Von Datenpannenmeldungen nach Art. 33 DSGVO als auch Beschwerden über offen im Internet abrufbare personenbezogene, liest man fast täglich. So waren zum Beispiel die in einem Online-Shop getätigten Bestellungen der letzten zehn Jahre oder auch die Pizza-Bestellungen eines Lieferdienstes ohne jegliche Authentifizierung für alle abrufbar, die die korrekte URL erraten haben.
Dies war von den jeweiligen Verantwortlichen in dieser Form nicht beabsichtigt. Die Beispiele zeigen aber, dass Fehler, die zur Verletzung des Schutzes personenbezogener Daten führen, jederzeit auftreten können. Aus diesem Grund hat sich ein sog. „Defense-inDepth“-Ansatz als gute Praxis etabliert. Bei diesem Konzept werden mehrere Sicherheitsmaßnahmen so kombiniert, dass das Versagen einer Maßnahme nicht zur Kompromittierung des zu schützenden Gutes führt oder zumindest die Auswirkungen begrenzt werden.
In den genannten Fällen hätte zum Beispiel eine zusätzliche Einschränkung des Zugriffs auf bestimmte IP-Bereiche verhindert, dass die Daten beim Versagen des Passwortschutzes öffentlich zugänglich werden. Wären die Daten, nachdem sie, zum Beispiel zur Kontrolle der Bestellung im Self-Service, nicht mehr auf dem Internet-Server benötigt wurden, auf ein gesondertes System ohne direkte Zugriffsmöglichkeit aus dem Internet verschoben worden, wäre von der Datenpanne immerhin nur noch ein Bruchteil der personenbezogenen Daten betroffen gewesen.
Bei der Entwicklung eines Systems zur Verarbeitung personenbezogener Daten sollte immer davon ausgegangen werden, dass einzelne Sicherheitsmaßnahmen versagen können. Um dies zu kompensieren, sollte immer ein Defense-In-Depth-Ansatz verfolgt werden.
Quelle: LDI NRW
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks