Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Archiv Datenschutz

    POPIA stellt den Datenschutz vor ein Rätsel: Wie archiviert man E-Mails?

    Das neue südafrikanische Datenschutzgesetz verlangt Datenarchive, die Manipulationen verhindern und gleichzeitig Korrekturen ermöglichen.

    by Karen Lynch
    gettyimages-1296539038.png

    Wichtige Punkte

    • Nach dem neuen POPIA-Gesetz müssen Unternehmen die persönlichen Daten südafrikanischer Bürger vor unbefugtem Zugriff und Manipulationen schützen.
    • Das Gesetz ermöglicht es Einzelpersonen auch, die Berichtigung und Löschung von Daten zu verlangen, die Unternehmen über sie gesammelt haben.
    • Aber manipulationssichere Schutzmaßnahmen können die Erfüllung von Änderungswünschen erschweren, es sei denn, Unternehmen verwenden die richtige Einrichtung für Systeme wie E-Mail-Archive.

    Südafrikanische Unternehmen haben sich auf den gerade abgelaufenen Stichtag 1. Juli vorbereitet, um die neuen Datenschutzbestimmungen des südafrikanischen Datenschutzgesetzes (Protection of Personal Information Act, POPIA) zu erfüllen.[1] Aber manchmal greifen die Zahnräder nicht ineinander, vor allem wenn es um die riesigen Mengen an persönlichen Daten geht, die in E-Mail-Konten und Archiven gespeichert sind. Die gesetzliche Verpflichtung zum Schutz personenbezogener Daten kann zum Beispiel mit der Verpflichtung kollidieren, solche Daten auf Anfrage zu korrigieren oder zu löschen.

    Unternehmen sollten sich drei Fragen stellen, um zu beurteilen, ob ihr E-Mail-Archiv mit POPIA konform ist:

    • Ist mein E-Mail-Archiv manipulationssicher ("unveränderlich" im Sinne des Datenschutzes)?
    • Ermöglicht es mir, auf die Anträge von Personen auf Berichtigung und Löschung von Daten (sogenannte "Subject Access Requests") zu reagieren?
    • Kann sie beides?

    Unternehmen, die sich bei der gesetzeskonformen Archivierung auf die vorherrschenden E-Mail-Plattformen verlassen, können in der Regel die erste oder zweite Frage mit "Ja" beantworten, nicht aber die dritte, so Brian Pinnock, Mimecasts Director of Sales Engineering MEA. Und das ist die Art von Unzulänglichkeit, die das Risiko birgt, gegen POPIA zu verstoßen, finanzielle Strafen nach sich zu ziehen, zu Sammelklagen einzuladen und dem Ruf eines Unternehmens Schaden zuzufügen.

    In früheren Blogs hat Pinnock einen POPIA-Crashkurs gegeben, mit einigen POPIA-Mythen aufgeräumt und sich eingehend mit Datensicherheit und Ransomware befasst, um südafrikanische Unternehmen bei der Vorbereitung auf das neue Datenschutzgesetz zu unterstützen. Hier analysiert er das Problem, mit dem Unternehmen konfrontiert sind, wenn sie versuchen, die Unveränderbarkeit von Daten mit der Einhaltung von POPIA zu vereinbaren.

    Unveränderlichkeit der Daten vs. Konformität

    Die Datenschutzbestimmungen zielen darauf ab, die Integrität, Vertraulichkeit und Unveränderbarkeit sensibler Daten wie persönlicher Informationen zu schützen. Als Faustregel gilt, dass archivierte Daten in keiner Weise verändert werden dürfen.

    Die Einhaltung von POPIA erfordert nicht nur einen solchen Schutz, sondern gibt dem Einzelnen auch das Recht, Korrekturen und Löschungen zu verlangen. Das Problem ist, dass die auf den gängigen E-Mail-Plattformen angebotenen Archivierungssysteme möglicherweise nicht in der Lage sind, sowohl die Unveränderbarkeit als auch die Einhaltung der Vorschriften zu gewährleisten.

    Einige dieser Archive arbeiten mit Aufbewahrungssperren, die für einen bestimmten Zeitraum gelten. Erst nach Ablauf der Sperre kann eine Änderung vorgenommen werden, womit weniger auf Anfragen reagiert werden kann, als es das Gesetz vorschreibt, sagt Pinnock. Wenn eine Sperre aufgehoben wird, um Änderungen vorzunehmen, fehlt dem Unternehmen möglicherweise ein Prüfpfad, um die Einhaltung der Vorschriften nachzuweisen. Schlimmer noch: Protokolle könnten auch von skrupellosen Administratoren oder Endbenutzern gelöscht werden, die an Korruption beteiligt sind.

    Im Gegensatz dazu ermöglicht die von einem E-Mail-Sicherheitsanbieter wie Mimecast ermöglichte Einrichtung streng kontrollierte Änderungen an einem E-Mail-Archiv, die oft die Beteiligung von mindestens zwei Mitarbeitern erfordern, sagt er. Um die Integrität zu wahren und Korruption zu verhindern, zeigt ein manipulationssicherer Prüfpfad dem Sicherheitsteam des Unternehmens an, welche Daten im Archiv geändert wurden und von wem.

    Konforme E-Mail-Archivierung

    Compliance-Tools für andere notwendige Funktionen, wie z. B. E-Discovery, sind ebenfalls von einer Reihe von E-Mail-Plattformen und Sicherheitsanbietern mit unterschiedlichem Entwicklungsstand erhältlich. können E-Mails beim Eingang markieren und automatisch diejenigen identifizieren, die sensible Daten enthalten. Diese Funktion macht unstrukturierte E-Mail-Daten durchsuchbar und zu einem späteren Zeitpunkt in jeder beliebigen Form verfügbar, sei es für eine Zugriffsanfrage oder eine Datenschutzrisikobewertung.

    Sicheres Messaging ist auch bei der Beantwortung von Auskunftsersuchen von Nutzen. Da Sie einer Person per E-Mail einen Nachweis über die Löschung ihrer Daten zusammen mit Prüfprotokollen schicken, verfügt Ihr Unternehmen mit Secure Messaging über einen eigenen Zustellungsnachweis.

    POPIA Ausblick

    Die Zeit wird zeigen, wie schnell und streng die Regulierungsbehörden POPIA durchsetzen. Die Muster, die von den europäischen Aufsichtsbehörden bei der Durchsetzung der Allgemeinen Datenschutzverordnung (GDPR) vorgegeben wurden, könnten sich in der südafrikanischen Datenschutzlandschaft wiederholen. So könnten beispielsweise Organisationen mit hohem Bekanntheitsgrad in der Anfangsphase stärker durchgesetzt werden, auch wenn von allen Unternehmen erwartet wird, dass sie Maßnahmen zur Einhaltung der Vorschriften ergreifen, die für ihre jeweilige Größe und Branche angemessen sind.

    POPIA ähnelt zwar der Datenschutz-Grundverordnung und anderen Datenschutzgesetzen, unterscheidet sich aber in einigen Punkten von ihnen:

    • Sie umfasst mehr Kategorien personenbezogener Daten als die meisten anderen (z. B. nicht nur Kreditkartennummern, sondern auch die Religionszugehörigkeit).
    • Sie umfasst sowohl die Datenschutzrechte von Unternehmen als auch die von Einzelpersonen.
    • In der Regel werden schwächere Strafen verhängt (bis zu 10 Millionen ZAR bzw. 700.000 US-Dollar, wenn der Datenschutz als nachlässig erachtet wird).
    • Haftstrafen sind in POPIA enthalten, das 2013 verfasst wurde, obwohl ein globaler politischer Konsens diese Bestimmung überholt haben könnte, sagt Pinnock.

    Von den südafrikanischen Regulierungsbehörden werden im kommenden Jahr weitere Leitlinien zur Einhaltung und Durchsetzung der Vorschriften erwartet, da Unternehmen und Einzelpersonen beginnen, Verstöße zu melden. In der Zwischenzeit werden die Aufsichtsbehörden für die bevorstehende POPIA-Aufgabe als unzureichend ausgestattet angesehen, und viele Unternehmen werden als unvorbereitet auf die Erfüllung der Anforderungen beschrieben.

    Geschäftsaussichten

    Auch die geschäftlichen Auswirkungen von POPIA werden sich im Laufe der Zeit klären. Anderswo auf der Welt berichtete die Marktforschungsgruppe Gartner im vergangenen Jahr, dass Unternehmen, die der DSGVO und anderen Datenschutzgesetzen unterliegen, im Durchschnitt fast 1.500 US-Dollar pro Antrag auf Zugang zu personenbezogenen Daten ausgeben. Viele Unternehmen verwendeten zeitaufwändige manuelle Prozesse, die in der Regel mindestens eine ganze Arbeitswoche pro Anfrage in Anspruch nahmen. "Eine Automatisierung wird erforderlich sein, um die Abteilungsgröße zu unterstützen und die Vorschriften zu erfüllen", schrieb Gartner.[2]

    Eine Studie der Datenschutzplattform DataGrail untersuchte Anfragen nach dem California Consumer Privacy Act (CCPA). Dabei erhielten die Unternehmen durchschnittlich 137 Anfragen pro Million Identitäten. Fast die Hälfte der Verbraucher beantragte, dem Verkauf ihrer Daten an Dritte zu widersprechen, anstatt Zugang zu ihren Daten oder deren Löschung zu verlangen. Immerhin etwa ein Drittel forderte die Löschung.[3]

    Die Quintessenz

    Das südafrikanische POPIA-Gesetz tritt in Kraft und verleiht dem Einzelnen mehr Rechte im Bereich des Datenschutzes. Die Art und Weise, wie Unternehmen mit der riesigen Menge an personenbezogenen Daten in ihren E-Mail-Konten und Archiven umgehen, ist der Schlüssel zur Einhaltung des Gesetzes. Ohne die richtigen Vorkehrungen könnten Ihre Datenschutzmaßnahmen im Widerspruch zu den neuen Rechten von Personen stehen, die Änderungen an den über sie gespeicherten Informationen verlangen können.

     

    [1] "Gesetz zum Schutz personenbezogener Daten," Staatsanzeiger

    [2] "4 Legal Tech Trends für 2020," Gartner

    [3] "Verbraucher ergreifen Maßnahmen zum Datenschutz," DataGrail

    gettyimages-1157048373.png
    Nächster Punkt
    Archiv Datenschutz |
    Datenverschlüsselung: Wie man Daten bei der Übertragung, bei der Nutzung und im Ruhezustand schützt

    Verwandte Artikel

    Archiv Datenschutz
    Weniger ist mehr: Der Cyber-Fall für Datenminimierung
    Archiv Datenschutz
    Was ist Datensicherung und Sicherungsspeicherung?
    Archiv Datenschutz
    Plattformübergreifende Angriffe könnten Ransomware noch tödlicher machen

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang