Ein Online-Händler holt immer die ausdrückliche Zustimmung der Benutzer ein, bevor er Kundendaten an seine Partner weitergibt. Eine Navigations-App anonymisiert Aktivitätsdaten, bevor sie diese auf Reisetrends analysiert. Eine Schule bittet die Eltern, ihre Identität zu bestätigen, bevor sie Schülerinformationen herausgeben.
Dies sind nur einige Beispiele dafür, wie Unternehmen den Datenschutz unterstützen, d. h. den Grundsatz, dass Menschen die Kontrolle über ihre personenbezogenen Daten haben sollten, einschließlich der Frage, wer sie sehen, wer sie sammeln und wie sie verwendet werden dürfen.
Die Bedeutung des Datenschutzes für Unternehmen kann nicht hoch genug eingeschätzt werden. Weitreichende Vorschriften wie die europäische Datenschutz-Grundverordnung (DSGVO) sehen hohe Geldstrafen für Unternehmen vor, die sensible Informationen nicht schützen. Datenschutzverletzungen, egal ob durch böswillige Hacker oder Fahrlässigkeit von Mitarbeitern verursacht, können den Ruf und die Einnahmen eines Unternehmens zerstören. In der Zwischenzeit können Unternehmen, die dem Datenschutz Priorität einräumen, Vertrauen bei den Verbrauchern aufbauen und sich gegenüber weniger datenschutzbewussten Wettbewerbern einen Vorteil verschaffen.
Doch viele Unternehmen haben trotz bester Absichten Schwierigkeiten mit dem Datenschutz. Datenschutz ist eher eine Kunst als eine Wissenschaft, eine Frage des Ausgleichs zwischen rechtlichen Verpflichtungen, Nutzerrechten und Cybersicherheitsanforderungen, ohne die Fähigkeit des Unternehmens zu beeinträchtigen, aus den gesammelten Daten einen Mehrwert zu ziehen.
Denken Sie an eine Budgetierungs-App, mit der Menschen ihre Ausgaben und andere sensible Finanzinformationen verfolgen. Wenn sich ein Benutzer anmeldet, zeigt die App eine Datenschutzerklärung an, in der klar erläutert wird, welche Daten sie sammelt und wie sie diese Daten verwendet. Der Benutzer kann jede Verwendung seiner Daten einzeln akzeptieren oder ablehnen.
Sie können beispielsweise die Weitergabe ihrer Daten an Dritte ablehnen, während sie der App erlauben, personalisierte Angebote zu erstellen.
Die App verschlüsselt alle Finanzdaten der Benutzer stark. Nur Administratoren können auf Kundendaten im Backend zugreifen. Selbst dann können die Administratoren die Daten nur mit ausdrücklicher Genehmigung des Benutzers verwenden, um Kunden bei der Behebung von Problemen mit dem Konto zu helfen.
Dieses Beispiel veranschaulicht drei Kernkomponenten gängiger Datenschutz-Frameworks:
Die Einhaltung der einschlägigen Vorschriften ist die Grundlage vieler Datenschutzmaßnahmen. Die Datenschutzgesetze variieren zwar, definieren aber im Allgemeinen die Verantwortlichkeiten von Unternehmen, die personenbezogene Daten sammeln, und die Rechte der betroffenen Personen, denen diese Daten gehören.
Die DSGVO ist eine Datenschutzrichtlinie der Europäischen Union, die regelt, wie Unternehmen innerhalb und außerhalb Europas mit den personenbezogenen Daten von EU-Bürgern umgehen. Es ist nicht nur das vielleicht umfassendste Datenschutzgesetz, sondern auch eines der strengsten. Die Strafen für die Nichteinhaltung können bis zu 20.000.000 EUR oder 4 % des weltweiten Umsatzes der Organisation im Vorjahr betragen, je nachdem, welcher Betrag höher ist.
Der Data Protection Act 2018 ist im Wesentlichen die britische Version der DSGVO. Das Gesetz ersetzt ein früheres Datenschutzgesetz und führt viele der gleichen Rechte, Anforderungen und Strafen wie sein EU-Pendant ein.
Der kanadische PIPEDA regelt, wie private Unternehmen Verbraucherdaten sammeln und verwenden. PIPEDA gewährt betroffenen Personen ein hohes Maß an Kontrolle über ihre Daten, gilt jedoch nur für Daten, die für kommerzielle Zwecke verwendet werden. Daten, die für andere Zwecke wie Journalismus oder Forschung verwendet werden, sind davon ausgenommen.
Viele einzelne US-Bundesstaaten haben ihre eigenen Datenschutzgesetze. Das bekannteste dieser Gesetze ist der California Consumer Privacy Act (CCPA), der aufgrund der Art und Weise, wie er den Begriff „Geschäftstätigkeit in Kalifornien“ definiert, für praktisch jedes Unternehmen mit einer Website gilt.
Der CCPA gibt den Einwohnern Kaliforniens unter anderem das Recht, den Verkauf ihrer Daten zu verhindern und diese auf Anfrage löschen zu lassen. Unternehmen müssen pro Verstoß Geldbußen von bis zu 7.500 USD zahlen. Die Kosten können sich schnell summieren. Wenn ein Unternehmen Nutzerdaten ohne Zustimmung verkaufen würde, würde jeder verkaufte Datensatz als ein Verstoß gewertet werden.
In den USA gibt es keine umfassenden Datenschutzbestimmungen auf nationaler Ebene, es gibt jedoch einige spezifischere Gesetze.
Gemäß dem Children's Online Privacy Protection Act (COPPA) müssen Unternehmen die Erlaubnis eines Elternteils einholen, bevor sie Daten von Personen unter 13 Jahren sammeln und verarbeiten. Die Regeln für den Umgang mit Daten von Kindern könnten noch strenger werden, wenn der Kids Online Safety Act (KOSA), der derzeit im US-Senat geprüft wird, in Kraft tritt. KOSA würde verlangen, dass Online-Dienste standardmäßig die höchsten Datenschutzeinstellungen für Benutzer unter 18 Jahren verwenden.
Der Health Insurance Portability and Accountability Act (HIPAA) ist ein Bundesgesetz, das regelt, wie Gesundheitsdienstleister, Versicherungsunternehmen und andere Unternehmen persönliche Gesundheitsinformationen schützen.
Der Payment Card Industry Data Security Standard (PCI DSS) ist kein Gesetz, sondern eine Reihe von Standards, die von einem Konsortium von Kreditkartenunternehmen, darunter Visa und American Express, entwickelt wurden. Diese Standards legen fest, wie Unternehmen die Zahlungskartendaten ihrer Kunden schützen müssen.
Der PCI DSS ist zwar nicht gesetzlich vorgeschrieben, aber Kreditkartenunternehmen und Finanzinstitute können Unternehmen, die ihn nicht einhalten, mit Geldstrafen belegen oder ihnen sogar die Verarbeitung von Zahlungskarten untersagen.
Die Einhaltung des Datenschutzes ist nur der Anfang. Die Einhaltung von Gesetzen kann zwar helfen, Strafen zu vermeiden, reicht aber möglicherweise nicht aus, um personenbezogene Daten und andere sensible Daten vollständig vor Hackern, Missbrauch und anderen Bedrohungen der Privatsphäre zu schützen.
Zu den gängigen Grundsätzen und Praktiken, die Organisationen zur Stärkung des Datenschutzes anwenden, gehören:
Für eine effektive Data Governance muss ein Unternehmen wissen, welche Arten von Daten es hat, wo sich die Daten befinden und wie sie verwendet werden.
Einige Arten von Daten, wie biometrische Daten und Sozialversicherungsnummern, erfordern einen stärkeren Schutz als andere. Wenn man weiß, wie sich Daten durch das Netzwerk bewegen, kann man die Nutzung nachverfolgen, verdächtige Aktivitäten erkennen und an den richtigen Stellen Sicherheitsmaßnahmen ergreifen.
Schließlich erleichtert die vollständige Datentransparenz die Erfüllung von Anfragen betroffener Personen nach Zugriff auf ihre Daten, deren Aktualisierung oder Löschung. Wenn das Unternehmen nicht über ein vollständiges Dateninventar verfügt, kann es vorkommen, dass nach einer Löschanfrage unbeabsichtigt einige Benutzerdatensätze zurückbleiben.
Ein Online-Händler katalogisiert alle verschiedenen Arten von Kundendaten, die er besitzt, wie Namen, E-Mail-Adressen und gespeicherte Zahlungsinformationen. Es wird aufgezeichnet, wie jede Art von Daten zwischen Systemen und Geräten übertragen wird, wer Zugriff darauf hat (einschließlich Mitarbeiter und Dritte) und wie sie verwendet werden. Schließlich klassifiziert der Einzelhändler die Daten anhand von Vertraulichkeitsstufen und wendet auf jeden Typ entsprechende Kontrollen an. Das Unternehmen führt regelmäßige Audits durch, um den Datenbestand auf dem neuesten Stand zu halten.
Unternehmen können Datenschutzrisiken begrenzen, indem sie den Benutzern so viel Kontrolle wie möglich über die Datenerfassung und -verarbeitung einräumen. Wenn ein Unternehmen immer die Zustimmung eines Benutzers einholt, bevor es etwas mit dessen Daten tut, ist es für das Unternehmen schwierig, die Privatsphäre von Personen zu verletzen.
Allerdings müssen Unternehmen manchmal die Daten von Personen ohne deren Zustimmung verarbeiten. In diesen Fällen sollte das Unternehmen sicherstellen, dass es einen triftigen rechtlichen Grund dafür hat, wie z. B. eine Zeitung, die über Verbrechen berichtet, die die Täter lieber verheimlichen würden.
Eine Social-Media-Website erstellt ein Self-Service-Datenverwaltungsportal. Benutzer können alle Daten, die sie mit der Website teilen, herunterladen, ihre Daten aktualisieren oder löschen und entscheiden, wie die Website ihre Informationen verarbeiten darf.
Es kann verlockend sein, ein weites Netz auszuwerfen, aber je mehr personenbezogene Daten ein Unternehmen sammelt, desto größer ist das Risiko für die Privatsphäre. Stattdessen können Unternehmen das Prinzip der Beschränkung anwenden: Sie legen einen bestimmten Zweck für die Erhebung von Daten fest und erheben nur die Mindestmenge an Daten, die zur Erfüllung dieses Zwecks erforderlich ist.
Auch die Aufbewahrungsrichtlinien sollten begrenzt werden. Das Unternehmen sollte Daten entfernen, sobald sein spezifischer Zweck erfüllt ist.
Eine Gesundheitsbehörde untersucht die Ausbreitung einer Krankheit in einem bestimmten Viertel. Die Agentur erhebt von den Haushalten, die sie befragt, keine personenbezogenen Daten. Es wird lediglich erfasst, ob jemand krank ist. Wenn die Umfrage abgeschlossen ist und die Infektionszahlen ermittelt wurden, löscht die Behörde die Daten.
Unternehmen sollten ihre Nutzer über alles, was sie mit ihren Daten tun, auf dem Laufenden halten, auch über alles, was ihre Drittpartner tun.
Eine Bank sendet all ihren Kunden jährlich Datenschutzhinweise zu. In diesen Mitteilungen werden alle Daten aufgeführt, die die Bank von den Kontoinhabern erhebt, wie sie diese Daten für Dinge wie die Einhaltung von Vorschriften und Kreditentscheidungen verwendet und wie lange sie die Daten aufbewahrt. Die Bank benachrichtigt Kontoinhaber außerdem über Änderungen ihrer Datenschutzrichtlinie, sobald diese vorgenommen werden.
Strenge Zugangskontrollmaßnahmen können dazu beitragen, unbefugten Zugang und unbefugte Nutzung zu verhindern. Nur Personen, die die Daten aus legitimen Gründen benötigen, sollten Zugriff darauf haben. Unternehmen sollten Multi-Faktor-Authentifizierung (MFA) oder andere starke Maßnahmen zur Überprüfung der Identität von Benutzern einsetzen, bevor sie Zugriff auf Daten gewähren. Lösungen für Identity und Access Management (IAM) können dabei helfen, granulare Zugriffskontrollrichtlinien im gesamten Unternehmen durchzusetzen.
Ein Technologieunternehmen verwendet rollenbasierte Zugriffskontrollrichtlinien, um Zugriffsrechte basierend auf den Rollen der Mitarbeiter zuzuweisen. Die Mitarbeiter haben nur Zugriff auf die Daten, die sie zur Erfüllung ihrer zentralen Aufgaben benötigen, und dürfen diese Daten nur in genehmigter Weise verwenden. Beispielsweise kann der Personalleiter Mitarbeiterdatensätze einsehen, nicht jedoch Kundendatensätze. Kundendienstmitarbeiter können zwar die Kundenkonten einsehen, jedoch nicht die gespeicherten Zahlungsdaten der Kunden.
Unternehmen müssen eine Kombination aus Tools und Taktiken verwenden, um Daten im Ruhezustand, bei der Übertragung und bei der Nutzung zu schützen.
Ein Gesundheitsdienstleister verschlüsselt die Speicherung von Patientendaten und verwendet ein Einbruchserkennungssystem, um den gesamten Datenverkehr zur Datenbank zu überwachen. Es verwendet ein DLP-Tool (Data Loss Prevention), um zu verfolgen, wie Daten übertragen und verwendet werden. Wenn illegale Aktivitäten festgestellt werden, wie z. B. wenn ein Mitarbeiterkonto Patientendaten auf ein unbekanntes Gerät überträgt, löst das DLP einen Alarm aus und unterbricht die Verbindung.
Mithilfe von Datenschutz-Folgenabschätzungen (DSFA) wird ermittelt, wie hoch das Risiko einer bestimmten Aktivität für die Privatsphäre der Nutzer ist. In den DSFA wird ermittelt, wie die Datenverarbeitung die Privatsphäre der Benutzer beeinträchtigen könnte und wie diese Datenschutzbedenken vermieden oder gemildert werden können.
Eine Marketingfirma führt vor jedem neuen Marktforschungsprojekt immer eine DSFA durch. Das Unternehmen nutzt diese Gelegenheit, um die Verarbeitungsaktivitäten klar zu definieren und etwaige Datensicherheitslücken zu schließen. Auf diese Weise werden die Daten nur für einen bestimmten Zweck verwendet und bei jedem Schritt geschützt. Wenn das Unternehmen schwerwiegende Risiken feststellt, die es nicht angemessen mindern kann, passt es das Forschungsprojekt an oder bricht es ab.
Datenschutz by Design und by Default – das ist die Philosophie, dass der Datenschutz ein zentraler Bestandteil aller Aktivitäten eines Unternehmens sein sollte – jedes Produkt, das es herstellt, und jeder Prozess, den es durchläuft. Die Standardeinstellung für jedes System sollte die für den Datenschutz freundlichste sein.
Wenn sich Benutzer für eine Fitness-App anmelden, werden die Datenschutzeinstellungen der App automatisch auf „Meine Daten nicht an Dritte weitergeben“ gesetzt. Benutzer müssen ihre Einstellungen manuell ändern, damit das Unternehmen ihre Daten verkaufen kann.
Die Einhaltung von Datenschutzgesetzen und die Einführung von Datenschutzpraktiken können Unternehmen dabei helfen, viele der größten Datenschutzrisiken zu vermeiden. Dennoch lohnt es sich, einige der häufigsten Ursachen und Faktoren für Datenschutzverletzungen zu untersuchen, damit Unternehmen wissen, worauf sie achten müssen.
Wenn Organisationen keinen vollständigen Überblick über ihre Netzwerke haben, können dadurch Datenschutzverletzungen begünstigt werden. Mitarbeiter können sensible Daten auf ungeschützte Schatten-IT-Assets verschieben. Sie verwenden möglicherweise regelmäßig personenbezogene Daten ohne die Erlaubnis der betroffenen Person, da den Vorgesetzten die Aufsicht fehlt, um das Verhalten zu erkennen und zu korrigieren. Cyberkriminelle können sich unentdeckt im Netzwerk bewegen.
Da Unternehmensnetzwerke immer komplexer werden – durch die Vermischung von lokalen Ressourcen, Remote-Mitarbeitern und Cloud-Services – wird es immer schwieriger, Daten innerhalb des gesamten IT-Ökosystems zu verfolgen. Unternehmen können Tools wie Lösungen zur Verwaltung von Angriffsflächen und Datenschutzplattformen nutzen, um den Prozess zu optimieren und Daten zu schützen, wo auch immer sie sich befinden.
Einige Vorschriften enthalten besondere Regeln für die automatisierte Verarbeitung. Zum Beispiel gibt die DSGVO den Menschen das Recht, Entscheidungen anzufechten, die durch automatisierte Datenverarbeitung getroffen wurden.
Der Aufstieg der generativen künstlichen Intelligenz kann noch heiklere Datenschutzprobleme aufwerfen. Unternehmen können nicht immer kontrollieren, was diese Plattformen mit den von ihnen eingegebenen Daten machen. Die Eingabe von Kundendaten in eine Plattform wie ChatGPT könnte dabei helfen, Erkenntnisse über die Zielgruppe zu gewinnen, aber die KI könnte diese Daten in ihre Trainingsmodelle einfließen lassen. Wenn betroffene Personen nicht damit einverstanden sind, dass ihre personenbezogenen Daten für das Training einer KI verwendet werden, stellt dies eine Verletzung der Privatsphäre dar.
Unternehmen sollten den Nutzern klar erklären, wie sie ihre Daten verarbeiten, einschließlich jeglicher KI-Verarbeitung, und die Zustimmung der betroffenen Personen einholen. Allerdings kann es sein, dass selbst das Unternehmen nicht alles weiß, was die KI mit ihren Daten macht. Aus diesem Grund sollten Unternehmen in Betracht ziehen, mit KI-Apps zu arbeiten, die ihnen die größtmögliche Kontrolle über ihre Daten ermöglichen.
Gestohlene Konten ein Hauptvektor für Datenschutzverletzungen, laut dem IBM-Bericht Cost of a Data Breach. Unternehmen fordern das Schicksal heraus, wenn sie Benutzern mehr Privilegien einräumen, als sie benötigen. Je mehr Zugriffsberechtigungen ein Benutzer hat, desto mehr Schaden kann ein Hacker anrichten, indem er dessen Konto übernimmt.
Unternehmen sollten dem Prinzip der minimalen Rechtevergabe folgen. Benutzer sollten nur über die Mindestberechtigungen verfügen, die sie für ihre Arbeit benötigen.
Mitarbeiter können versehentlich die Privatsphäre von Benutzern verletzen, wenn sie die Richtlinien und Compliance-Anforderungen des Unternehmens nicht kennen. Sie können auch das Unternehmen gefährden, indem sie in ihrem Privatleben keine guten Datenschutzpraktiken praktizieren.
Wenn Mitarbeiter beispielsweise zu viele Informationen auf ihren persönlichen Social-Media-Konten teilen, können Cyberkriminelle diese Informationen nutzen, um überzeugende Spear-Phishing- und Business-E-Mail-Compromise-Angriffe zu starten.
Die Weitergabe von Benutzerdaten an Dritte stellt nicht automatisch eine Verletzung der Privatsphäre dar, kann jedoch das Risiko erhöhen. Je mehr Menschen Zugriff auf Daten haben, desto mehr Möglichkeiten gibt es für Hacker, Insider-Bedrohungen oder sogar Fahrlässigkeit von Mitarbeitern, Probleme zu verursachen.
Darüber hinaus könnten skrupellose Dritte die Daten eines Unternehmens für ihre eigenen, nicht autorisierten Zwecke verwenden und Daten ohne Zustimmung der betroffenen Person verarbeiten.
Unternehmen sollten sicherstellen, dass alle Vereinbarungen zur gemeinsamen Nutzung von Daten durch rechtlich bindende Verträge geregelt werden, die alle Parteien für den ordnungsgemäßen Schutz und die Nutzung von Kundendaten verantwortlich machen.
Personenbezogene Daten sind ein Hauptziel für Cyberkriminelle, die sie für Identitätsdiebstahl, Gelddiebstahl oder den Verkauf auf dem Schwarzmarkt nutzen können. Datensicherheitsmaßnahmen wie Verschlüsselung und DLP-Tools dienen sowohl dem Schutz der Privatsphäre der Benutzer als auch dem Schutz des Unternehmensnetzwerks.
Die Datenschutzbestimmungen werden weltweit verschärft, die Angriffsfläche eines durchschnittlichen Unternehmens wird immer größer und die rasanten Fortschritte im Bereich der künstlichen Intelligenz verändern die Art und Weise, wie Daten genutzt und weitergegeben werden. In diesem Umfeld kann die Datenschutzstrategie eines Unternehmens ein herausragendes Unterscheidungsmerkmal sein, das seine Sicherheitslage stärkt und es von der Konkurrenz abhebt.
Nehmen Sie zum Beispiel Technologien wie Verschlüsselung und Tools für das Identity und Access Management (IAM). Diese Lösungen können dazu beitragen, die finanziellen Folgen eines erfolgreichen Datendiebstahls zu mildern, wobei Unternehmen laut dem Bericht „Cost of a Data Breach“ bis zu 572.000 USD einsparen können. Darüber hinaus können solide Datenschutzpraktiken das Vertrauen der Verbraucher stärken und sogar die Markentreue fördern (Link befindet sich außerhalb von ibm.com).
Da der Datenschutz für die Sicherheit und den Erfolg von Unternehmen immer wichtiger wird, müssen Unternehmen die Grundsätze des Datenschutzes, Vorschriften und die Risikominderung zu ihren obersten Prioritäten zählen.
Guardium Data Protection kennenlernen