Facebook, LinkedIn und Clubhouse haben behauptet, dass die Dumps ihrer Benutzerdaten, die vor kurzem aufgetaucht in Internetforen sind keine große Sache. Denn in jedem Fall wurden die Informationen aus öffentlich einsehbaren Nutzerprofilen „gekratzt“ und nicht bei einem Einbruch gestohlen.
Einige Cybersicherheitsexperten und Journalisten stimmten zu, in sozialen Medien posten dass sich die Nutzer keine Sorgen machen mussten, weil Clubhouse, Facebook und LinkedIn die Daten von vornherein nicht als privat schützen wollten. Da kein Computersystem gehackt wurde, gab es für sie keine Datenschutzverletzungen.
- Was nach einer Datenschutzverletzung zu tun ist: Eine Schritt-für-Schritt-Anleitung
- So verhindern Sie, dass Facebook Ihre Daten teilt
Dies ist ein unvollständiges Argument. Nicht alle Datenschutzverletzungen beinhalten Hacking, und mit Informationen, die Unternehmen zwingen, Benutzer in öffentlichen Profilen zu teilen, kann viel Schaden angerichtet werden.
Unabhängig davon, ob die Daten gestohlen, durchgesickert oder abgekratzt wurden, ist das Ergebnis für die Verbraucher das gleiche – ihre Privatsphäre wurde von einem Unternehmen verletzt, von dem sie dachten, dass sie ihm vertrauen könnten.
Es muss kein Verstoß sein, um Ihre Privatsphäre zu verletzen
Die Realität ist, dass Datenschutzverletzungen ohne Sicherheitsverletzungen passieren können. Ich habe mit Datenschutzexperten gesprochen, die ein erhebliches Maß an Besorgnis über die jüngsten Vorfälle zum Ausdruck brachten.
Lourdes Turrecha, Gründerin der Initiative The Rise of Privacy Tech und außerordentliche Professorin für Rechtswissenschaften an der Santa Clara University in Kalifornien, warnte davor, dass Datenschutz- und Sicherheitsverletzungen zwar manchmal überlappen, aber Datenschutzvorfälle mehr Verletzungen umfassen als herkömmliche Hackervorfälle. (Haftungsausschluss: Dieser Autor ist ein Berater von The Rise of Privacy Tech.)
„Datenschutzvorfälle umfassen auch die unrechtmäßige Verwendung und Verarbeitung personenbezogener Daten zu jedem Zeitpunkt des gesamten Datenlebenszyklus, von der Erhebung und Verarbeitung bis hin zur Speicherung und Löschung“, sagte Turrecha.
„Darüber hinaus schließen Datenschutzgesetze wie die europäische Datenschutz-Grundverordnung (DSGVO) öffentlich zugängliche personenbezogene Daten nicht vom Datenschutz aus“, fügte sie hinzu. „Als Einzelpersonen verlieren wir unsere Datenschutzrechte nicht, nur weil unsere personenbezogenen Daten auf einer öffentlichen Website verfügbar sind.“
Tatsächlich ist die Irische Datenschutzkommission hat am Mittwoch (14. April) eine Untersuchung auf Grundlage der DSGVO zur Kompromittierung von 533 Millionen Facebook-Konten in der vergangenen Woche eingeleitet.
Hätten die Unternehmen mehr tun können, um dies zu verhindern?
Mike Jones, Chief Privacy Officer bei der Arbeitsagentur Randstad USA, sagte, dieser Mangel könne darauf zurückzuführen sein, dass Cybersicherheitsexperten über den Schutz von Systemen anstelle von Personen nachdenken und Unternehmen, die sich auf die Einhaltung von Gesetzen statt auf den Schutz der Benutzer konzentrieren.
„Wenn Ihr Engagement für den Datenschutz bei der Einhaltung gesetzlicher Vorschriften beginnt und endet, während sich Cybersicherheitsteams nur auf Systeme konzentrieren“, sagte Jones, „lassen Sie eine große Lücke beim Schutz der Verbraucher.“
Jones ist der Meinung, dass Clubhouse mehr hätte tun sollen, um das schnelle, automatisierte Scrapen seiner Benutzerprofile zu verhindern. (Facebook und LinkedIn haben diese Art der Datensammlung ebenfalls ermöglicht.)
„Es gibt einen großen Unterschied zwischen einer Person, die alle paar Sekunden auf Daten zugreift, indem sie einzelne Profile in der App sucht, und einer Person, die schnell über eine API auf die Profildaten aller zugreift. [application-program interface]“, sagte er. „Die Tatsache, dass Clubhouse das zur Verfügung gestellt hat, ist ein riesiges Problem.“
Datenschutzverletzungen sind Gesetzesverstöße
Unter Datenschutzexperten bestehen ernsthafte Zweifel, ob Clubhouse die gesetzlichen Anforderungen an den Datenschutz erfüllt, insbesondere in Europa, wo Datenmissbrauch rechtlich als Datenschutzverletzung gilt.
„Nach der DSGVO und anderen Datenschutzgesetzen ist Clubhouse verpflichtet, seine Infrastruktur, Produkte und Dienstleistungen unter Berücksichtigung der Privatsphäre des Einzelnen aufzubauen“, sagte Debra Farber, eine Datenschutzexpertin, die Technologie-Startups berät.
„Stattdessen hat Clubhouse Datenschutzschäden durch aggressive Growth-Hacking-Techniken verursacht, denen die erforderlichen Berechtigungen für die Verarbeitung personenbezogener Daten, eine rechtmäßige Grundlage für deren Erhebung und die Möglichkeit für Verbraucher fehlen, auf ihre personenbezogenen Daten zuzugreifen, sie zu löschen, zu korrigieren oder zu übertragen oder ihre Zustimmung zu widerrufen. “
Das Unternehmen sieht sich mehreren Untersuchungen europäischer Aufsichtsbehörden wegen möglicher Verstöße gegen Datenschutzgesetze gegenüber. In den Vereinigten Staaten hat Clubhouse keine Kopien seiner Daten an Verbraucher weitergegeben, die darum gebeten haben, wie vom California Consumer Privacy Act gefordert.
Ablehnende Benutzer durch Design
Der britische Datenschutzberater Carl Gottlieb sagt, dass die Messung von Vorfällen von Datenmissbrauch daran, ob eine Sicherheitsverletzung technisch stattgefunden hat, den Punkt verfehlt.
„Wir sollten sie als Privacy by Design-Fehler betrachten“, sagte Gottlieb. „Wenn wir Vorfälle wie diesen mit Equifax gleichsetzen“ – dem Datendiebstahl von Equifax im Jahr 2017, bei dem die persönlichen Daten von 155 Millionen Menschen kompromittiert wurden –, „konzentrieren wir uns auf die falschen Dinge, z .
„Je mehr wir alles als Sicherheitsvorfall bezeichnen“, sagte Gottlieb, „desto unwahrscheinlicher werden wir jemals jemanden für seine Datenschutz-by-Design-Fehler zur Rechenschaft ziehen.“
Das kann nicht ewig so weitergehen
Ein derart schlampiger Umgang mit Nutzerdaten könnte bald der Vergangenheit angehören, so Turrecha.
„Der Anstieg der regulatorischen Erwartungen und der Datenschutzerwartungen der Verbraucher signalisiert den Aufstieg von datenschutztechnischen Innovationen und den Anfang vom Ende für datenschutzinvasive Technologien und Geschäftsmodelle“, sagte sie, „insbesondere in dem Ausmaß, in dem sie sich verbreitet und toleriert haben die Vergangenheit.“
In einem Stellungnahme Anfang dieses Jahres hat die US-amerikanische Federal Trade Commission (FTC) in Bezug auf Datenschutzverletzungen durch die Flor-Periode und die Ovulations-Tracking-App klargestellt, dass sie die Kompromittierung von Daten auch dann als Verletzung betrachtet, wenn kein technisches Hacking im Spiel ist.
Die FTC nannte mehrere Vorteile der Benachrichtigung von Benutzern über diese Art von Vorfällen, was Facebook, LinkedIn und Clubhouse alle nicht getan haben.
„Verbraucher verdienen es zu wissen, wenn ein Unternehmen falsche Datenschutzversprechen abgegeben hat, damit sie ihre Nutzung ändern oder Dienste wechseln können“, heißt es in der FTC-Erklärung.
„Hinweise informieren auch darüber, wie Verbraucher einen Dienst bewerten und ob sie ihn anderen empfehlen werden. Schließlich verleihen Hinweise den Verbrauchern die Würde, zu wissen, was passiert ist.“
Als Gesellschaft haben wir entschieden, dass bestimmte Geschäftsmodelle und Praktiken nicht vom Gesetz toleriert werden sollten, darunter Menschenhandel, Ponzi-Systeme und falsche Werbung. Es ist völlig angemessen, dass wir von jedem Unternehmen, das unsere personenbezogenen Daten erhebt oder verwendet, mehr Respekt und Rechenschaftspflicht fordern.
Wir werden möglicherweise feststellen, dass mit der weltweiten Ausweitung der Privatsphäre und Datenrechte bestimmte Geschäftsstrategien einfach nicht mit dem Schutz vereinbar sind, den wir für uns selbst und unsere Lieben wünschen.