Datenschutz ist nicht nur ein unternehmensbezogenes Anliegen, sondern betrifft jeden Nutzer, Mitarbeiter oder Kunden, der Sie mit der Verarbeitung oder Speicherung seiner privaten Daten betraut.

Was bedeutet Datenschutz? Der Schutz personenbezogener Daten ist ein Teilbereich der Datensicherheit, der erfordert, dass sensible Daten, wie persönlich identifizierbare Informationen und vertrauliche Patientendaten, geschützt und angemessen behandelt werden. Datenschutz ist wichtig, denn er zeigt, dass man Ihrem Unternehmen beim Umgang mit sensiblen Daten vertrauen kann.

Wie funktioniert der Datenschutz?

Der Datenschutz bezieht sich auf die Art und Weise, wie Informationen entsprechend ihrer angenommenen Bedeutung vor unbefugter Offenlegung geschützt werden. Verschiedene Formen von Informationen erfordern oft unterschiedliche Sicherheits- und Schutzmaßnahmen und nutzen unterschiedliche Kontexte, um das erforderliche Maß an technischen, physischen und verwaltungstechnischen Schutzmechanismen zur Wahrung der Privatsphäre und Vertraulichkeit dieser Informationen zu bestimmen.

Die drei wesentlichen Elemente des Datenschutzes sind folgende:

  1. Jede Person hat das Recht auf Privatsphäre und darauf, die Kontrolle über die eigenen Daten zu behalten.
  2. Unternehmen sind dafür verantwortlich, Verfahren für die ordnungsgemäße Verarbeitung, Verwaltung, Erfassung und Weitergabe von personenbezogenen Daten zu entwickeln.
  3. Unternehmen müssen auch die geltenden Datenschutzbestimmungen einhalten.

Eine der bekanntesten Formen geschützter Informationen sind die so genannten personenbezogenen Daten. Dabei handelt es sich um Informationen, die entweder direkt oder indirekt zur Identifizierung einer Person führen können. Zu diesen Informationen können die folgenden Elemente gehören:

  • Vor- und Nachname
  • Adressen
  • Sozialversicherungsnummern
  • Telefonnummern
  • E-Mail-Adressen
  • Führerscheinnummern
  • Kontonummern
  • Kredit- oder Debit-Kartennummern
  • Reisepass-Informationen

Der Datenschutz ist im digitalen Zeitalter vernetzter, ständig aktiver Systeme zu einem wichtigen Schwerpunkt der IT- und Unternehmensinfrastruktur sowie zu einem ethischen Anliegen geworden. Wenn personenbezogene Daten gestohlen oder veröffentlicht werden, kann dies sowohl für den Einzelnen als auch für das Unternehmen katastrophale Folgen haben – sei es in finanzieller, physischer oder rufschädigender Hinsicht. Die meisten Compliance-Rahmenwerke enthalten eine Form des expliziten Datenschutzes.

Kiteworks
10 Best Practices, um sensible Inhalte in externen Workflows zu schützen
Jetzt lesen

Der Schutz personenbezogener Daten umfasst mehrere Ebenen von Schutzmaßnahmen und Best Practices:

  • Verschlüsselung und Kryptografie: Geschützte Daten müssen für Außenstehende unlesbar gemacht werden, und die Verschlüsselung von Daten im ruhenden Zustand auf Servern oder während der Übertragung ist ein wichtiger Bestandteil des Datenschutzes.
  • Physische Sicherheitsvorkehrungen: Auch in einer digitalen Welt werden Daten an physischen Orten gespeichert und verwaltet. Unternehmen, die diese Daten verwalten, müssen physische Sicherheitsvorkehrungen zum Schutz von Rechenzentren, Workstations und mobilen Geräten treffen.
  • Administrative Maßnahmen: Komplexe Datenschutzgesetze erfordern administrative Maßnahmen und die Implementierung von Richtlinien. Unternehmen müssen ihre Mitarbeiter darin schulen, keine Daten preiszugeben. Sie müssen Richtlinien für die Informationsverwaltung entwickeln, um Informationen zu schützen, und Verfahren einführen, um Gefahren wie Insider-Bedrohungen abzuwehren.
  • Risikobasierte Sicherheit: Ad-hoc-Sicherheit reicht nicht aus, um komplexe Systeme tatsächlich zu schützen. Risikobewertungen und Compliance können Unternehmen jedoch dabei helfen, umfassende Governance- und Datenschutzrichtlinien zu entwickeln, die Benutzerdaten im Einklang mit den Vorschriften und den Interessen der Kunden schützen.

Welche Gesetze gelten für den Datenschutz?

Es gibt zwar einige Grundprinzipien des Datenschutzes, aber die meisten Branchen haben ihre eigenen Vorschriften und Verfahren, die auf die besonderen Herausforderungen ihrer Branche zugeschnitten sind. Unterschiedliche Datentypen erfordern unterschiedliche Schutzmaßnahmen, und für unterschiedliche Branchen gelten unterschiedliche Compliance-Gesetze.

Zu den wichtigsten Gesetzen, die den Datenschutz weltweit regeln, gehören die folgenden:

HIPAA

Das US-Gesetz HIPAA (Health Insurance Portability and Accountability Act) gilt für das Gesundheitswesen und für Patientendaten. Informationen aus dem Gesundheitswesen werden oft als eine der wichtigsten Formen von Daten betrachtet – sie erfordern strenge Datenschutz- und Sicherheitskontrollen.

Gemäß HIPAA werden Patienteninformationen als „geschützte Gesundheitsinformationen“ definiert und umfassen alle Informationen, die sich auf die Gesundheitsversorgung eines Patienten oder deren Bezahlung beziehen. Dazu gehören u. a. Arztberichte, Patientenangaben zu internen Dokumenten und Zahlungsinformationen, die im Rahmen der erbrachten Gesundheitsleistungen gegeben werden.

Alle Sicherheitsmaßnahmen (einschließlich Verschlüsselung, IT-Kontrollen, Risikomanagement, physischer Schutz und Verwaltungsrichtlinien) sind darauf ausgerichtet, dass persönliche Gesundheitsinformationen nur mit Zustimmung des Patienten offengelegt werden.

Kiteworks
Wie Dienstleister des Gesundheitswesens die Betreuung mithilfe von Governance und externer Dateifreigabe verbessern können
Jetzt lesen

HIPAA gilt für so genannte „Covered Entitys“, zu denen Krankenhäuser, Ärzte und Krankenversicherungen gehören. HIPAA gilt auch für „Business Associates“ oder Anbieter, die Dienstleistungen für Covered Entitys erbringen. Business Associates, die mit Patienteninformationen umgehen, sind laut HIPAA in gleichem Maße für den Schutz der Privatsphäre der Patienten verantwortlich wie ihre Partner bei den Covered Entitys.

Die Strafen für die unbefugte Weitergabe von Daten gemäß HIPAA sind streng und können je nach Art des Verstoßes Millionen von US-Dollar an Gebühren pro Jahr und mögliche Gefängnisstrafen für Einzelpersonen nach sich ziehen. Bei Verstößen müssen die Unternehmen detaillierte, oftmals öffentlich leicht zugängliche Informationen über die Verstöße auf Websites, in lokalen Nachrichtenberichten und in Meldungen an das Gesundheitsministerium veröffentlichen.

FISMA

Nach dem Federal Information Security Modernization Act (FISMA) müssen US-Bundesbehörden Kontrollen zum Schutz von personenbezogenen Daten einführen, die im Rahmen von Regierungsaktivitäten verwendet werden. Auf der Grundlage der Richtlinien des National Institute of Standards and Technology (NIST) fordert FISMA von diesen Behörden die Umsetzung grundlegender Sicherheitsprinzipien, die auf den wichtigsten Spezifikationen basieren, darunter die Sonderveröffentlichung 800-53 des NIST (National Institute of Standards & Technology), SP 800-171, FIPS 199 (Federal Information Processing Standards) und FIPS 200.

ISO-27000-Reihe

Die Internationale Organisation für Normung (ISO) stellt Spezifikationen und standardisierte Best Practices zu einer Reihe von technischen und fachlichen Themen bereit, um staatlichen und privaten Unternehmen zu helfen, die Technologie besser zu nutzen. Eine dieser Normenreihen ist die ISO-27000-Reihe, ein Kontinuum von Dokumenten, in denen bewährte Verfahren zum Schutz von Informationen durch technische und administrative Kontrollen beschrieben werden.

Das wohl bekannteste Beispiel aus dieser Reihe ist ISO 27001, eine internationale Norm, die detailliert beschreibt, wie Unternehmen Managementsysteme für die Informationssicherheit einführen können. Diese Systeme bringen Sicherheitskontrollen, Geschäftsrichtlinien und logistische Prozesse zusammen, um den Datenschutz und die Sicherheit in einer komplexen IT-Infrastruktur entscheidend zu verbessern.

ISO 27001 wird in der Regel nicht von jedem Unternehmen verlangt, da die ISO eine private Organisation ist. Allerdings unterziehen sich viele Privatunternehmen und öffentliche Einrichtungen einer ISO 27001-Prüfung, um ihre Kunden- oder Geschäftsdaten besser zu schützen.

GDPR/DSGVO

Die General Data Protection Regulation (GDPR), zu Deutsch Datenschutz-Grundverordnung (DSGVO), ist ein Regelwerk, das für die Mitgliedsstaaten der Europäischen Union gilt. Die GDPR ist vielleicht eines der umfangreichsten und detailliertesten Gesetze im Zusammenhang mit dem Datenschutz und stellt sicher, dass Verbraucher (als „betroffene Personen“ bezeichnet) so viel Selbstbestimmung über ihre Daten wie möglich haben, dass Gesetze diese Informationen vor unbefugter Offenlegung überall dort schützen, wo sie gefährdet werden könnten, und dass Unternehmen diese Daten nicht ohne die Zustimmung der betroffenen Person verwenden können.

Die GDPR gibt Betroffenen das Recht, vollständige Informationen über ihre Daten und deren Verwendung durch Unternehmen zu verlangen. Eine betroffene Person kann jederzeit eine vollständige Aufzeichnung ihrer bei einem Unternehmen gespeicherten personenbezogenen Daten und deren Verwendung verlangen. Darüber hinaus muss eine betroffene Person ihre ausdrückliche Zustimmung geben, damit die Daten in irgendeiner Weise verwendet werden können (sei es für die Geschäftsabwicklung, für Marketing oder für andere Dienstleistungen). Das Unternehmen muss alle diese Daten auf Verlangen des Verbrauchers löschen.

Amerikanische Unternehmen wie Google, Apple und Microsoft haben in der EU wegen Nichteinhaltung der Vorschriften erhebliche rechtliche Verluste erlitten. Im Rahmen der GDPR können Geldbußen in Höhe von mehreren Millionen Euro bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens verhängt werden, je nachdem, welcher Betrag höher ist.

SOX

Einzigartig ist das Sarbanes-Oxley-Gesetz (SOX). Nach einer Reihe massiver Betrugsfälle in großen Unternehmen in den Vereinigten Staaten (einschließlich der berühmten Fälle von WorldCom und Enron) verabschiedete der US-Kongress das Sarbanes-Oxley-Gesetz, um Unternehmen zur Berichterstattung über ihre technischen Systeme und Finanzinformationen zu verpflichten. Das Gesetz schreibt insbesondere vor, dass die Führungskräfte eines Unternehmens die der Regierung jährlich vorgelegten Jahresabschlüsse und technischen Berichte abzeichnen müssen, wobei betrügerische Angaben strafrechtliche Konsequenzen nach sich ziehen.

Ein Teil der SOX-Meldepflicht erfordert die Bekanntgabe und Dokumentation von Datensicherheitsrichtlinien, einschließlich Kontrollen zum Schutz der finanziellen Informationen von Geschäftskunden oder Verbrauchern.

CCPA

Das kalifornische Gesetz zum Schutz der persönlichen Daten von Verbrauchern (California Consumer Privacy Act, CCPA) ähnelt der GDPR insofern, als es Unternehmen in Bezug auf die Berichterstattung, den Schutz und die Zustimmung stärker in die Pflicht nimmt. Es legt außerdem die Rechte der Verbraucher in Bezug auf ihre Daten konkreter fest, darunter das Recht, über gespeicherte Daten und deren Verwendung informiert zu werden, Daten löschen zu lassen und der Verwendung ihrer Daten durch Unternehmen oder zu Marketingzwecken zu widersprechen. Dieses Gesetz gilt nur für Unternehmen, die in Kalifornien tätig sind, und für Einwohner von Kalifornien.

Gewährleistung des Datenschutzes mit sicheren, gesetzeskonformen Tools

Einer der besten Ansätze zur Gewährleistung des Datenschutzes ist der Einsatz von Technologien, die den Datenschutz unterstützen. Verschlüsselung, Datenmanagement und -transparenz, automatisierte Kontrollen und die technische Umsetzung von Governance-, Risiko- und Compliance-Richtlinien können diese Bemühungen erheblich unterstützen. Unternehmen müssen sich sowohl über ihre rechtlichen Verpflichtungen als auch über ihre ethische Haltung im Klaren sein, wenn es darum geht, die personenbezogenen Daten der Nutzer zu schützen.

Um zu erfahren, wie die Kiteworks-Plattform den Datenschutz für die Kommunikation sensibler Inhalte gewährleistet, vereinbaren Sie noch heute einen Termin für eine Demo.

 

ABONNIEREN

Melden Sie sich an, um regelmäßige Updates und Neuigkeiten von Kiteworks zu erhalten.



Teilen
Twittern
Teilen