USB-Sticks sind klein und praktisch. Mit USB 3.0 Sticks lassen sich größere Datenmengen auch mal spontan kopieren und weitergeben. Was aber wenn der Datenträger verloren geht?
Der Inhalt im Überblick
Fidibus Verschwindibus
Häufig befinden sich auf solchen Sticks auch sensible Daten. So berichtet heute beispielsweise www.welt.de darüber, dass in Griechenland ein USB-Stick mit Steuersünderdaten bei den Behörden aus unerklärlichen Gründen verlorengegangen und mittlerweile wieder aufgetaucht ist. Vermutlich dürften die Spuren der Steuersünder allerdings zwischenzeitlich aus irgendeinem (zumindest aus griechischer Sicht) ebenso unerfindlichen Grund unauffindbar sein.
Wen wundert`s, Griechenland halt! Ein Schelm wer da böses denkt. Willkommen mitten in Europa!
Verschlüsselung wird nach wie vor kaum genutzt
Der Diebstahl bzw. das Verlorengehen von portablen Datenträger ist laut einer Studie von KPMG mit einer der Hauptgründe für den generellen Verlust von Daten in Unternehmen.
Die Studie gelangt zu dem Ergebnis, dass es aufgrund der kostenfreien Verfügbarkeit von Verschlüsselungstechnologien, welche daneben einfach zu administrieren sind, verwunderlich sei, dass nach wie vor so wenig portable Datenträger verschlüsselt werden.
Sicherung der Datenträger beim Transport gesetzlich verpflichtend
Schaut man sich das Gesetz an so verlangt Ziff.4 der Anlage zu § 9 BDSG Maßnahmen, die
gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)
Das Gesetz benennt als eine hierfür geeignete Maßnahme ausdrücklich
die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.
Security-Breach-Notification
Stellen Sie sich jedoch vor, der Verlust Ihres USB-Sticks ist im Gegensatz zu dem Griechischen Steuerdaten-Pendant nicht gewollt.
Falls Sie soeben Ihre Entwicklungsdaten verloren haben und zufällig beispielsweise bei apple arbeiten, so haben Sie jetzt ziemlich sicher ein Problem und sollten ggf. schon mal damit beginnen die einschlägigen Jobbörsen nach einer neuen Stelle zu durchsuchen.
Aber auch soweit es sich um personenbezogene Daten handelt, ist die Geschichte nicht ganz so trivial.
Gehen beispielsweise Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben oder Bank- bzw Kreditkartendaten verloren, so sind Sie dazu verpflichtet umgehend die zuständige Datenschutzaufsichtsbehörde sowie den jeweils Betroffenen unverzüglich über den Verlust zu informieren (§ 42a BDSG):
Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten.
Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme.
Der im Marketing beliebte Spruch „negative Presse ist besser als gar keine Presse“ dürfte an dieser Stelle eher zweifelhaft erscheinen, was einen Datenschützer bei Aussagen des Marketings jedoch vermutlich nicht zwingend verwundert.
Fazit:
Immer schön auf die kleinen Geräte aufapssen und am Besten auch verschlüsseln, dann kann nix passieren.
Jemand der sich zwar hoffentlich nicht mit Steuersünden (subtile Anmerkung: ggf. muss das Gehalt etwas angehoben werden) dafür aber mit Datenschutz auskennt, ist Ihr betrieblicher Datenschutzbeauftragter.
Diese gesetzlich verpflichtende Regelung Ziff.4 Anlage zu § 9 BDSG führt zu dem grotesken Ergebnis, dass z.B. Staatsanwaltschaften einem Verteidiger Akteineinsicht geben können, indem sie 200 Leitzordner Akten in Papierform und schön unverschlüsselt mit Paketdienst übersenden oder aber die Akten scannen, die pdfs auf CD brennen und dem Verteidiger dann eine CD übersenden, die sie aber verschlüsseln müssen.