Die Einhaltung einschlägiger globaler Datenschutzvorschriften stellt für Unternehmen jeder Größe eine Herausforderung dar. Es ist nicht einfach, personenbezogene Daten zu schützen – angefangen bei der komplizierten Sprache der Vorschriften bis hin zur Implementierung geeigneter Schutzmaßnahmen.
In den Medien wird regelmäßig über Datenschutzverstöße berichtet, wobei große Unternehmen häufig wegen Verstößen gegen die Datenschutzbestimmungen in die Schlagzeilen geraten, die mit hohen Geldstrafen einhergehen. Jedes Unternehmen muss sich die Frage stellen, ob es genug tut, um die Datenschutzgesetze einzuhalten. Dieser Artikel enthält einige Antworten auf diese Frage sowie Tipps für Verbesserungen.
Datenschutzgesetze: Ein kurzer Überblick
Der erste Teil der Herausforderung bei der Entwicklung einer angemessenen Datenschutzstrategie für Ihr Unternehmen besteht darin, zu wissen, welche Vorschriften Sie einhalten müssen. Die Datenschutzgesetze, die Sie einhalten müssen, hängen weitgehend von der Art Ihres Unternehmens, den geografischen Gebieten, in denen Sie tätig sind, und der Art der Daten in Ihrem Unternehmen ab. Jedes der folgenden Gesetze hat seine eigenen Regeln und notwendigen Sicherheitsmaßnahmen zur Einhaltung der Vorschriften.
- Allgemeine Datenschutzgrundverordnung (DSGVO): Die strengste Compliance-Verordnung schützt die Daten von Bürgern und Einwohnern der Europäischen Union. Die DSGVO hat einen extraterritorialen Geltungsbereich, d. h. Organisationen außerhalb der EU riskieren die Nichteinhaltung der Vorschriften, wenn sie Daten von Bürgern/Einwohnern in Europa verarbeiten und sich nicht an die Regeln halten.
- California Consumer Privacy Act (CCPA) & California Privacy Rights Act (CPRA): Beide Vorschriften schützen die Verbraucherdaten der in Kalifornien lebenden Bürger. Mit dem CPRA wurden strengere Vorschriften eingeführt, die die Maßnahmen zum Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten verstärken. Diese Gesetze setzten den Standard für ähnliche Bundesstaaten, die mit ihren eigenen umfassenden Datenschutzgesetzen nachziehen, darunter Virginia, Connecticut, Colorado und Utah. Das New Yorker Datenschutzgesetz gilt nun auch für Unternehmen, die personenbezogene Daten kontrollieren.
- Gramm-Leach-Bliley Act (GLBA): Dieser Rahmen für Finanzinstitute zum Schutz der Finanzdaten von Verbrauchern ist unter den Bezeichnungen „Privacy Rule“ und „Safeguards Rule“ bekannt. Die Federal Trade Commission (FTC) hat diese beiden wichtigen Vorschriften erlassen.
- Health Insurance Portability and Accountability Act (HIPAA): Da Gesundheitsdaten (einschließlich biometrischer Daten) zu den sensibelsten Daten gehören, die mit Bedrohungen der Cybersicherheit konfrontiert sind, müssen sie in den Vereinigten Staaten durch HIPAA-Anforderungen streng geschützt werden.
- Der Payment Card Industry Data Security Standard (PCI DSS): Diese Reihe von Sicherheitsstandards soll gewährleisten, dass alle Unternehmen, die Kreditkartendaten annehmen, verarbeiten, speichern oder übertragen, eine sichere Umgebung aufrechterhalten.
- Gesetz zum Schutz der Privatsphäre von Kindern im Internet (COPPA): Dieses Gesetz wird in der Öffentlichkeit relativ wenig beachtet, aber es ist wichtig, sich dessen bewusst zu sein. COPPA schützt die Privatsphäre von Kindern unter 13 Jahren in den Vereinigten Staaten, indem es die Zustimmung der Eltern für die Erfassung oder Verwendung von persönlichen Daten von Kindern vorschreibt.
Ein Teil der Herausforderung besteht darin, dass jedes dieser Gesetze seine eigenen spezifischen Regeln für die Aufbewahrung von Daten, die Datenübertragbarkeit, die Datenübermittlung, die gemeinsame Nutzung von Daten, die Löschung, die Profilerstellung usw. haben kann. Außerdem müssen Sie die Definitionen von personenbezogenen Daten, Gesundheitsdaten und anderen Datentypen genau verstehen, bevor Sie personenbezogene Daten im Einklang mit den entsprechenden Schutzvorschriften verarbeiten. Darüber hinaus werden in einer zunehmend datenschutzbewussten Welt zweifellos neue Gesetze und Datenschutzgesetze entstehen, die den Datenschutz für Verbraucher weiter stärken.
Beispiele aus der Praxis für Versäumnisse bei der Einhaltung von Vorschriften
Um einen Eindruck davon zu bekommen, wie Unternehmen nicht genug tun, um die Einhaltung der Vorschriften zu gewährleisten, finden Sie hier einige Beispiele aus der Praxis, bei denen in den letzten Jahren die Vorschriften nicht eingehalten wurden:
- Der Facebook-Eigentümer Meta wurde 2023 zu einer Geldstrafe in Höhe von 1,2 Mrd. EUR verurteilt, weil er im Rahmen der Datenschutz-Grundverordnung (DSGVO) mit Nutzerdaten falsch umgegangen war. Die Verstöße betrafen den unzureichenden Schutz von Daten, die aus der EU in die USA übertragen wurden.
- Im Jahr 2021 wurde Amazon im Rahmen der DSGVO zu einer Geldstrafe von 746 Millionen Euro verurteilt, weil es bei seinen gezielten Werbekampagnen keine ordnungsgemäße Einwilligung durchgesetzt hatte.
- Gegen WhatsApp wurde 2021 eine Geldstrafe in Höhe von 228 Mio. EUR verhängt, weil das Unternehmen es versäumt hatte, seine Nutzer über die über sie gesammelten Daten zu informieren. Es handelte sich um Verstöße gegen die Artikel 12-14 der DSGVO.
Diese Beispiele aus der Praxis zeigen, dass selbst die größten Unternehmen nicht genug tun, um die Einhaltung der Vorschriften zu gewährleisten. Technische und organisatorische Fehler können jedes Unternehmen treffen, und es ist wichtig, sich kontinuierlich um eine bessere Einhaltung der Vorschriften zu bemühen.
Tipps zur Verbesserung der Compliance
Im Folgenden finden Sie einige Tipps zur Verbesserung Ihrer Datenschutzpolitik und -strategie, um die Einhaltung der Vorschriften zu gewährleisten.
- Aktualisieren Sie Ihre Datenschutzrichtlinien regelmäßig. Vergewissern Sie sich, dass Ihre Datenschutzrichtlinien auf dem neuesten Stand sind und mit den aktuellen Gesetzen und Vorschriften in Bezug auf die Daten, die Sie erfassen dürfen, übereinstimmen. Sorgen Sie außerdem dafür, dass diese Richtlinie leicht zugänglich und in einer klaren, präzisen Sprache verfasst ist.
- Datenminimierung. Erfassen und verarbeiten Sie nur die Daten, die für Ihren Geschäftsbetrieb unbedingt erforderlich sind. Unnötige Datenerfassung erhöht das Risiko von Datenschutzverletzungen und der Nichteinhaltung gesetzlicher Vorschriften.
- Sichere Datenspeicherung und -übertragung. Verwenden Sie eine starke Verschlüsselung sowohl für die Datenspeicherung als auch für die Datenübertragung, um unbefugten Zugriff zu verhindern. Verstärken Sie die Authentifizierung, damit Sie sich nicht nur auf Passwörter zur Überprüfung der Benutzeridentität verlassen. Testen und aktualisieren Sie regelmäßig Ihre Sicherheitssysteme und Sicherheitsrichtlinien, um sie an neue Bedrohungen anzupassen.
- Regelmäßige Audits zur Einhaltung der Vorschriften. Führen Sie regelmäßig Audits durch, um die Einhaltung von Datenschutzgesetzen und -vorschriften zu überprüfen. Dies kann sowohl interne Audits als auch Bewertungen von Dienstleistern umfassen, die Zugang zu Ihren Systemen oder sensiblen Daten haben. Identifizieren Sie insbesondere alle Ihre Datenbestände, damit Sie alle sensiblen Informationen, die nicht angemessen gemäß den einschlägigen Gesetzen geschützt sind, kennzeichnen können.
- Mitarbeiterschulung. Schulen Sie Ihre Mitarbeiter regelmäßig zu bewährten Verfahren der Datensicherheit und zu den spezifischen Gesetzen, die Ihr Unternehmen einhalten muss. Eine wirksame Schulung trägt dazu bei, unbeabsichtigte, von Mitarbeitern verursachte Verstöße zu verhindern, die eine der häufigsten Ursachen für die Nichteinhaltung von Vorschriften sind.
- Plan zum Umgang mit Datenschutzverletzungen. Entwickeln Sie einen umfassenden Reaktionsplan für Datenschutzverletzungen. Dieser beinhaltet die sofortigen Schritte, die nach einer Datenschutzverletzung unternommen werden müssen, wer kontaktiert werden sollte, wie festgestellt werden kann, welche Daten verletzt wurden, und wie mit den betroffenen Parteien kommuniziert werden kann. Ein wirksamer Reaktionsplan ist eine der wichtigsten Datenschutzpraktiken, die es umzusetzen gilt, da viele Verstöße gegen die Vorschriften oft mit Verzögerungen bei der Benachrichtigung der zuständigen Behörden einhergehen.
- Management von Anbietern. Stellen Sie sicher, dass alle Drittanbieter, die Zugriff auf Ihre Daten haben, ebenfalls die erforderlichen Datenschutzgesetze einhalten. Nehmen Sie Klauseln in die Verträge auf, die sie für etwaige Verstöße ihrerseits verantwortlich machen.
- Ernennen Sie einen Datenschutzbeauftragten (DSB). Je nach Größe Ihres Unternehmens und der Art der zu verarbeitenden Daten ist es oft sinnvoll, einen Datenschutzbeauftragten zu bestellen. Der DSB ist für die Überwachung der Datenschutzstrategie und -umsetzung zuständig, um die Einhaltung der geltenden Gesetze zu gewährleisten.
- Datenschutz-Folgenabschätzung. Führen Sie bei der Einführung neuer Produkte, Dienstleistungen oder Initiativen eine Datenschutz-Folgenabschätzung durch, um potenzielle Risiken für den Datenschutz und Möglichkeiten zu deren Minderung zu ermitteln.
- Rechte der Betroffenen. Stellen Sie sicher, dass Prozesse vorhanden sind, um Kundenanfragen bezüglich ihrer Daten zu bearbeiten, wie z. B. den Zugriff auf ihre Daten, die Berichtigung falscher Informationen oder die Löschung ihrer Daten auf Anfrage.
Entscheiden Sie sich für dedizierte Data Loss Prevention
Tools zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) spielen eine wichtige Rolle bei der Einhaltung von Datenschutzgesetzen, indem sie den unbefugten Zugriff auf sensible Daten und deren Offenlegung verhindern. Diese Tools funktionieren im Wesentlichen auf drei Arten.
- Identifizierung von Daten: DLP-Tools können sensible Daten wie persönlich identifizierbare Informationen (PII), Finanzinformationen oder Gesundheitsdaten im gesamten Netzwerk, auf dem Speicher und den Endgeräten eines Unternehmens identifizieren. Wenn Unternehmen wissen, wo sich sensible Daten befinden, können sie sicherstellen, dass ein angemessener Schutz besteht.
- Durchsetzung von Richtlinien: Mit DLP-Tools können Unternehmen Richtlinien festlegen und durchsetzen, die den Umgang mit sensiblen Daten kontrollieren. So kann ein DLP-Tool beispielsweise verhindern, dass sensible Daten an nicht autorisierte Empfänger gesendet werden, oder das Kopieren solcher Daten an einen ungesicherten Ort blockieren.
- Reaktion auf Vorfälle und Berichterstattung: DLP-Tools können detaillierte Berichte über potenzielle Datenverluste erstellen und in einigen Fällen automatisch Maßnahmen zur Behebung von Risiken ergreifen, wie z. B. die Benachrichtigung von Administratoren oder die Verschlüsselung von Daten im laufenden Betrieb. Diese Transparenz und Reaktionsfähigkeit ist entscheidend für den Nachweis der Einhaltung von Datenschutzgesetzen.
Durch die proaktive Identifizierung und Kontrolle sensibler Informationen hilft DLP Unternehmen, ihre Daten in Übereinstimmung mit den Datenschutzgesetzen zu verwalten und das Risiko der Nichteinhaltung und der damit oft verbundenen hohen Strafen zu verringern.
Endpoint Protector von CoSoSys bietet Ihrem Unternehmen eine branchenführende DLP-Lösung, die über mehrere Betriebssysteme hinweg funktioniert. Vom Datenschutz bis hin zum Umgang mit Risiken bei der Fernarbeit, Insider-Bedrohungen und der Verhinderung von Verstößen durch Mitarbeiterfehler – Endpoint Protectors Device Control, Content Aware Protection, Enforced Encryption und eDiscovery sorgen dafür, dass Ihr Unternehmen genug tut, um die Compliance zu gewährleisten.