Simsalabim: Steuersünderdaten verlorengegangen!

magie 01
News

USB-Sticks sind klein und praktisch. Mit USB 3.0 Sticks lassen sich größere Datenmengen auch mal spontan kopieren und weitergeben. Was aber wenn der Datenträger verloren geht?

Fidibus Verschwindibus

Häufig befinden sich auf solchen Sticks auch sensible Daten. So berichtet heute beispielsweise www.welt.de darüber, dass in Griechenland ein USB-Stick mit Steuersünderdaten bei den Behörden aus unerklärlichen Gründen verlorengegangen und mittlerweile wieder aufgetaucht ist. Vermutlich dürften die Spuren der Steuersünder allerdings zwischenzeitlich aus irgendeinem (zumindest aus griechischer Sicht) ebenso unerfindlichen Grund unauffindbar sein.

Wen wundert`s, Griechenland halt! Ein Schelm wer da böses denkt. Willkommen mitten in Europa!

Verschlüsselung wird nach wie vor kaum genutzt

Der Diebstahl bzw. das Verlorengehen von portablen Datenträger ist laut einer Studie von KPMG mit einer der Hauptgründe für den generellen Verlust von Daten in Unternehmen.

Die Studie gelangt zu dem Ergebnis, dass es aufgrund der kostenfreien Verfügbarkeit von Verschlüsselungstechnologien, welche daneben einfach zu administrieren sind, verwunderlich sei, dass nach wie vor so wenig portable Datenträger verschlüsselt werden.

Sicherung der Datenträger beim Transport gesetzlich verpflichtend

Schaut man sich das Gesetz an so verlangt Ziff.4 der Anlage zu § 9 BDSG Maßnahmen, die

gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)

Das Gesetz benennt als eine hierfür geeignete Maßnahme ausdrücklich

die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

Security-Breach-Notification

Stellen Sie sich jedoch vor, der Verlust Ihres USB-Sticks ist im Gegensatz zu dem Griechischen Steuerdaten-Pendant nicht gewollt.

Falls Sie soeben Ihre Entwicklungsdaten verloren haben  und zufällig beispielsweise bei apple arbeiten, so haben Sie jetzt ziemlich sicher ein Problem und sollten ggf. schon mal damit beginnen die einschlägigen Jobbörsen nach einer neuen Stelle zu durchsuchen.

Aber auch soweit es sich um personenbezogene Daten handelt, ist die Geschichte nicht ganz so trivial.

Gehen beispielsweise Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben oder Bank- bzw Kreditkartendaten verloren, so sind Sie dazu verpflichtet umgehend die zuständige Datenschutzaufsichtsbehörde sowie den jeweils Betroffenen unverzüglich über den Verlust zu informieren (§ 42a BDSG):

Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten.

Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme.

Der im Marketing beliebte Spruch “negative Presse ist besser als gar keine Presse” dürfte an dieser Stelle eher zweifelhaft erscheinen, was einen Datenschützer bei Aussagen des Marketings jedoch vermutlich nicht zwingend verwundert.

Fazit:

Immer schön auf die kleinen Geräte aufapssen und am Besten auch verschlüsseln, dann kann nix passieren.

Jemand der sich zwar hoffentlich nicht mit Steuersünden (subtile Anmerkung: ggf. muss das Gehalt etwas angehoben werden) dafür aber mit Datenschutz auskennt, ist Ihr betrieblicher Datenschutzbeauftragter.

Apropos: Hat Ihr Unternehmen eigentlich einen betrieblichen Datenschutzbeauftragten?

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Diese gesetzlich verpflichtende Regelung Ziff.4 Anlage zu § 9 BDSG führt zu dem grotesken Ergebnis, dass z.B. Staatsanwaltschaften einem Verteidiger Akteineinsicht geben können, indem sie 200 Leitzordner Akten in Papierform und schön unverschlüsselt mit Paketdienst übersenden oder aber die Akten scannen, die pdfs auf CD brennen und dem Verteidiger dann eine CD übersenden, die sie aber verschlüsseln müssen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.