Was ist Datenschutz?
Datenschutz ist eine Funktion innerhalb des Datenmanagements, die sich auf die Erfassung, Verarbeitung, Speicherung und den Schutz personenbezogener Daten konzentriert. Im Wesentlichen geht es beim Datenschutz um die Balance zwischen der Weitergabe von Daten an Dritte und der Einhaltung verschiedener Datenschutzgesetze.
Warum ist Datenschutz wichtig?
Mehr als 70 Prozent der Länder weltweit verfügen bereits über Datenschutzgesetze oder arbeiten an der Ausarbeitung neuer Gesetze. Die weltweite Zunahme der Regulierungen unterstreicht, dass die Gesetzgeber die Bedeutung des Datenschutzes erkannt haben. Mit neuen Regeln gehen auch neue Anforderungen an die Datenschutzrechte einher – und für Unternehmen bedeutet dies die dringende Notwendigkeit, sich an die sich ständig weiterentwickelnde Datenschutzlandschaft anzupassen.
Weltweite Datenschutzbestimmungen zielen darauf ab, Einzelpersonen die Kontrolle über ihre Daten zu geben und Organisationen für die ethische und gesetzeskonforme Verarbeitung personenbezogener Daten verantwortlich zu machen. Mit der Weiterentwicklung der Datenwirtschaft haben Unternehmen jedoch einen enormen Mehrwert in der Erfassung, Weitergabe und Nutzung von Daten erkannt. Marken wie Amazon, Google und Facebook stehen an der Spitze der Datenwirtschaft und verfügen über umfangreiche Geschäftsmodelle, die sich hauptsächlich auf die Nutzung personenbezogener Daten konzentrieren.
Doch Transparenz in der Art und Weise, wie Unternehmen Einwilligungen regeln, Datenschutzrichtlinien befolgen und die von ihnen gesammelten Daten verwalten, ist für den Aufbau von Vertrauen und Verantwortlichkeit bei Kunden, Mitarbeitern und Partnern von entscheidender Bedeutung.
Laut Pew Research sind 811.000 der Amerikaner der Meinung, dass das potenzielle Risiko der Datenerfassung durch Unternehmen den Nutzen überwiegt. Dies verdeutlicht die Kluft zwischen Unternehmen und Kunden. Viele Organisationen sind sich der Risiken von Cyberangriffen und Datenschutzverletzungen bewusst, tun sich aber immer noch schwer, die Bedeutung des individuellen Datenschutzrechts als bürgerliche Freiheit zu verstehen.
Risiken und Herausforderungen im Bereich Datenschutz
Heutzutage stehen Daten im Mittelpunkt der meisten Geschäftsentscheidungen. Unternehmen treffen diese wichtigen Entscheidungen jedoch oft auf der Grundlage von Daten, die weder sichtbar noch verständlich sind. Unternehmen verlassen sich auf datenbasierte Entscheidungen, um ihre Kunden zu erreichen und zu binden. Verbraucher sind jedoch zunehmend besorgt um ihre Privatsphäre. Unternehmen müssen Herausforderungen wie den Schutz von Kunden und Mitarbeiterdaten während des gesamten Lebenszyklus, beim Aufbau des Verbrauchervertrauens und bei der Einhaltung sich ändernder Vorschriften. Unternehmen, die Datenschutzbestimmungen nicht einhalten und personenbezogene Daten sowie Kunden- und Mitarbeiterdaten nicht schützen, riskieren mehr als nur finanzielle Strafen.
Hier sind einige Beispiele, wie sich der Datenschutz tatsächlich auf das Geschäft auswirken kann:
Regulatorische Konsequenzen
Datenschutz- und Datensicherheitsbehörden können obligatorische Prüfungen durchsetzen, Zugriff auf Unterlagen und Nachweise verlangen oder sogar anordnen, dass eine Organisation die Verarbeitung personenbezogener Daten einstellt.
Reputationsschaden
Die Nichteinhaltung des Gesetzes kann zu Markenschäden, Vertrauensverlust bei Verbrauchern und Mitarbeitern, Kundenabwanderung und Umsatzeinbußen führen. Im Oktober 2016 erlitt Uber einen schwerwiegenden Datendiebstahl, ohne die Details bekannt zu geben. Anstatt Transparenz zu zeigen, bezahlte Uber Hacker für die Löschung der Daten und vertuschte den Vorfall. Der Datendiebstahl wurde schließlich im November 2017 bekannt, führte zu Geldstrafen und wirkte sich negativ auf das Verbrauchervertrauen aus.
Geldbußen
Je nach Art des Verstoßes drohen finanzielle Konsequenzen, Geldbußen und Gefängnisstrafen. Auch Umsatzeinbußen sowie hohe Prozess- und Sanierungskosten können dazu führen. Kürzlich wurde Amazon mit der bislang höchsten Geldstrafe in Höhe von 746 Millionen Euro ($888 Millionen) belegt, da die EU-Datenschutzbehörde Amazon wegen Verstoßes gegen die Datenschutzrichtlinien mit einer Geldstrafe belegte.
Betriebsschulden
Die meisten Datenschutzgesetze gewähren den Menschen erweiterte Rechte an ihren Daten, beispielsweise das Recht auf Zugriff, Änderung oder Löschung. Dies kann jedoch eine erhebliche operative Belastung darstellen, wenn es nicht effektiv umgesetzt wird, da Unternehmen Daten, in denen personenbezogene Daten vorhanden sind, ermitteln und klassifizieren müssen.
Verlust des Verbrauchervertrauens
Das wohl wertvollste Gut eines jeden Unternehmens ist das Vertrauen der Kunden. Ohne dieses Vertrauen steht Unternehmen ein harter Kampf bevor, das Vertrauen ihrer Kunden zurückzugewinnen – ähnlich wie bei dem Vorfall, bei dem ein Datendiebstahl bei Capital One die Daten von fast 106 Millionen Menschen offenlegte.
Datenschutz vs. Datensicherheit
Datenschutz und Datensicherheit sind nicht austauschbar, auch wenn manche Organisationen das anders sehen. Manche denken vielleicht, dass die Einhaltung sensible Daten Sicher reicht zwar aus, um die Datenschutzbestimmungen einzuhalten, aber diese Perspektive ist möglicherweise etwas kurzsichtig.
- Datenschutz regelt, wie personenbezogene Daten (PI) und persönlich identifizierbare Informationen (PII) ordnungsgemäß erfasst, abgerufen, verarbeitet, gespeichert, geschützt und weitergegeben werden sollen.
- Datensicherheit schützt vertrauliche Daten vor Gefährdung durch Datenlecks, Hacker, unbefugten Zugriff und böswillige Angriffe.
Es gibt sogar Szenarien, in denen Datensicherheit ohne Datenschutz möglich ist, aber niemals umgekehrt. Beispielsweise kann ein Unternehmen über hochentwickelte Technologie und ausgefeilte Datensicherheitsmethoden zum Schutz personenbezogener Daten verfügen. Würden die Daten dennoch ohne Zustimmung erfasst, wäre dies ein Verstoß gegen den Datenschutz.
Geltende Datenschutzgesetze
Die Vorschriften zum Datenschutz entwickeln sich ständig weiter und erweitern sich. Unternehmen müssen selbst bestimmen, welche Datenschutzgesetze für ihre jeweilige Region und ihre Nutzer relevant sind.
Hier sind vier der bislang wirkungsvollsten Datenschutzgesetze:
DSGVO: Datenschutz-Grundverordnung
Im Mai 2018 hat die Europäische Union Allgemeine Datenschutzverordnung (GDPR) war die erste bedeutende Datenschutz- und Sicherheitsverordnung mit globaler Wirkung.
Die DSGVO zwang Unternehmen dazu, die Art und Weise zu überdenken, wie sie den Zugriff auf personenbezogene Daten – und im Gegensatz zu früheren Generationen von Datenschutzgesetzen enthält es einen zwingenden Anreiz zur Einhaltung, wobei bei Verstößen Strafen von bis zu 41TP3B des weltweiten Umsatzes eines Unternehmens drohen.
Die DSGVO gibt Verbrauchern mehr Rechte an ihren Daten und verpflichtet Unternehmen gleichzeitig zur Einhaltung der notwendigen Datenschutzmaßnahmen. Die größte Herausforderung bei der Einhaltung der DSGVO besteht für die meisten Unternehmen jedoch darin, auf Auskunftsersuchen betroffener Personen (DSARs) zu reagieren.
Für Unternehmen ist es nicht einfach, die Daten einer Person auf Anfrage zu finden, bereitzustellen oder zu löschen. Daher benötigen viele IT- und Datenschutzteams Automatisierung von Datenrechten Anwendungen zur automatischen Erkennung und Klassifizierung personenbezogener Daten zum Schutz und zur Beschleunigung DSAR-Anfragen.
CCPA: Kalifornisches Datenschutzgesetz
Ähnlich wie die DSGVO sieht der California Consumer Privacy Act (CCPA) erweitert den Datenschutz für die personenbezogenen Daten von Einwohnern Kaliforniens. Der CCPA, der in Kalifornien tätige Unternehmen verpflichtet, personenbezogene Daten zu identifizieren und offenzulegen, Auskunftsersuchen betroffener Personen nachzukommen und personenbezogene Daten zu schützen, trat am 1. Januar 2020 in Kraft.
Einwohner Kaliforniens können Organisationen fragen, welche personenbezogenen Daten sie gespeichert haben, diese löschen lassen und herausfinden, welche Informationen an Dritte weitergegeben wurden. Diese Maßnahmen gelten für innerhalb des Bundesstaates erhobene Daten. Das bedeutet, dass Unternehmen sensible Daten, die unter den CCPA fallen, schnell und präzise finden und klassifizieren müssen – und über entsprechende Prozesse zur Erfüllung der DSARs verfügen sollten.
HIPAA: Gesetz zur Portabilität und Rechenschaftspflicht von Krankenversicherungen
Eines der etabliertesten US-Datenschutzgesetze auf Bundesebene ist das Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA) – eine Verordnung zum Schutz der Gesundheit und medizinischer Daten von Patienten.
Der US-Kongress verabschiedete den HIPAA 1996. Da das Gesundheitswesen jedoch besonders häufig Opfer von Datenschutzverletzungen wurde, stiegen nach dessen Inkrafttreten die Forderungen nach einem besseren Datenschutz. Daher erließ das US-Gesundheitsministerium (HHS) im Jahr 2000 die Privacy Rule, um dem HIPAA-Mandat zum Schutz von Gesundheitsdaten nachzukommen. Trotzdem verursachte das Gesundheitswesen laut IBM weiterhin die höchsten durchschnittlichen Kosten durch Datenschutzverletzungen: 147,13 Millionen US-Dollar.
GLBA: Gramm-Leach Billey Act
Ein weiteres wichtiges Datenschutzgesetz ist die Gramm-Leach-Bliley Act (GLBA), ein US-Bundesgesetz, das regelt, wie Finanzinstitute mit vertraulichen Informationen von Personen umgehen.
Es gibt drei Bereiche dieser law: Die Financial Privacy Rule regelt, wie persönliche Finanzdaten werden offengelegt und gesammeltDie Safeguards Rule verpflichtet Finanzinstitute zum Schutz ihrer Daten durch die Implementierung eines Sicherheitsprogramms. Die Pretexting-Bestimmungen verbieten den Zugriff auf private Daten unter Vorspiegelung falscher Tatsachen. Finanzinstitute sind gemäß diesem Gesetz zudem verpflichtet, ihre Kunden schriftlich über ihre Vorgehensweise beim Datenaustausch zu informieren.
Wie BigID Unternehmen bei der Automatisierung des Datenschutzes unterstützt
Datenschutz ist ein Grundpfeiler jeder Organisation – notwendig, aber oft eine mühsame und zeitaufwändige Herausforderung. Organisationen benötigen eine Lösung die am besten zu ihren Bedürfnissen passt. BigID bietet maßgeschneiderte Lösungen, die Unternehmen helfen:
Schützen Sie Ihre Unternehmensdaten
Der erste Schritt zur Datenschutzanpassung besteht darin, Inventarisierung aller personenbezogenen Daten über die gesamte IT-Infrastruktur hinweg. BigID unterstützt alle Erkennungsmethoden – von der Erkennung von Datenbeständen bis zur Erkennung von PI und PII durch vollständige Scans. BigID's Grundlage für die Datenermittlung ermöglicht Unternehmen die Inventarisierung, Zuordnung, Klassifizierung und Anpassung von Daten an gesetzliche Vorgaben. BigID erkennt strukturierte, unstrukturierte und halbstrukturierte Datenquellen sowie Geschäftsanwendungen – ob vor Ort oder in der Cloud – und verfügt über Hunderte von Konnektoren.
Verhindern Sie Datenlecks
BigID ermöglicht es Organisationen, Dokumentationen und Berichte über Datenverarbeitungsaktivitäten zu erstellen. Auf diese Weise können Organisationen einen genauen Satz von Datenverarbeitungsflüsse, mit der Möglichkeit zu zeigen, wie Daten im Unternehmen und an Dritte verarbeitet und weitergegeben werden.
Risiko reduzieren
Die Verwaltung des Datenzugriffs ist eine der einfachsten Möglichkeiten zur Risikominderung, da sie das Risiko von Datenverletzungen, Diebstahl oder Missbrauch für ein Unternehmen verringert. Die BigID Access Intelligence App kann Benutzer, Gruppen und Daten mit hohem Risiko unternehmensweit kennzeichnen und untersuchen. Dadurch können Unternehmen Dateicluster und -kategorien mit sensiblen Daten mit offenem Zugriff überprüfen und einen Prüfbericht über Ziele mit hohem Risiko erstellen, um Berechtigungen zu überprüfen und Risiken zu minimieren.
Helfen Sie mit, die Compliance zu erreichen
Spezifische Datenschutzgesetze GDPR, CCPA, und GLBA, Unterstützen Sie Verbraucher bei der Ausübung ihrer Datenschutzrechte, indem Sie eine Opt-in-Einwilligung einholen, bevor ein Unternehmen ihre persönlichen und sensiblen Daten verarbeiten kann. Die Einwilligungsfunktionen von BigID erstrecken sich auf die Einwilligung über mehrere Kanäle: einschließlich der Einwilligung von Minderjährigen, Mitarbeitern und Aufsichtsbehörden über alle Datenspeicher eines Unternehmens hinweg, um die Compliance für Ihr Unternehmen sicherzustellen.
Holen Sie sich ein 1:1-Demo um zu sehen, wie BigID ermöglicht es Unternehmen, Automatisieren und operationalisieren Sie ihre Datenschutzprogramme.
Autor
