Was ist Datenschutz?

Eine effektive Datenschutzstrategie leistet mehr als nur den Schutz von Daten. Sie repliziert auch Daten und stellt sie im Falle eines Verlusts oder einer Beschädigung wieder her. Das liegt daran, dass die wichtigsten Grundsätze des Datenschutzes darin bestehen, Daten zu sichern und die Datenverfügbarkeit zu unterstützen. Verfügbarkeit bedeutet, dass die Benutzer für den Geschäftsbetrieb auf die Daten zugreifen können, selbst wenn diese beschädigt werden, verloren gehen oder beschädigt werden, z. B. bei einem Data Breach oder einem Malware-Angriff.

Der Fokus auf die Verfügbarkeit von Daten erklärt, warum der Datenschutz eng mit der Datenverwaltung verbunden ist – einer umfassenderen Praxis, die sich auf die Verwaltung von Daten während ihres gesamten Lebenszyklus konzentriert, um sicherzustellen, dass sie korrekt und sicher sind und für strategische Geschäftsentscheidungen genutzt werden können.

Heutzutage umfassen Datenschutzstrategien sowohl traditionelle Datensicherungsmaßnahmen wie Daten-Backup und Wiederherstellungsfunktionen sowie Pläne für Geschäftskontinuität und Notfallwiederherstellung (BCDR). Aus diesem Grund nutzen viele Unternehmen Dienste wie Notfallwiederherstellung als Dienst (DRaaS) als Teil ihrer umfassenderen Datenschutzstrategien.

Obwohl viele die Begriffe Datenschutz und Datensicherheit synonym verwenden, handelt es sich um zwei verschiedene Bereiche mit entscheidenden Unterschieden.

Datensicherheit ist ein Teilbereich des Datenschutzes, der sich auf den Schutz digitaler Informationen vor unbefugtem Zugriff, Beschädigung oder Diebstahl konzentriert. Es umfasst verschiedene Aspekte der Informationssicherheit, darunter Physical Security, organisatorische Richtlinien und Zugriffskontrollen.

Im Gegensatz dazu umfasst Datenschutz die gesamte Datensicherheit und geht noch weiter, indem er die Verfügbarkeit der Daten in den Vordergrund stellt.

Sowohl der Datenschutz als auch die Datensicherheit umfassen den Datenschutz. Der Datenschutz konzentriert sich auf Richtlinien, die den allgemeinen Grundsatz unterstützen, dass eine Person die Kontrolle über ihre persönlichen Daten haben sollte, einschließlich der Möglichkeit zu entscheiden, wie Unternehmen ihre Daten erfassen, speichern und verwenden.

Mit anderen Worten: Datensicherheit und Datenschutz sind beides Teilbereiche des umfassenderen Bereichs des Datenschutzes.

Um die Bedeutung des Datenschutzes zu verstehen, muss man sich die Rolle von Daten in unserer Gesellschaft vor Augen führen. Jedes Mal, wenn jemand online ein Profil erstellt, einen Kauf in einer App tätigt oder eine Webseite durchsucht, hinterlässt er eine immer größere Spur personenbezogener Daten.

Daten dieser Art sind für Unternehmen von entscheidender Bedeutung. Sie helfen ihnen, Abläufe zu optimieren, Kunden besser zu bedienen und wichtige Geschäftsentscheidungen zu treffen. Tatsächlich verlassen sich viele Unternehmen so sehr auf Daten, dass selbst eine kurze Ausfallzeit oder ein geringer Datenverlust ihre Betriebsabläufe und Gewinne ernsthaft beeinträchtigen könnte.

Laut IBM's Cost of a Data Breach lagen die globalen durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2023 bei 4,45 Millionen US-Dollar– ein Anstieg um 15 Prozent in drei Jahren.

Aus diesem Grund konzentrieren sich viele Unternehmen im Rahmen ihrer allgemeinen Bemühungen um Cybersicherheit auf den Datenschutz. Mit einer zuverlässigen Datenschutzstrategie können Unternehmen Schwachstellen beheben und sich besser vor Cyberangriffen und Datenverletzungen schützen. Im Falle eines Cyberangriffs können Datenschutzmaßnahmen überlebenswichtig sein, indem sie die Ausfallzeit durch Sicherstellung der Datenverfügbarkeit verkürzen. 

Datenschutzmaßnahmen können Unternehmen auch dabei helfen, die sich ständig weiterentwickelnden regulatorischen Anforderungen zu erfüllen, von denen viele mit hohen Geldstrafen verbunden sein können. So verhängte die irische Datenschutzbehörde im Mai 2023 gegen das in Kalifornien ansässige Unternehmen Meta wegen Verstößen gegen die DSGVO eine Geldstrafe in Höhe von 1,3 Milliarden USD. Datenschutz kann Unternehmen helfen, diese Verstöße zu vermeiden.

Datenschutzstrategien bieten auch viele Vorteile eines effektiven Informationslebenszyklusmanagements (ILM), wie z. B. die Rationalisierung der Verarbeitung personenbezogener Daten und die bessere Erschließung kritischer Daten für wichtige Erkenntnisse.

In einer Welt, in der Daten für viele Unternehmen lebenswichtig sind, wird es für diese immer wichtiger, zu wissen, wie sie ihre kritischen Daten bestmöglich verarbeiten, handhaben, schützen und nutzen können.

Regierungen und andere Behörden haben die Bedeutung des Datenschutzes erkannt und eine wachsende Anzahl von Datenschutzbestimmungen und Datenstandards geschaffen, die Unternehmen erfüllen müssen, um mit ihren Kunden Geschäfte zu machen.

Zu den gängigsten Vorschriften und Standards zur Datenregulierung gehören:

Die Datenschutz-Grundverordnung (DSGVO) ist ein umfassendes Framework für den Datenschutz, das von der Europäischen Union (EU) zum Schutz der personenbezogenen Daten ihrer Bürger erlassen wurde, die als „betroffene Personen“ bezeichnet werden. 

Die DSGVO konzentriert sich in erster Linie auf personenbezogene Daten und stellt strenge Compliance-Anforderungen an Datenanbieter. Sie verpflichtet Unternehmen innerhalb und außerhalb Europas, ihre Verfahren zur Datenerfassung transparent zu gestalten. Unternehmen müssen auch einige spezifische Datenschutzmaßnahmen ergreifen, wie die Ernennung eines Datenschutzbeauftragten, der den Umgang mit Daten überwacht.

Die DSGVO gewährt EU-Bürgern auch mehr Kontrolle über ihre personenbezogenen Daten und mehr Schutz für personenbezogene Daten wie Name, ID-Nummer, medizinische Informationen, biometrische Daten und mehr. Die einzigen Datenverarbeitungsaktivitäten, die von der DSGVO ausgenommen sind, umfassen Tätigkeiten im Bereich der nationalen Sicherheit oder der Strafverfolgung sowie die rein persönliche Verwendung von Daten.

Einer der auffälligsten Aspekte der Datenschutz-Grundverordnung ist ihre kompromisslose Haltung bei Nichteinhaltung. Wer sich nicht an die Datenschutzbestimmungen hält, muss mit empfindlichen Geldstrafen rechnen. Diese Geldbußen können bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist.

Der Health Insurance Portability and Accountability Act (HIPAA) wurde 1996 in den USA verabschiedet. Er legt die Richtlinien dafür fest, wie Einrichtungen und Unternehmen des Gesundheitswesens mit persönlichen Gesundheitsinformationen (Personal Health Information, PHI) von Patienten umgehen, um deren Vertraulichkeit und Sicherheit zu gewährleisten.

Gemäß HIPAA müssen alle „abgedeckten Einrichtungen“ bestimmte Datensicherheits- und Compliance-Standards einhalten. Zu diesen Einrichtungen gehören nicht nur Gesundheitsdienstleister und Versicherungspläne, sondern auch Geschäftspartner mit Zugang zu PHI. Anbieter von Datenübertragungsdiensten, medizinische Transkriptionsdienstleister, Softwareunternehmen, Versicherungsunternehmen und andere müssen die HIPAA-Vorschriften einhalten, wenn sie mit PHI umgehen.

Der California Consumer Privacy Act (CCPA) ist ein wegweisendes Datenschutzgesetz in den Vereinigten Staaten.

Wie die DSGVO verpflichtet auch der CCPA die Unternehmen zur Transparenz in Bezug auf ihre Datenschutzpraxis und gibt den Bürgern mehr Kontrolle über ihre persönlichen Daten. Nach dem CCPA können die Einwohner Kaliforniens Einzelheiten über die von Unternehmen über sie erhobenen Daten anfordern, sich gegen den Verkauf von Daten entscheiden und deren Löschung verlangen.

Im Gegensatz zur DSGVO handelt es sich beim CCPA (und vielen anderen US-Datenschutzgesetzen) jedoch eher um eine Opt-Out- als um eine Opt-In-Regelung. Das bedeutet, dass Unternehmen Verbraucherdaten in Kalifornien verwenden können, solange sie nicht ausdrücklich anderweitig angewiesen werden. Der CCPA gilt außerdem nur für Unternehmen, die einen bestimmten Jahresumsatz überschreiten oder große Mengen personenbezogener Daten verarbeiten, wodurch er für viele, wenn auch nicht alle, kalifornischen Unternehmen relevant ist.

Der Payment Card Industry Datensicherheit Standard (PCI-DSS) ist eine Reihe von regulatorischen Richtlinien zum Schutz von Kreditkartendaten. PCI-DSS ist keine Vorschrift von der Regierung, sondern eine Reihe von vertraglichen Verpflichtungen, die von einer unabhängigen Aufsichtsbehörde, dem Payment Card Industry Datensicherheit Standards Council (PCI SSC), durchgesetzt werden.

Der PCI-DSS gilt für jedes Unternehmen, das mit Daten von Karteninhabern umgeht, sei es durch Erfassung, Speicherung oder Übermittlung dieser Daten. Selbst wenn Drittanbieter an Kreditkartentransaktionen beteiligt sind, bleibt das Unternehmen, das die Karte akzeptiert, für die Einhaltung des PCI-DSS verantwortlich und muss die notwendigen Maßnahmen ergreifen, um die Daten der Karteninhaber sicher zu verwalten und zu speichern.

Da sich die Datenschutzlandschaft weiterentwickelt, prägen mehrere Trends die Strategien, die Unternehmen zum Schutz ihrer sensiblen Informationen einsetzen.

Einige dieser Trends sind:

Unternehmen setzen häufig verschiedene Datenschutzlösungen und -technologien ein, um sich vor Cyberbedrohungen zu schützen und die Integrität, Vertraulichkeit und Verfügbarkeit von Daten zu gewährleisten.

Zu diesen Lösungen gehören:

• Data Loss Prevention (DLP) beinhaltet die Strategien, Prozesse und Technologien, die von Cybersicherheitsteams eingesetzt werden, um vertrauliche Daten vor Diebstahl, Verlust und Missbrauch zu schützen. DLP überwacht die Benutzeraktivitäten und meldet verdächtiges Verhalten, um unbefugten Zugriff, unbefugte Übertragung oder unbefugte Offenlegung sensibler Informationen zu verhindern.

• Daten-Backups umfassen die regelmäßige Erstellung und Speicherung einer sekundären Version kritischer Informationen. Backups unterstützen die Datenverfügbarkeit, indem sie sicherstellen, dass Unternehmen ihre Systeme im Falle eines Datenverlusts oder einer Beschädigung schnell wiederherstellen können, um Ausfallzeiten und potenzielle Verluste zu minimieren.

• Firewalls dienen als erste Verteidigungslinie für Daten, indem sie den ein- und ausgehenden Netzwerkverkehr überwachen und kontrollieren. Diese Sicherheitsbarrieren setzen vorab festgelegte Sicherheitsregeln durch und verhindern unbefugten Zugriff.

• Authentifizierungs- und Autorisierungstechnologien wie die Multi-Faktor-Authentifizierung überprüfen die Identität von Benutzern und regeln ihren Zugriff auf bestimmte Ressourcen. Gemeinsam stellen sie sicher, dass nur autorisierte Personen auf sensible Informationen zugreifen können, und erhöhen so die allgemeine Datensicherheit.

• Identity und Access Management (IAM)-Lösungen zentralisieren die Verwaltung von Benutzeridentitäten und Berechtigungen. Durch die Verwaltung des Benutzerzugriffs auf der Grundlage von Rollen und Verantwortlichkeiten können Unternehmen das Risiko eines unbefugten Datenzugriffs verringern und Insider-Bedrohungen, die kritische Daten gefährden können, reduzieren.

• Verschlüsselung wandelt Daten in ein codiertes Format um, sodass sie ohne den entsprechenden Entschlüsselungscode nicht mehr lesbar sind. Diese Technologie schützt die Datenübertragung und -speicherung und bietet eine zusätzliche Barriere gegen unbefugten Zugriff.

• Endpoint Security konzentriert sich auf den Schutz einzelner Geräte wie Computer und Mobilgeräte vor bösartigen Aktivitäten. Sie kann eine Reihe von Lösungen umfassen, wie z.B. Antivirensoftware, Firewalls und andere Sicherheitsmaßnahmen.

• Antivirus- und Anti-Malware-Lösungen erkennen, verhindern und entfernen schädliche Software, die Daten gefährden könnte, einschließlich Viren, Spyware und Ransomware.

• Patch-Management stellt sicher, dass Software, Betriebssysteme und Anwendungen über die neuesten Sicherheits-Patches verfügen. Regelmäßige Updates helfen, Sicherheitslücken zu schließen und vor potenziellen Cyberangriffen zu schützen.

• Programme zur Datenlöschung gewährleisten eine sichere und vollständige Entfernung von Daten von Speichergeräten. Das Löschen ist besonders wichtig, wenn Hardware außer Betrieb genommen wird, um den unbefugten Zugriff auf sensible Informationen zu verhindern.

• Archivierungstechnologien erleichtern die systematische Speicherung und Abfrage älterer Daten. Die Archivierung unterstützt bei der Einhaltung von Vorschriften sowie bei der effizienten Verwaltung von Daten, wodurch das Risiko von Datenverlusten verringert wird.

• Zertifizierungs- und Audit-Tools helfen Unternehmen dabei, die Einhaltung von Branchenvorschriften und internen Richtlinien zu bewerten und nachzuweisen. Regelmäßige Audits stellen außerdem sicher, dass Datenschutzmaßnahmen effektiv umgesetzt und aufrechterhalten werden.

• Notfallwiederherstellung- Lösungen, wie DRaaS, stellen IT-Infrastruktur und Daten nach einem disruptiven Ereignis wieder her. Notfallwiederherstellung umfasst häufig eine umfassende Planung, Strategien für Daten-Backups und Mechanismen zur Minimierung von Ausfallzeiten.