dafür, dass sie die Vorgaben erfüllen.

Millionen-Bußgelder, Zustimmung und Widerruf

Es gibt weltweit über 130 Rechtsordnungen mit verschiedenen Datenschutzgesetzen, die in fast allen Fällen für jede staatliche und kommerzielle Organisation gelten, die personenbezogene Daten speichert. Das ist eine der Herausforderungen, denen Unternehmen beim Datenschutz gegenüberstehen. Verstöße können beträchtliche finanzielle Strafen nach sich ziehen. Wer sich etwa nicht an die EU-Datenschutzgrundverordnung (DSGVO) hält, dem stehen Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes ins Haus. Das ist aber nur die Spitze des Eisbergs: Unternehmen müssen sich unter anderem auch mit Meldepflichten, Audits und der juristischen Aufarbeitung befassen. Manche Branchen haben sogar noch mehr zu bewältigen: In vielen Rechtsordnungen fallen beispielsweise Informationen zur Gesundheit in eine spezielle Kategorie. Bei diesen Daten wird dann besonders aufmerksam darauf geachtet, wie sie gehandhabt und verwaltet werden.

Die meisten Datenschutzvorschriften drehen sich um das Prinzip der Einwilligung. Das bedeutet, dass Personen ausdrücklich ihre Zustimmung zu bestimmten Datenverarbeitungsaktivitäten erteilen und sie jederzeit widerrufen können. Da die Risiken im Zusammenhang mit personenbezogenen Daten wachsen, möchten Menschen genauer wissen, welche Art von Informationen Organisationen über sie speichern, was sie damit machen und wie gut sie sie schützen. All diese Informationen bereitzustellen kann kompliziert sein. Die Privatsphäre-Tools, die Microsoft anlässlich der DSGVO einrichtete, nutzten innerhalb von vier Monaten fünf Millionen Menschen. Manuell bearbeitet würde dies enormen und teuren Aufwand für das Unternehmen verursachen.

Immer mehr Daten im Umlauf – und neue Vorschriften

Bis vor kurzem vertrauten viele Menschen einfach darauf, dass die Unternehmen ihre Daten sicher verwahren. Durch aufsehenerregende Datenschutzverletzungen wurde dieses Vertrauen jedoch erschüttert. Gleichzeitig benötigen wichtige digitale Transformationsprojekte immer mehr Daten und streuen sie noch breiter. Riesige Datenmengen werden in großem Umfang vervielfältigt und über Anwendungen, Datenbanken und Netzwerke verteilt, wodurch es für Unternehmen immer schwieriger wird, sie zu verwalten und zu schützen. Dies spiegelt sich auch in der Tatsache wider, dass die DSGVO-Bußgelder im Jahr 2021 auf über eine Milliarde Euro angewachsen sind, was einem Anstieg von 521 Prozent gegenüber 2020 entspricht.

Zusätzlich werden die Vorschriften für den Datenschutz und die Datensicherheit noch strenger werden. So hat die Europäische Kommission im Juni 2021 neue Standardvertragsklauseln (SCC) für die Übermittlung personenbezogener Daten aus der EU in Drittländer veröffentlicht. Das bedeutet, dass bestehende Verträge bis zum 27. Dezember 2022 so angepasst werden müssen, dass sie grenzüberschreitende Datentransfers aus der EU ermöglichen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Personenbezogene Daten identifizieren, klassifizieren und schützen

Wegen der zunehmenden Regulierung und der Menge an weit verteilten Informationen müssen Unternehmen personenbezogene Daten in ihrem gesamten Bestand leicht erkennen, identifizieren und klassifizieren können. Dafür eignet sich ein automatisierter, kontinuierlicher Erkennungs- und Klassifizierungsprozess, der sensible und personenbezogene Daten On-Premises und in der Cloud findet. So haben Unternehmen stets einen aktuellen Überblick über ihren Bestand an personenbezogenen Daten.

Denn nur wenn sie wissen, wo personenbezogene Daten gehostet werden und was Anwendungen und Nutzer*innen damit machen, können Organisationen die Kontrollmechanismen zum Schutz dieser Daten erweitern und proaktiv auf Auskunftsersuchen reagieren. Dies ist besonders wichtig, weil immer mehr Menschen bewusst wird, welche Rechte sie in Bezug auf den Umgang der Unternehmen mit ihren personenbezogenen Daten haben.

Über den Autor: Kai Zobel ist Area Vice President EMEA bei Imperva.

(ID:48200694)