Die Agentur ENISA (European Network and Information Security Agency), die Agentur für "IT-sicherheit" in der EU, hat heute einen Bericht über Meldungen von Verletzungen der Datensicherheit veröffentlicht. Die Forderung der EU nach der Meldung von Verletzungen der Datensicherheit (Data Breach Notification, DBN) im Bereich der elektronischen Kommunikation nach der EG-Richtlinie zur e-Privacy (2002/58/EG) trägt entscheidend zur langfristigen Verbesserung der Datensicherheit in Europa bei. Die Agentur hat die aktuelle Situation unter die Lupe genommen und hat in ihrem neuen Bericht die wichtigsten Problempunkte sowohl der Betreiber von Telekommunikationseinrichtungen als auch der Behörden, die sich mit Datenschutz befassen (Data Protection Authorities, DPA), identifiziert.
Jüngste Vorkommnisse von Verlusten persönlicher Daten auf hoher Ebene in Europa haben breit angelegte Diskussionen über das Sicherheitsniveau in Gang gesetzt, das bei persönlichen Informationen Anwendung findet, die mitgeteilt, verarbeitet, gespeichert und elektronisch übertragen werden.
Der Geschäftsführende Direktor der Agentur, Prof. Udo Helmbrecht, kommentierte:
"Das Vertrauen der Bürger zu gewinnen und zu erhalten, dass ihre Daten sicher und geschützt sind, ist ein wichtiger Faktor für die zukünftige Entwicklung und die Einführung neuer Technologien und Internet-Dienstleistungen in ganz Europa."
Die Einführung einer DBN-Forderung im Bereich der elektronischen Kommunikation nach der EG-Richtlinie zur e-Privacy (2002/58/EG) ist wichtig für die Verbesserung der Datensicherheit in Europa und zur Versicherung der Bürger, dass ihre Daten von den Betreibern der e-Kommunikationsmittel geschützt werden. Die Agentur hat sich einen Überblick über die aktuelle Situation verschaftt, indem sie die nationalen DPAs und einen repräsentativen Querschnitt von Unternehmen befragte. Der Telekommunikations-Sektor erkennt an, dass die DBN eine wichtige Rolle für den Datenschutz und den Schutz der Privatsphäre spielen. Dennoch suchen die Betreiber sowohl bei der EU als auch auf lokaler Ebene nach Klarstellungen dazu, wie man die DBN-Anforderungen denn nun richtig erfüllt. Die Erwartungen der DPAs und der Betreiber überlappen sich in den meisten Fällen, doch es gibt auch einige Verschiedenheiten.
Zu den wichtigsten Problempunkten, die von den Betreibern von Telekommunikationseinrichtungen und den DPAs vorgbracht wurden, gehören unter anderem:
- Risikoprioritisierung - Die Schwere der Verletzung sollte das Niveau der Antwort bestimmen. Verletzungen sollten nach Riskostufen eingeteilt werden, um einer "Meldungsmüdigkeit" vorzubeugen.
- Kommunikationskanäle - Die Betreiber müssen die Sicherheit haben, dass die Meldeanforderungen ihre Marken nicht negativ beeinflussen werden.
- Ressourcen - Manche Aufsichtsbehörden sind schon mit anderen Aufgaben beschäftigt, denen sie Priorität einräumen
- Durchsetzung - Die DPAs haben angeführt, dass die Ermächtigung zur Auferlegung von Sanktionen sie befähigt, die Regelungen besser durchzusetzen.
- Zu starke Verzögerungen bei der Berichterstattung - Die Aufsichtsbehörden wollen kurze Fristsetzungen für das Melden von Verletzungen durchsetzen. Leistungsanbieter wollen dagegen ihre Ressourcen auf die Lösung des Problems konzentrieren.
- Inhalt der Meldungen - Die Betreiber wollen sicherstellen, dass die Inhalte der Meldungen sich nicht negativ auf ihre Kundenbeziehungen auswirken. Aufsichtsbehörden wollen alle notwendigen Informationen haben.
Im Jahr 2011 wird die Agentur Ausführungsanweisungen für die technischen Implementierungsmaßnahmen und die Verfahren aufstellen, wie sie in §4 der EG-Richtlinie 2002/58/EC (http://eur-lex.europa.eu/...:32002L0058:EN:HTML) enthalten sind, und sie wird die Möglichkeit analysieren, die allgemeine DBN-Pflicht auf andere Bereiche auszudehnen, z.B. auf den Finanzsektor, das Gesundheitswesen und Kleinunternehmen.
Dies wir bei dem Workshop (http://www.enisa.europa.eu/...) diskutiert werden, den ENISA am 24. Januar 2011 in Brüssel organisiert.
Den vollständigen Bericht finden Sie hier: http://www.enisa.europa.eu/...
Jüngste Vorkommnisse von Verlusten persönlicher Daten auf hoher Ebene in Europa haben breit angelegte Diskussionen über das Sicherheitsniveau in Gang gesetzt, das bei persönlichen Informationen Anwendung findet, die mitgeteilt, verarbeitet, gespeichert und elektronisch übertragen werden.
Der Geschäftsführende Direktor der Agentur, Prof. Udo Helmbrecht, kommentierte:
"Das Vertrauen der Bürger zu gewinnen und zu erhalten, dass ihre Daten sicher und geschützt sind, ist ein wichtiger Faktor für die zukünftige Entwicklung und die Einführung neuer Technologien und Internet-Dienstleistungen in ganz Europa."
Die Einführung einer DBN-Forderung im Bereich der elektronischen Kommunikation nach der EG-Richtlinie zur e-Privacy (2002/58/EG) ist wichtig für die Verbesserung der Datensicherheit in Europa und zur Versicherung der Bürger, dass ihre Daten von den Betreibern der e-Kommunikationsmittel geschützt werden. Die Agentur hat sich einen Überblick über die aktuelle Situation verschaftt, indem sie die nationalen DPAs und einen repräsentativen Querschnitt von Unternehmen befragte. Der Telekommunikations-Sektor erkennt an, dass die DBN eine wichtige Rolle für den Datenschutz und den Schutz der Privatsphäre spielen. Dennoch suchen die Betreiber sowohl bei der EU als auch auf lokaler Ebene nach Klarstellungen dazu, wie man die DBN-Anforderungen denn nun richtig erfüllt. Die Erwartungen der DPAs und der Betreiber überlappen sich in den meisten Fällen, doch es gibt auch einige Verschiedenheiten.
Zu den wichtigsten Problempunkten, die von den Betreibern von Telekommunikationseinrichtungen und den DPAs vorgbracht wurden, gehören unter anderem:
- Risikoprioritisierung - Die Schwere der Verletzung sollte das Niveau der Antwort bestimmen. Verletzungen sollten nach Riskostufen eingeteilt werden, um einer "Meldungsmüdigkeit" vorzubeugen.
- Kommunikationskanäle - Die Betreiber müssen die Sicherheit haben, dass die Meldeanforderungen ihre Marken nicht negativ beeinflussen werden.
- Ressourcen - Manche Aufsichtsbehörden sind schon mit anderen Aufgaben beschäftigt, denen sie Priorität einräumen
- Durchsetzung - Die DPAs haben angeführt, dass die Ermächtigung zur Auferlegung von Sanktionen sie befähigt, die Regelungen besser durchzusetzen.
- Zu starke Verzögerungen bei der Berichterstattung - Die Aufsichtsbehörden wollen kurze Fristsetzungen für das Melden von Verletzungen durchsetzen. Leistungsanbieter wollen dagegen ihre Ressourcen auf die Lösung des Problems konzentrieren.
- Inhalt der Meldungen - Die Betreiber wollen sicherstellen, dass die Inhalte der Meldungen sich nicht negativ auf ihre Kundenbeziehungen auswirken. Aufsichtsbehörden wollen alle notwendigen Informationen haben.
Im Jahr 2011 wird die Agentur Ausführungsanweisungen für die technischen Implementierungsmaßnahmen und die Verfahren aufstellen, wie sie in §4 der EG-Richtlinie 2002/58/EC (http://eur-lex.europa.eu/...:32002L0058:EN:HTML) enthalten sind, und sie wird die Möglichkeit analysieren, die allgemeine DBN-Pflicht auf andere Bereiche auszudehnen, z.B. auf den Finanzsektor, das Gesundheitswesen und Kleinunternehmen.
Dies wir bei dem Workshop (http://www.enisa.europa.eu/...) diskutiert werden, den ENISA am 24. Januar 2011 in Brüssel organisiert.
Den vollständigen Bericht finden Sie hier: http://www.enisa.europa.eu/...
