Die vorliegende Arbeit gibt einen Überblick über die rechtlichen Verpflichtungen bei einer Datenschutzverletzung. Die Datenpannen Leak und Doxing werden ausführlich erklärt und miteinander verglichen. Es werden Möglichkeiten vorgestellt, bei der Personen mithilfe von Eigeninitiative die Betroffenheit herausfinden können und an welche Grenzen diese Tools stoßen.
Die gesetzliche Verpichtung zur Information der Betroffenen durch den Verursacher gibt es, aber eine adäquate Zuordnung anhand Identitätsmerkmalen nicht. Hier werden die verschiedenen Ansätze für eine automatische Analyse der Datenleaks vorgestellt und Probleme bei der Analyse herausgearbeitet. Die Feststellung eines Leaks passiert häufig im Zusammenhang mit der illegalen Nutzung dieser Daten. Durch die unbekannte Anzahl der Datenleaks und den Mangel an Korrektheit und Gültigkeit dieser Daten ist eine frühzeitige Benachrichtigung schwer zu realisieren.
Auch die Zuordnung der gefundenen Daten zu einem Merkmal stellt sich bei verschiedener Semantik und Syntax schwierig dar. Nach der Identikation muss dieses Merkmal mit einer Person in Verbindung gebracht und ein gültiger Kommunikationsweg
für die Benachrichtigung gewählt werden. Als zusätzliche Schwierigkeiten ergeben sich diverse länderspezischen Merkmale.
Inhaltsverzeichnis
1 Einleitung
2 Grundlagen
2.1 DSGVO und BDSG
2.2 Artikel 33 & 34 DSGVO
2.3 Datenschutzbeauftragter
3 Enthüllungen von Datenpannen
3.1 Leak
3.2 Doxing
3.3 Gegenüberstellung Leak und Doxing
4 Aktuelle Form der Benachrichtigung
4.1 Informationsdienste
4.1.1 Have I Been Powned
4.1.2 HPI -Identitiy Checker
4.1.3 Zusammenfassung
4.2 Informationsstellen
4.2.1 BSI
4.2.2 ENISA
4.2.3 Zusammenfassung
5 Aktive Benachrichtigung der Kunden
6 Diskussion
Zielsetzung & Themen der Arbeit
Die Arbeit untersucht die rechtlichen und praktischen Herausforderungen bei der Benachrichtigung betroffener Personen nach Datenpannen. Ziel ist es, Wege aufzuzeigen, wie Betroffene ihre Identität in Leaks eigenständig prüfen können und welche technischen Lösungsansätze für eine automatisierte Analyse von Datenpannen existieren.
- Rechtlicher Rahmen: DSGVO und BDSG
- Differenzierung zwischen Leak und Doxing
- Existierende Tools und Informationsdienste zur Prüfung von Datenlecks
- Technische Herausforderungen bei der automatisierten Datenanalyse
- Strategien zur aktiven Benachrichtigung von Betroffenen
Auszug aus dem Buch
3 Enthüllungen von Datenpannen
Leak wird im Oxford Dictionary definiert als "secret information become known ". Ein Leak ist demnach die zielgerichtete Enthüllung von vertraulichen Informationen [Barton:2016]. Es geht hier also um die nicht autorisierte Bekanntwerdung von sensiblen Daten. Diese sind meist von einem aktiven oder ehemaligen Insider, wie zum Beispiel ein aktiver oder ehemaliger Mitarbeiter.
Leaks gibt es schon sehr lange. Sie gehören heutzutage schon fast zur Tagesordnung [Meister:2016] und sind teilweise unentgeltlich zu erwerben. Die Betrachtung dieser Arbeit befasst sich nur mit den informationstechnologischen Leaks. Beispiele wären hierfür Passwörter, E-Mail-Adressen, Bankdaten und vieles mehr. Also alle digitalen Daten, die in Kombination Rückschlüsse auf Personen zulassen oder deren Identität preisgeben. Leaks werden von Personen veröffentlicht und haben dadurch ein Missbrauchspotenzial.
Doxing oder auch doxxing wird im Oxford Dictionary definiert als "Search for and publish private or identifying information about (a particular individual) on the Internet, typically with malicious intent". Es ist das internetbasierte Zusammentragen und anschließende Veröffentlichen personenbezogener Daten, zumeist mit bösartigen Absichten gegenüber den Betroffenen. Doxing leitet sich vom englischen "docs" Dokumente ab. Es sollen möglichst viele Inhalte eines Dokumentes mit privaten Informationen abgegriffen werden.
Gründe für Doxing im negativen Sinn sind beispielhaft das Sammeln von Informationen über den Exfreund, um diesen bloßzustellen oder um eine Person grundsätzlich zu ärgern, indem ihre persönlichen Daten veröffentlicht werden [Steffens:2018:123]. Es gibt auch positives Doxing, welches ich hier nicht betrachte.
Zusammenfassung der Kapitel
1 Einleitung: Die Einleitung beleuchtet die Zunahme von Datenlecks und Doxing sowie die Notwendigkeit, Betroffene effizient über ihre Gefährdung zu informieren.
2 Grundlagen: Hier werden die rechtlichen Rahmenbedingungen durch die DSGVO und das BDSG sowie die Rolle des Datenschutzbeauftragten erläutert.
3 Enthüllungen von Datenpannen: Das Kapitel definiert die Begriffe Leak und Doxing und grenzt diese voneinander ab, um die Risiken für die Betroffenen zu verdeutlichen.
4 Aktuelle Form der Benachrichtigung: Dieser Abschnitt stellt verschiedene Tools und Informationsstellen vor, die Nutzern bei der Suche nach ihren Daten in bekannten Leaks unterstützen.
5 Aktive Benachrichtigung der Kunden: Hier werden technische Ansätze für eine automatisierte Analyse von Datenlecks diskutiert, um Betroffene bei einer Datenpanne direkt zu identifizieren.
6 Diskussion: Die Arbeit schließt mit einer kritischen Reflexion über die Grenzen automatisierter Verfahren und die unumgängliche Notwendigkeit manueller Prüfungen ab.
Schlüsselwörter
Datenschutz, DSGVO, BDSG, Datenpanne, Datenleck, Leak, Doxing, Benachrichtigung, Informationssicherheit, BSI, ENISA, Identitätsschutz, Risikoanalyse, Automatisierung, Datenschutzbeauftragter
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit befasst sich mit der rechtlichen und praktischen Problematik der Benachrichtigung von Personen, deren Daten im Zuge einer Datenpanne oder durch Doxing offengelegt wurden.
Was sind die zentralen Themenfelder?
Zentrale Themen sind die Datenschutzgrundverordnung (DSGVO), die Unterscheidung zwischen Leaks und Doxing sowie technische Möglichkeiten zur Identifikation kompromittierter Datensätze.
Welches primäre Ziel verfolgt die Arbeit?
Das Ziel ist es, Wege zu finden, wie Betroffene effizient und zeitnah über ihre Betroffenheit informiert werden können, um Missbrauch vorzubeugen.
Welche wissenschaftlichen Methoden werden verwendet?
Die Arbeit basiert auf einer Literaturrecherche zu rechtlichen Grundlagen sowie der Analyse technischer Ansätze zur automatisierten Erkennung von Identitätsmerkmalen in Datenlecks.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in rechtliche Grundlagen, Begriffsdefinitionen, eine Übersicht aktueller Informationsdienste und eine technische Erörterung zur automatisierten Datenanalyse.
Welche Schlüsselwörter charakterisieren die Arbeit am besten?
Datenschutz, DSGVO, Datenpanne, Leak, Doxing, Identitätsschutz, Risikoanalyse und Automatisierung.
Welche Rolle spielt das BSI im Kontext der Arbeit?
Das BSI fungiert als Informationsstelle, die Bürger für den sicheren Umgang mit IT sensibilisiert und durch Angebote wie "Bürger-CERT" Hilfe bei Sicherheitslücken bietet.
Warum ist eine automatisierte Analyse von Leaks so komplex?
Die Komplexität entsteht durch heterogene Datenformate, die Notwendigkeit einer korrekten Zuordnung von Daten zu Personen und die hohe Fehleranfälligkeit bei der automatischen Verarbeitung.
Was ist das zentrale Ergebnis der Diskussion?
Es existiert aktuell keine vollständige Automatisierungslösung; eine manuelle Nachprüfung bleibt unumgänglich, um eine hohe Quote an "False-Positives" zu vermeiden.
Wie unterscheiden sich Leak und Doxing nach Ansicht des Autors?
Während ein Leak eine Veröffentlichung sensibler Daten darstellt, die meist von Insidern stammt, ist Doxing das gezielte, oft bösartige Sammeln und Publizieren privater Informationen über eine spezifische Person.
- Quote paper
- Carina Rehberg (Author), 2019, Benachrichtigung bei Datenschutzverletzungen, Munich, GRIN Verlag, https://www.grin.com/document/505482
