- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Offensichtliche Verletzung der Meldepflicht


Würde die DSGVO bereits gelten, müsste Yahoo einen großen Scheck ausstellen
Neben vielen anderen Unstimmigkeiten bei diesem Vorfall ist es durchaus verwunderlich, dass Yahoo schon im Sommer von diesem Sicherheitsvorfall wusste

- Anzeigen -





Die Datenschutz-Apokalypse bei Yahoo wird nun von zwei EU-Datenschutzbehörden unter die Lupe genommen. Die britische Datenschutzaufsichtsbehörde ICO, die das Ausmaß der Attacke als "erschütternd" bezeichnete, kündigte an, den Fall genauer zu untersuchen. Anmerkung am Rand: das ICO äußert sich übrigens eher selten in dieser Art und Weise zu aktuellen Sicherheitsereignissen.

Auch der Leiter der Datenschutzbehörde in Irland, wo sich die europäische Unternehmenszentrale von Yahoo befindet, stellt kritische Fragen. Sogar das amerikanische FBI schaltete sich ein, weil möglicherweise ein Staat (wahrscheinlich Russland) hinter dem Angriff auf Yahoo steckt.

Das aktuelle Gesetz
Neben vielen anderen Unstimmigkeiten bei diesem Vorfall ist es durchaus verwunderlich, dass Yahoo schon im Sommer von diesem Sicherheitsvorfall wusste. Nachdem nämlich die Nutzerdaten bereits im Darknet zum Verkauf angeboten wurden. Die gestohlenen Daten scheinen auf einen Angriff zurückzugehen, der sich bereits 2014 ereignete.

Es handelt sich also um eine offensichtliche Verletzung der Meldepflicht.

Oder doch nicht!?
Das einzige US-amerikanische Gesetz auf Bundesebene, das eine strikte Meldepflicht vorschreibt, gilt nur für personenbezogene medizinische Daten, die von "unter das Gesetz fallenden Einrichtungen" wie Versicherungsgesellschaften, Krankenhäusern und Gesundheitsdienstleistern gespeichert werden. Dieses Gesetz ist der Health Insurance Portability and Accountability Act, kurz HIPAA.

Die US-Regierung hat also keine Möglichkeit, Yahoo aufgrund der extrem verspäteten Meldung des Sicherheitsvorfalls zu sanktionieren.

In 47 US-Bundesstaaten gibt es Gesetze, die eine Meldepflicht vorschreiben. Diese würden hier zwar greifen, doch die Strafe hängt in der Regel vom jeweiligen Schaden für die Verbraucher ab, der sich konkret nur schwer nachweisen lässt.

Die einzige Ausnahme bildet wie immer Kalifornien, wo sich der Unternehmenssitz von Yahoo befindet. Dort müssen unbefugte Datenzugriffe sofort nach Bekanntwerden gemeldet werden. Yahoo steht also ein Besuch des Attorney General von Kalifornien ins Haus.

Man würde meinen, dass die Europäische Union Datenschutzverletzungen strenger ahndet als die USA.

Doch die aktuell gültige EU-Datenschutzrichtlinie schreibt keine Meldepflicht für Sicherheitsvorfälle vor. Dies war auch einer der Gründe für die Ausarbeitung der Datenschutz-Grundverordnung, die ab Mai 2018 gilt.

Rechtliche Konsequenzen
Möglicherweise wird Yahoo dennoch auch in der EU nicht ganz ungeschoren davonkommen: Die Datenschutzrichtlinie verlangt nämlich angemessene Sicherheitsmaßnahmen (Artikel 16). Yahoo könnte also theoretisch aufgrund unzureichender Datenschutzvorkehrungen belangt werden.

Allerdings handelt es sich bei Yahoo um ein US-Unternehmen, dessen Datenerfassungsserver sich hauptsächlich außerhalb der EU befinden. Es kann also durchaus sein, dass der lange Arm der Datenschutzrichtlinie doch nicht lang genug ist.

Die Lage ist also alles andere als eindeutig. Wenn Sie mehr dazu wissen wollen, inwieweit die aktuelle Datenschutzrichtlinie auch für Nicht-EU-Unternehmen gilt, dann finden Sie in diesen Blog-Eintrag eine gute Analyse der Rechtslage.

Aufgrund der offensichtlichen Unzulänglichkeiten tauscht die EU die aktuelle Richtlinie gegen die DSGVO aus. Diese schreibt eine Meldepflicht sowie schwindelerregende Strafen bei Verstößen vor. Außerdem vertritt sie das Prinzip der "Extraterritorialität" und gilt somit auch für Unternehmen außerhalb der EU.

Einen Überblick über die Datenschutzvorschriften in der EU, finden Sie auch in unserem Whitepaper.

Wäre die DSGVO bereits anwendbar – was erst ab dem 25. Mai 2018 der Fall sein wird – und Yahoo hätte den Diebstahl persönlicher Daten von 500 Millionen Nutzern nicht innerhalb von 72 Stunden an eine Datenschutzbehörde gemeldet, würden dem Unternehmen massive Strafen drohen.

Wie massiv?

Nachgerechnet: Strafen nach DSGVO
Ein Verstoß gegen die in Artikel 33 der DS-GVO verankerte Meldepflicht kann Strafen in Höhe von zwei Prozent des weltweiten Jahresumsatzes nach sich ziehen. Der Umsatz von Yahoo lag in den letzten Jahren jenseits der 4,5 Milliarden US-Dollar-Grenze.

Unter der Geltungspflicht der DSGVO müsste Yahoo also mindestens 90 Millionen US-Dollar an die EU überweisen.

Und dann ist noch Verizon mit einem Jahresumsatz von mehr als 130 Milliarden US-Dollar gerade dabei, Yahoo zu kaufen. Wäre die Übernahme bereits vollzogen, dann müsste Verizon mit einer Strafe von zwei Prozent der 134 Milliarden, also etwa 268 Millionen US-Dollar, rechnen.

Was lernen wir daraus? Große multinationale und US-Unternehmen mit einer weltweiten Internetpräsenz sollten jetzt für den Fall eines Yahoo-ähnlichen Sicherheitsvorfalls nach dem 25. Mai 2018 vorsorgen. (Varonis: ra)

eingetragen: 20.12.16
Home & Newsletterlauf: 20.01.17


Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -



Meldungen: Hintergrund

  • E-Mail - Die Mutter allen Übels?

    Am 6. Januar 2016 - also noch vor dem unmittelbaren Ende der Präsidentschaft Barrack Obamas - veröffentlichte das Intelligence Community Assessment (ICA) unter dem Titel "Assessing Russian Activitites and Intentions in Recent US Elections" ein entsprechendes Hintergrundpapier. Eines der wichtigsten Ergebnisse der Nachforschungen: Russland wird für eine mehrschichtige Kampagne verantwortlich gemacht, die sich ausdrücklich gegen einen regulären Ablauf der jüngsten US-Wahlen richtete. Zum einen sollte das Vertrauen in den demokratischen Prozess als solchen unterminiert werden, vor allem aber die Glaubwürdigkeit der Präsidentschaftskandidatin Hillary Clinton. Zwar beschäftigt sich das Papier mit der mutmaßlichen Einflussnahme Russlands auf die US-Wahlen, die Autoren weisen aber ausdrücklich darauf hin, dass wir bei anstehenden Wahlen weltweit mit ähnlichen Szenarien rechnen dürfen. 2017 ist das Jahr der Präsidentschaftswahl in Frankreich und das der Bundestagswahl in Deutschland.

  • Allgegenwärtige Android-Malware

    SophosLabs hat die Malware-Aktivitäten der letzten Monate analysiert und auf dieser Grundlage einen ausführlichen Report über die Entwicklung der Gefahren durch Malware erstellt. Demnach ändert sich die Bedrohungslage zwar beinahe täglich, Hauptziele der Hacker werden jedoch wie im Vorjahr Windows-Geräte sein. Auch andere Plattformen gelangen zunehmend ins Visier der Cyberkriminellen. SophosLabs identifiziert vier Trends, die 2016 Fahrt aufgenommen haben und voraussichtlich in den nächsten Monaten massiver auftreten.

  • Das sind die Cyber Security-Trends 2017

    Was sind die Top-Themen der Cyber Security in den nächsten Monaten? Klar ist: Wir gehen einem Zeitalter signifikanter Datenverletzungen entgegen. Konsequenz: Dem Top-Management kommt nach Auffassung von TÜV Rheinland mehr denn je eine Schlüsselrolle zu. "Cyber Security muss Teil des Business Cases sein und darf nicht als reiner Kostentreiber gesehen werden. Cyber Security ist idealerweise sowohl Risiko-Beratung als auch Business Enabler", so Frank Luzsicza, Leiter des Geschäftsbereichs ICT & Business Solutions bei TÜV Rheinland. "Die daraus resultierende Fülle und Verfügbarkeit an sensiblen Informationen über Menschen und Systeme werden zwangsläufig zu einem erhöhten Anpassungsdruck für gegenwärtige Cyber Security-Strategien führen", ist Björn Haan, Geschäftsfeldleiter Cyber Security Deutschland ICT & Business Solutions bei TÜV Rheinland, überzeugt. Was das genau bedeutet, beleuchten die Cyber Security Trends 2017 von TÜV Rheinland. Sie spiegeln die Einschätzung der aktuellen Entwicklung seiner führenden Experten für Cyber Security in Deutschland, den USA, Europa und IMEA wider.

  • Grundsätze zur Datenverschlüsselung

    Im Bemühen um die Unterstützung der EU-Minister bei ihren Beratungen über die Ausgewogenheit zwischen Verbraucherdatenschutz und Netzwerksicherheit veröffentlichte die BSA | The Software Alliance neue Verschlüsselungsgrundsätze zur Analyse der entsprechenden Rechtsvorschriften und politischen Gesetzgebungsvorschlägen. Durch Berücksichtigung der Bedürfnisse und Anforderungen aller Seiten zielen diese Verschlüsselungsgrundsätze darauf, für Gesetzgeber und alle anderen Interessengruppen eine gemeinsame Grundlage in der Diskussion über Verschlüsselung zu schaffen.

  • In Deutschland sind 66 Prozent Dark Data

    Der Begriff Dark Data klingt unheimlich, wenn nicht gar gefährlich. Und in der Tat, dieser verborgene Teil der gesammelten Datenberge, birgt Risiken für Unternehmen. Dabei besteht die größte Gefahr nicht darin, dass diese dunklen Daten etwa illegal sind, sondern vielmehr unkontrollierbar. Was genau steckt dahinter Unternehmensdaten lassen sich in drei Kategorien unterteilen.