USA: NIST bittet um Kommentare zum Entwurf eines Leitfadens für den Aufbau eines Cybersicherheits- und Datenschutzprogramms
Am 28. August 2023 bat das National Institute for Standards and Technology (NIST) die Öffentlichkeit um Kommentare zu NIST SP 800-50 Rev. 1: Building a Cybersecurity Program and Privacy Learning Program. Der Entwurf des Leitfadens enthält insbesondere Anleitungen für Bundesbehörden und Organisationen, die einen Lebenszyklus-Ansatz für den Aufbau eines Lernprogramms für Cybersicherheit und Datenschutz entwickeln und verwalten, der Einzelpersonen hilft, Risiken zu verstehen und Rollen bei der Identifizierung, Reaktion und Verwaltung solcher Risiken zu erklären. Der Entwurf des Leitfadens deckt die Schritte ab, die Organisationen unternehmen sollten, um eine Strategie und einen Programmplan zu erstellen, einschließlich des Entwurfs, der Entwicklung, der Implementierung und der Wartung eines Lernprogramms für Cybersicherheit und Datenschutz.
Der Entwurf des Leitfadens zeigt auf, wie wichtig die Entwicklung einer Kultur der Cybersicherheit und des Datenschutzes ist, und wie wichtig es ist, dass die Mitarbeiter ihre Bedeutung für die Cybersicherheit des Unternehmens verstehen. Darüber hinaus wird in dem Leitfadenentwurf die Beziehung zwischen Cybersicherheit und Datenschutz geklärt. Cybersicherheitsprogramme sind für den Schutz von Informationen und Informationssystemen sowie von Betriebstechnologien vor unbefugtem Zugriff, Verwendung, Offenlegung, Störung, Änderung oder Zerstörung verantwortlich. Programme zum Schutz der Privatsphäre hingegen sind für das Management der mit der Datenverarbeitung verbundenen Risiken für Einzelpersonen während des gesamten Lebenszyklus der Informationen verantwortlich, um neben der Einhaltung des Datenschutzes auch Vorhersehbarkeit, Verwaltbarkeit und Abtrennbarkeit zu gewährleisten. Für die Mitarbeiter ist es wichtig, den Unterschied zu verstehen, da es unterschiedliche Verantwortlichkeiten und Reaktionen auf einen Datenschutz- oder Cybersicherheitsvorfall gibt.
Der Entwurf des Leitfadens legt auch Konzepte fest, die Organisationen hervorheben sollten, wobei die Verwendung einer gemeinsamen Sprache für das Verständnis, das Management und die Kommunikation von Datenschutzrisiken besonders wichtig ist. Datenschutzvorfälle und die sich daraus ergebenden Probleme, einschließlich der Auswirkungen auf die Würde, wie z. B. Verlegenheit oder Stigmatisierung, und derjenigen mit konkreteren Auswirkungen, wie z. B. Diskriminierung, wirtschaftlicher Verlust oder körperlicher Schaden, müssen aufgrund der potenziell unterschiedlichen Auswirkungen auf eine Organisation verstanden werden. Der Entwurf des Leitfadens enthält ein Beispiel für den möglichen Verlust personenbezogener Daten durch eine Organisation, wie z. B. Identitätsdiebstahl, und die sich daraus ergebenden Folgen für die Organisation, einschließlich des Vertrauensverlusts oder des Rückgangs des Aktienkurses.
Darüber hinaus legt der Entwurf des Leitfadens die Organisationsstruktur fest, die für die Umsetzung eines Lernprogramms für Cybersicherheit und Datenschutz entwickelt werden sollte, und verweist auf das Erfordernis eines Leiters der Organisation, die Rolle der Führungsebene, die Rolle eines Managers für das Lernprogramm für Datenschutz und die Verantwortlichkeiten der Manager im Allgemeinen.
USA, 30.08.2023
Schweden: IMY verhängt Geldstrafe von 35 Mio. SEK gegen Trygg-Hansa wegen Mängeln bei der Datensicherheit
Am 30. August 2023 veröffentlichte die schwedische Datenschutzbehörde (IMY) ihre Entscheidung Nr. DI-2021-1905 vom 28. August 2023, in der sie Tryg Forsikring A/S (Trygg-Hansa) aufgrund einer Beschwerde eine Geldstrafe in Höhe von 35 Mio. SEK (ca. 2.915.316 €) wegen Verstoßes gegen die Allgemeine Datenschutzverordnung (DSGVO) auferlegte.
Hintergrund der Entscheidung
Das IMY hob insbesondere hervor, dass es im Dezember 2020 eine Beschwerde erhielt, wonach Trygg-Hansa Unbefugten den Zugang zu personenbezogenen Daten ermöglicht hatte, die sensible Informationen über Kunden von Trygg-Hansa betrafen. Insbesondere stellte das IMY klar, dass Trygg-Hansa im April 2022 mit Moderna Försäkringar fusionierte, die betroffene Niederlassung jedoch ihren Namen in Trygg-Hansa änderte.
Feststellungen des IMY
Nach seiner Untersuchung stellte das IMY fest, dass Trygg-Hansa die personenbezogenen Daten von etwa 650.000 betroffenen Personen verarbeitete. Zu den personenbezogenen Daten dieser betroffenen Personen, die sich im Besitz von Trygg-Hansa befanden, gehörten Dokumente mit Informationen wie Namen, Kontaktdaten, Gesundheitsdaten, Sozialversicherungsnummern, Finanzdaten, Versicherungsbeteiligungen, Abfolge von Ereignissen (z. B. Zeit, Ort, Handlungen und andere Informationen, die die betroffene Person in einem Freitextfeld angab) sowie Informationen über Eigentum und Sachschäden. Dementsprechend stellte das IMY fest, dass es möglich ist, sich anhand dieser Informationen ein detailliertes Bild von den persönlichen Umständen der registrierten Person zu machen. Ferner stellte das IMY fest, dass die Dokumente sensible personenbezogene Daten enthielten, nämlich Informationen über die Gesundheit. Insbesondere wies das IMY darauf hin, dass der Zugang zu solchen Informationen im Klartext über das Internet möglich sei und auch keine Authentifizierung erforderlich sei. Das IMY stellte fest, dass laut Trygg-Hansas eigenen Protokollen 202 persönliche Daten von Kunden von einem solchen Zugriff betroffen waren. Darüber hinaus führte das IMY aus, dass ein solcher Zugriff in einem Zeitraum von Oktober 2018 bis Februar 2021 möglich war.
Daher befand das IMY, dass Trygg-Hansa gegen Artikel 5 Absatz 1 Buchstabe f der DSGVO verstoßen hat, weil es den unbefugten Zugriff auf personenbezogene Daten oder deren Verarbeitung nicht verhindert hat, und gegen Artikel 32 Absatz 1 der DSGVO, weil es keine geeigneten technischen und organisatorischen Maßnahmen getroffen hat, um ein dem Risiko der Verarbeitung angemessenes Sicherheitsniveau zu gewährleisten.
Ergebnisse
Abschließend verhängte das IMY eine Geldbuße in Höhe von 35 Mio. SEK (ca. 2.915.316 €) für die oben genannten Verstöße gegen die Datenschutz-Grundverordnung.
Schweden, 30.08.2023
Erstellt:
Experte für Datenschutz gesucht? Neben dem großen Thema Datenschutz unterstützen wir Sie im Interim Management, bei strategischen & betriebswirtschaftlichen Managementaufgaben. Sie haben Fragen, genug vom Blabla und wollen Genaueres wissen? Hier unverbindlich kontaktieren.
