Das Glück der Iren? Data Protection Commission of Ireland veröffentlicht Jahresbericht

As shared by the Commissioner for Data Protection, Helen Dixon, “The progress the DPC has made in 2020 provides a solid platform on which to build across our enforcement and complaint-handling functions in particular. The GDPR must be understood as a project for the now, but equally for the longer-term. The DPC intends to continue as a leader in its full implementation.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Anmerkung des Herausgebers: Die Data Protection Commission (DPC) ist die irische Aufsichtsbehörde für die Datenschutz-Grundverordnung (DSGVO). Es hat auch Funktionen und Befugnisse im Zusammenhang mit anderen kritischen Regulierungsrahmen, einschließlich der irischen ePrivacy-Verordnungen (2011) und der EU-Richtlinie, die als Strafverfolgungsrichtlinie bekannt ist. Vor kurzem hat die EU-Kommissarin für den Datenschutz, Helen Dixon, den Jahresbericht der irischen Datenschutzkommission für 2020 veröffentlicht. In diesem kürzlich veröffentlichten Bericht (25. Februar 2021) beschreibt DPC Ireland die umfangreiche Spanne der Regulierungsarbeiten, die während der Erfüllung von Aufgaben zur Überwachung und Regulierung der Anwendung der EU-Datenschutz- und -Datenschutzgesetze abgeschlossen wurden. Im Rahmen dieser Detaillierung der Arbeit teilt der DPC dem DPC im Jahr 2020 Details zu Meldungen über Verstöße mit. Da Daten und Juristen, die im eDiscovery-Ökosystem tätig sind, versuchen, die Auswirkungen und Chancen des Marktes zu verstehen, die durch Datenschutzverletzungen entstehen, können sie von den Details und Datenpunkten profitieren, die in diesem wichtigen Jahresbericht geteilt werden.

DPC Irland 2020 Jahresbericht*

Ein Auszug über Verstöße (Kapitel 3)

Die Anzahl der Meldungen über Verstöße an den DPC blieb 2020 hoch, aber die Datenschutzvergabe ist mehr denn je vom Wert der zwingenden Meldungspflicht gemäß der DSGVO überzeugt. Es ermöglicht dem DPC, von Fall zu Fall Einblicke in die Risiken im Zusammenhang mit der Sicherheit und Verarbeitung personenbezogener Daten zu erhalten, die in Organisationen entstehen, und gegebenenfalls Maßnahmen zur Minderung einzugreifen und zu leiten. Im Allgemeinen ermutigen die Antworten, die wir von Organisationen erhalten, die DPC in der Ansicht, dass die meisten Unternehmen den Input des DPC einhalten und schätzen wollen.

Verstöße unter der DSGVO

Im Jahr 2020 erhielt der DPC 6.783 Meldungen über Datenschutzverletzungen gemäß Artikel 33 der DSGVO, von denen 110 Fälle (2%) als Nichtverstöße eingestuft wurden, da sie nicht der Definition eines Datenschutzverstoßes gemäß Artikel 4 Absatz 12 der DSGVO entsprachen. Insgesamt 6.673 gültige Datenschutzverletzungen wurden von der DPC im Jahr 2020 verzeichnet, was einem Anstieg von 10% (604) gegenüber den im Jahr 2019 gemeldeten Zahlen entspricht.

Wie in den anderen Jahren wurde die höchste Kategorie von Datenschutzverletzungen, die gemäß der DSGVO gemeldet wurden, als nicht autorisierte Offenlegungen eingestuft und machten 86% der gesamten Benachrichtigungen über Datenschutzverletzungen aus, die 2020 erhalten wurden. Die Mehrzahl der Verstöße ist aufgetreten in der:

privater Sektor: 4.097

Öffentlicher Sektor: 2.559

Freiwillig: 16

Wohltätigkeit: 1

Insgesamt 6.673

Der DPC verzeichnete auch einen Anstieg des Einsatzes von Social Engineering- und Phishing-Angriffen, um Zugang zu den IKT-Systemen von Controllern und Prozessoren zu erhalten. Während viele Organisationen zunächst wirksame IKT-Sicherheitsmaßnahmen ergreifen, ist es offensichtlich, dass Unternehmen keine proaktiven Schritte unternehmen, um diese Maßnahmen zu überwachen und zu überprüfen oder Mitarbeiter zu schulen, um sicherzustellen, dass sie sich der sich entwickelnden Bedrohungen bewusst sind. In diesen Fällen empfehlen wir weiterhin, dass Unternehmen regelmäßig ihre IKT-Sicherheitsmaßnahmen überprüfen und einen umfassenden Schulungsplan für Mitarbeiter umsetzen, der durch Auffrischungsschulungen und Sensibilisierungsprogramme unterstützt wird, um die Risiken einer sich entwickelnden Bedrohungslandschaft zu minimieren.

Benachrichtigungen über Datenschutzverletzungen nach Kategorie

Offenlegung (nicht autorisiert): 5.837

Hacking: 146

Schadsoftware: 19

Phishing - einschließlich Social Engineering: 74

Ransomware/Dienstverweigerung: 32

Sicherheitsanfälligkeit in der Softwareentwicklung: 5

Gerät verloren oder gestohlen (verschlüsselt): 19

Gerät ist verloren oder gestohlen (unverschlüsselt) 29

Verlorenes oder gestohlenes Papier: 275

E-Waste (Persönliche Daten vorhandene oder veraltete Geräte: 1

Unangemessene Entsorgung von Papier: 21

System Fehlkonfiguration: 40

Unerlaubter Zugriff: 146

Unbeabsichtigte Online-Veröffentlichung: 61

Andere: 78

Insgesamt: 6.783

E-Datenschutzverletzungen

Der DPC erhielt insgesamt 70 gültige Meldungen über Datenschutzverletzungen im Rahmen der e-Privacy-Verordnung (SI Nr. 336 von 2011), auf die etwas mehr als 1% der insgesamt gültigen Fälle entfielen, die für das Jahr angemeldet wurden.

LED-Verstöße

Die DPC erhielt außerdem 25 Meldungen über Verstöße in Bezug auf die LED (EU) 2016/680), die von bestimmten Teilen des Data Protection Act 2018 in irisches Recht umgesetzt wurde.

DPC-Einschätzung eines Verstoßes

Sobald eine Meldung über einen Verstoß beim DPC eingereicht wurde, beurteilt der DPC diese unter Berücksichtigung mehrerer Aspekte des Verstoßes und der damit verbundenen Risiken. Die erste davon ist die Art des Verstoßes, einschließlich der Frage, ob er absichtlich oder versehentlich verursacht wurde, ob Daten exfiltriert oder unzugänglich gemacht wurden, und der beteiligten Arten von Technologie und Organisation. Eine Geschichte von Verstößen gegen einen bestimmten Typ kann auf ein systemisches Problem hinweisen, das einen einzelnen Datenverantwortlichen, einen bestimmten Standort oder einen gesamten Wirtschaftssektor betrifft. Merkmale der betroffenen personenbezogenen Daten sind für die Bewertung des DPC von zentraler Bedeutung. Dazu gehören die Art, das Format und die Sensibilität der personenbezogenen Daten, die Anzahl der betroffenen Personen und Aufzeichnungen sowie das Potenzial, dass die Daten gelesen oder verbreitet werden. Die DPC wird prüfen, ob Aspekte wie Profilerstellung, automatisierte Entscheidungsfindung, Überwachung oder Nachverfolgung stattgefunden haben.

Ebenso kann die Kategorisierung der betroffenen Personen — z. B. ob es sich um Kinder oder gefährdete Personen handelt — und Merkmale des Datenverantwortlichen und/oder Auftragsverarbeiters, wie gesetzliche Verantwortlichkeiten oder die Verarbeitung anderer Arten von personenbezogenen Daten, von großer Bedeutung sein. Die Menge der betroffenen Personen und der Standort dieser betroffenen Personen werden berücksichtigt.

Weitere zu berücksichtigende Faktoren sind die potenziellen Schäden für betroffene Personen, die sich aus der Offenlegung, dem Missbrauch oder dem Verlust von personenbezogenen Daten ergeben, die von dem Verstoß betroffen sind. Dieser Aspekt der Risikobewertung wird von Datenverantwortlichen oft übersehen. Harms kann von vorübergehenden Unannehmlichkeiten bis hin zu sehr schwerwiegenden Risiken wie Identitätsdiebstahl, finanziellem Verlust und Fehldiagnosen von Erkrankungen oder Reputationsschäden reichen. Die DPC wird prüfen, wie sich die Betroffenen auf die betroffenen Personen auswirken, einschließlich der Schwere, des Umfangs und des Kontexts der Personen.

Schließlich bewertet der DPC mildernde Faktoren, z. B. ob Backups verfügbar sind, Schwachstellen behoben werden und ob die Daten abgerufen oder weitere Offenlegungen verhindert werden. Häufig implementieren Datenverantwortliche keine einfachen Maßnahmen wie die Verschlüsselung von Informationen, die per E-Mail geteilt werden, um sicherzustellen, dass alle IT-Sicherheitsmaßnahmen vorhanden sind, aber auch regelmäßig aktualisiert werden. Diese Faktoren werden bei der Bewertung berücksichtigt.

Wenn die Fakten nach der anfänglichen Beurteilung eines Verstoßes durch die DPC nicht vollständig bekannt sind oder unklar bleiben, werden sie sich weiterhin mit dem Controller beschäftigen, bis alle Angelegenheiten zur Zufriedenheit der DPC beantwortet wurden. In einigen Fällen kann der Verantwortliche oder der Auftragsverarbeiter aufgefordert werden, die Ursachen und Folgen des Verstoßes zu überdenken und über seine Ergebnisse zu berichten. Verstöße mit komplexen IT-Problemen können eine Bewertung und Analyse durch die technischen Spezialisten des DPC erfordern. In Fällen, in denen der für die Verarbeitung Verantwortliche entweder einen technischen Bericht oder einen Untersuchungsbericht über den Verstoß erstellt oder in Auftrag gegeben hat, wird eine Kopie davon angefordert.

Bis zum Abschluss seiner Untersuchung kann die DPC den Fortschritt — fortlaufend — der zur Behebung oder zur Abschwächung der Auswirkungen des Verstoßes umgesetzten Maßnahmen lenken und überwachen. Dazu könnte die Unterrichtung der betroffenen Personen über den Verstoß nach Artikel 34 der DSGVO oder die Umsetzung technischer oder organisatorischer Maßnahmen zur Behebung von Schwachstellen gehören.

Basierend auf seiner Bewertung und den Maßnahmen des für die Verarbeitung Verantwortlichen zur Verhinderung oder Abschwächung weiterer ähnlicher Vorfälle kann der DPC seine Untersuchung an dieser Stelle abschließen. Wenn der DPC mit den Gegenmaßnahmen oder Antworten des für die Verarbeitung Verantwortlichen nicht zufrieden ist, kann er die Angelegenheit für weitere Untersuchungen/Durchsetzungsmaßnahmen eskalieren.

Überprüfen Sie den vollständigen Bericht (PDF)

Jahresbericht DPC 2020 (Englisch)

Lesen Sie den Originalbeitrag über die Website der Data Protection Commission (DPC Ireland).

* Hinweis zu urheberrechtlich geschützten Informationen, die mit Genehmigung gemäß der Wiederverwendung von Informationen des öffentlichen Bereichs geteilt werden

Zusätzliche Lekt

Die Datenschutzkommission (DPC) Irland

Ein irisches Update: DPC Ireland veröffentlicht Bericht über die regulatorischen Aktivitäten der DSGVO (2018-2020)

Quelle: ComplexDiscovery

Gemeinsame Cybersicherheitsberatung der CISA, des FBI und der NSA zu BlackMatter Ransomware

This Joint Cybersecurity Advisory from the CISA, FBI, and NSA provides...

Geheimnisse bewahren? Ransomware-Trends bei Daten des Bankgeheimnisgesetzes zwischen Januar 2021 und Juni 2021

According to a recently published report, the U.S. Treasury's Financial Crimes...

Eine geografische Darstellung: Ransomware-Angriffe in den USA zwischen 2018 und heute

Published by Comparitech, a pro-consumer website providing information, tools, reviews, and...

Empfehlungen zur Minderung des Risikos von Software-Schwachstellen: NIST Secure Software Development Framework

This draft document from NIST on a proposed secure software development...

Consilio schließt Übernahme der Geschäftsbereiche Legal Consulting und eDiscovery von Special Counsel von Adecco ab

According to Andy Macdonald, CEO of Consilio, “Consilio’s acquisition of D4...

Cellebrite erwirbt digitale Hinweise

According to Cellebrite CEO Yossi Carmil, “We are pleased to announce...

iConect erwirbt Ayfie Inspector Codebase für künstliche Intelligenz

According to Ian Campbell, CEO of iCONECT, “Direct access to the...

eDiscovery Fusionen, Akquisitionen und Investitionen im dritten Quartal 2021

From Ipro and Disco to Nuix and Lighthouse, the following findings,...

Eine neue Ära in eDiscovery? Rahmen des Marktwachstums durch die Linse von sechs Epochen

There are many excellent resources for considering chronological and historiographical approaches...

Ein eDiscovery-Markt-Mashup: 2020-2025 Weltweiter Überblick über Software und Services

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Die Baseline zurücksetzen? eDiscovery-Marktgrößenanpassungen für 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Heim oder weg? Überlegungen zur Größenbestimmung und Preisgestaltung im eDiscovery-Sammlungsmarkt

One of the key home (onsite) or away (remote) decisions that...

Fünf großartige Lesungen zu Cyber, Daten und rechtlicher Entdeckung für September 2021

From countering ransomware to predictive coding and packaged services, the September...

Fünf große Lesevorgänge über Cyber, Daten und legale Entdeckung für August 2021

From the interplay of digital forensics in eDiscovery to collecting online...

Fünf große Lesevorgänge zu Cyber-, Daten- und Legal Discovery für Juli 2021

From considerations for cyber insurance and malware to eDiscovery business confidence...

Fünf großartige Lesevorgänge auf eDiscovery für Juni 2021

From remediating cyberattacks to eDiscovery pricing, the June 2021 edition of...

Erntezeit? eDiscovery Operational Metrics im Herbst 2021

In the fall of 2021, 67 eDiscovery Business Confidence Survey participants...

Unsaisonal heiß? Ergebnisse der eDiscovery Umfrage zum Geschäftsvertrauen im Herbst 2021

Since January 2016, 2,595 individual responses to twenty-four quarterly eDiscovery Business...

Noch Keepers? Umfrage zu vorausschauenden Kodierungstechnologien und -protokollen — Ergebnisse im Herbst 2021

From the most prevalent predictive coding platforms to the least commonly...

Glühende Erwartungen? Achtzehn Beobachtungen zum eDiscovery Business Confidence im Sommer 2021

In the summer of 2021, 63.3% of survey respondents felt that...