Britische Steuerbehörde als Vorbild bei Datenverlusten
Die britische Steuer- und Zollbehörde HMRC hat an einem konkreten Fallbeispiel den Umgang mit einem Datenverlust demonstriert.
Letzten Monat musst die HMRC den Verlust eines Notebooks mit persönlichen und sensiblen Daten von Steuerzahlern bekannt geben. Der Umgang der Behörde mit dem Datenverlust könnte als Vorlage für eine entsprechende Gesetzesinitiative angesehen werden.
Die HMRC, die erst 2005 aus der Zusammenlegung der Finanzbehörde und der Zollbehörde hervorgegangen ist, hatte die Daten auf dem Notebook bereits präventiv verschlüsselt. Alle Daten waren “durch ein komplexes Passwort und eine starke Verschlüsselung geschützt”, erklärte ein Sprecher der HMRC.
Ebenfalls als vorbildlich wird von Experten der offene Umgang mit dem Datenverlust bezeichnet. “Selbstverständlich bedauern wir zutiefst, was passiert ist und offensichtlich sind wird dafür verantwortlich”, ergänzte der Sprecher.
Noch wichtiger sollten für die Bürger die Bemühungen der Behörde sein, die Vorgänge lückenlos aufzudecken. So würden alle Kunden der Finanzbehörde, die von dem Datenverlust betroffen seien, einzeln von Mitarbeitern der HMRC kontaktiert und informiert werden, hieß es.
Gerade die Aufdeckung von Datendiebstählen und die umfassende Information der Betroffenen ist eine zentrale Forderung von Datenschützern. So unterstützt silicon.com in Großbritannien eine entsprechende Petition, die Verpflichtungen zur öffentlichen Berichterstattung bei Datenverlusten fordert.
Ein entsprechendes Gesetzt existiert bereist im US-Bundesstaat Kalifornien. Allerdings sind Unternehmen und Behörden nur dann zur umfassenden Information verpflichtet, wenn der Verdacht besteht, unverschlüsselte Kundendaten könnten auch missbraucht werden. Bei einem Fall wie in Großbritannien bräuchte eine kalifornische Behörde seine Kunden nicht zu informieren.