Gesellschaft | Digitalisierung
Sicherheit im World Wide Web
Foto: Unsplash
Datenschutz klingt oftmals trocken und langweilig. Nur wenige Menschen interessieren sich dafür, wie die eigenen Nutzerdaten von Webseiten gespeichert werden: Laut einer 2019 veröffentlichten Sonderumfrage des Eurobarometers ist nur etwas mehr als jeder Fünfte darüber informiert, wie die eigenen persönlichen Daten im Internet erhoben und verwendet werden und nur eine Minderheit (13 %) liest sich Datenschutzerklärungen online durch.
Diese Herausforderung war eines der Themen beim Panel „Instrumente zum Schutz personenbezogener Daten“ der hybriden Tagung „Cybersecurity“ Fit4Digital, die gestern (28.11.2022) in Bozen, Trient, Schio und Bologna zeitgleich stattgefunden hat und zudem online gestreamt wurde. „Die Menschen müssen sich dem Wert ihrer persönlichen Daten bewusstwerden“, erklärt Guido Scorza von der italienischen unabhängigen Datenschutzbehörde. Der Rechtsanwalt betont, dass es dafür einen kulturellen Wandel brauche. Denn nicht alle Unternehmen und Privatpersonen seien sich der Relevanz von Datenschutz bewusst, dabei würde die Vorsorge vor hohen Kosten bei Datenmissbrauch schützen.
Die Gesetzeslage
Die 2018 in Kraft getretene Datenschutz-Grundverordnung (DS-GV) der Europäischen Union sei nicht nur ein Rechtsrahmen für die Regeln zur Verarbeitung personenbezogener Daten, sondern auch „ein Leitfaden für das Überleben in einer datengetriebenen Gesellschaft“, so Scorza. Das darin enthaltene Prinzip „Privacy by Design“ baut auf dem Grundsatz, von den User:innen so wenig wie möglich persönliche Daten abzufragen. „Je mehr Daten man eingibt, desto mehr Risiken sind damit verbunden“, so Scorza.
Neben der DS-GV hat die EU zeitgleich ein weiteres EU-Gesetz zu Datenschutz auf den Weg gebracht: Die Richtlinie zu Netz- und Informationssicherheit (NIS 1) zielt auf die Mindestvorgaben für die Cybersicherheit und eine verbesserte Zusammenarbeit zwischen den EU-Mitgliedsstaaten bei Cyberangriffen auf wichtige Wirtschaftssektoren ab. Dazu zählen das Gesundheitswesen, Banken, der Energie- und der Telekommunikationssektor, Transport und bestimmte Online-Dienste.
Schutz der Infrastruktur
Während die DS-GV personenbezogene Daten schützen soll, ist die NIS 1 auf die Sicherung wichtiger Netzinfrastrukturen ausgerichtet. „Die EU hat weiter daran gearbeitet, NIS 2 soll voraussichtlich 2024 in Kraft treten“, erklärt Stefano Mele, Rechtsanwalt und Partner der Kanzlei Gianni&Origoni. Er leitet dort die Abteilung Cybersicherheit. „Es wird versucht, die Strategie von 2018 zu konsolidieren“, so Mele.
Mit der überarbeiteten Richtlinie sollen Unterschiede bei den Anforderungen an die Cybersicherheit und bei der Umsetzung von Cybersicherheitsmaßnahmen zwischen verschiedenen Mitgliedstaaten beseitigt werden. Dazu werden Mindestvorschriften für einen Rechtsrahmen und Mechanismen für eine wirksame Zusammenarbeit festgelegt. Dabei soll auch die Liste der Sektoren und Tätigkeiten, für die Verpflichtungen für Cybersicherheit gelten, aktualisiert werden. Zudem werden Abhilfemaßnahmen und Sanktionen festgelegt, um die Durchsetzung zu gewährleisten.
Italien hat hierfür im Juni 2021 die nationale Behörde für Cybersicherheit (Agenzia per la Cybersicurezza Nazionale/ACN) gegründet. „Die ACN wurde unter der Draghi-Regierung eingeführt und leistet großartige Arbeit. Da die Einführung erst später als in anderen europäischen Ländern erfolgte, konnten wir von den Fehlern der anderen lernen“, erklärt Mele. Er hofft, dass Datenschutz unter der Regierung von Giorgia Meloni weiterhin prioritär behandelt wird.
Datenschutz in Gemeinden
Einen Einblick in den Umgang der italienischen Gemeinden gab Luca De Toffani, Rechtsanwalt und Data Protection Officer für die örtlichen Körperschaften von Vicenza. „Für kleine Gemeinden ist Datenschutz oft eine Herausforderung, die neben der Bewältigung der Corona-Pandemie und den hohen Energiekosten zusätzliche Aufmerksamkeit abverlangt. Da Datenschutz noch ein relativ neuer Bereich ist, den es erst seit rund 30 Jahren gibt, ist nicht allen die Relevanz bewusst“, so De Toffani.
Gleichzeitig sei die Gesetzgebung zu Datenschutz durch die laufende Entwicklung neuer Technologien instabil und müsse immer wieder angepasst werden. „Gemeinden und Körperschaften sind hier noch einmal stärker exponiert“, so der Data Protection Officer von Vicenza. „Der Schutz der persönlichen Daten ist ein Luxus, den wir uns nur leisten können, wenn wir unsere Hausaufgaben gemacht haben“, erklärt De Toffani in Bezug auf die Verfügbarkeit von Daten und die Resilienz von Datenverarbeitungssystemen.
Bitte anmelden um zu kommentieren
Im Artikel fehlt das Wort
Im Artikel fehlt das Wort "einfach". Leider wird Datenschutz allzu oft als zusätzliche Hardware- und Software-Komponente verstanden, dagegen sollte man die Online-Prozesse so einfach wie möglich gestalten. Eine kleine Auflistung: SPID, elektronische Identitätskarte (CIE), Tessera Sanitaria, Bankomat, Kreditkarte, E-Banking, Bestätigungslink per Email, OTP-Codes per SMS, Bestätigung per QR-Code... Die Liste kann beliebig erweitert werden. Was haben diese Lösungen gemeinsam? Nichts, und das ist das Problem. Bei jedem Verfahren muss die entsprechende Technik vorhanden sein sowie immer unterschiedliche PIN-Codes. Dann blickt man schnell nicht mehr durch.
Ein einfaches Beispiel. SPID und CIE bestätigen eindeutig die Identität einer Person, damit kann man eine Steuererklärung unterschreiben und auf die eigenen Sanitätsunterlagen zugreifen. Warum werden dann SPID und CIE bei E-Banking nicht verwendet? Ist das Login-Verfahren einmal bekannt wird es auch für den Kunden leichter. Es reicht nur einmal mit der Technik, beispielsweise ein Smartphone oder ein PC-Lesegerät. Dagegen kann ich meine Bankomat-Karte im Geschäft verwenden, zu Hause funktioniert es nicht als Identifikation für meine Bank, trotz vorhandenen Lesegeräts (für die CIE) und Kenntnis des geheimen PINs. Das Einloggen im E-Banking funktioniert nämlich auf ganz andere Weise, obwohl die Technik des Bankomats absolut identisch mit der der CIE ist! Ein Chip in der Karte und RFID-Datenaustausch.
Erst wenn die wirklich großen Dienstleistungsanbieter, vom Staat bis zu den Banken und Online-Verkäufern, sich für wenige und klare Identitätsverfahren einsetzen kann man von echter Cybersicherhet sprechen. Bis dahin werden immer Lücken nicht bei der Technik, sondern Schwachstellen bei den Nutzern gefunden. Nigerianische Prinzessinnen wird es immer geben!
Es geht das Gerücht um, die
Es geht das Gerücht um, die IDM möchte eine Datenbank ALLER Südtiroler Gäste aufbauen.
Die Daten sollen mittels Meldedaten parallel zum ASTAT lukriert werden und als Benefit soll's die Gästekarten mit "gratis"-Mobilität geben (finanziert über die neue "Ortstaxe" zu maximal 5 Euro pro Gast/Übernachtung).
Ich bin gespannt, wie sich so etwas datenschutzrechtlich rechtfertigen lässt und wie das System bei Ablehnung der Datenübermittlung funktionieren soll.
Marketing und Datenschutz stehen mal wieder in diametralem Gegensatz zueinander.