Was ist Datenschutz?

Heute werden personenbezogene Daten von zahllosen Unternehmen gespeichert. Um den Schutz dieser Daten zu gewährleisten, legen Vorschriften und Standards fest, wie diese Informationen verwendet, erfasst, gespeichert und weitergegeben werden dürfen. Datenschutzvorschriften sollen verhindern, dass Kundendaten auf unzulässige Weise verwendet oder an Dritte weitergegeben werden. Einige Vorschriften verlangen, dass Unternehmen bei Datenschutzverletzungen ihre Anwender benachrichtigen sowie ihren Kunden darüber informieren, wie ihre Daten erfasst und genutzt werden.

Zu personenbezogenen Daten gehören alle Informationen, mit denen Privat- oder Unternehmenskunden identifiziert werden können, z. B. Name, Adresse, Identifikationsnummern, Kreditkartendaten, Geburtsdatum sowie verschiedene andere Datenpunkte. Unternehmen, die diese Informationen erfassen, müssen sie auf zulässige Weise speichern und strenge Autorisierungsregeln implementieren, wenn sie die Daten an Angestellte, Lieferanten, Auftragnehmer und Drittparteien weitergeben. Datenschutzregeln für Verbraucherinformationen gewährleisten, dass Unternehmen bei der Erfassung und Weitergabe privater Informationen ihrer Kunden strikte Regeln einhalten oder andernfalls mit erheblichen Strafen rechnen müssen.

Der Schutz von Anwenderdaten vor Diebstahl und Missbrauch hilft bei der Eindämmung von Identitätsdiebstahl und betrügerischen Aktivitäten. Außerdem stehen Anwendern dank Datenschutzregeln Informationen darüber zur Verfügung, wie ihre Daten weitergegeben und erfasst werden. Damit können sie überlegte Entscheidungen dazu treffen, ob sie ihre Daten diesem Unternehmen anvertrauen möchten. Einige Compliance-Vorschriften wie die DSGVO (Datenschutz-Grundverordnung) verlangen, dass Unternehmen Kundendaten auf Verlangen der Kunden aus ihrem System löschen („Recht auf Vergessenwerden“).

Datensicherheit und Datenschutz arbeiten beim Schutz von Kundendaten Hand in Hand. Die Sicherheitsprozesse hinter dem Datenschutz legen fest, mit welchen Tools und Autorisierungsprozessen Zugriff gewährt wird, während der Datenschutz definiert, welche Daten als wichtig gelten und warum sie vertraulich sind. Ohne Datenschutzvorgaben könnten Unternehmen ihre Daten mit Gewinnabsicht an Dritte verkaufen, ohne sich darum zu kümmern, wer diese Daten bekommt oder ob der Dateneigentümer damit überhaupt einverstanden ist. Compliance-Vorschriften übertragen die Verantwortung an das Unternehmen, sodass die Anwender ein juristisch einklagbares Recht auf ihre eigenen Informationen sowie eine gewisse Kontrolle darüber haben, wie Dritte sie nutzen dürfen.

Obwohl Datenschutz und Datensicherheit Hand in Hand arbeiten, decken sie zwei vollkommen unterschiedliche Bereiche ab. Wenn ein Unternehmen seine Kunden davon überzeugen will, ihm Daten weiterzugeben, muss es Vertrauen schaffen. Um sich dieses Vertrauen zu bewahren, müssen Unternehmen den Datenschutz ernst nehmen und ihren Kundendienst sowie die Datenverwaltung darauf ausrichten. Eine der wichtigsten Nebenwirkungen einer Datenschutzverletzung ist der Vertrauensverlust. Er kann zu erheblichen Umsatzeinbußen führen, da zahlreiche Kunden sich einen anderen Anbieter suchen oder keine Produkte des Unternehmens mehr kaufen würden.

Datensicherheit umfasst Verfahren, Tools, Software, Autorisierung, Audits sowie die Überwachung von Anwenderinformationen. Während Datenschutz ein Konzept ist, umfasst Datensicherheit die Aktionen, mit denen der Datenschutz gewährleistet wird. Unternehmen halten ihre Datensicherheitsstrategien unter Verschluss, um sie vor Angreifern zu schützen, während Datenschutz eine gewisse Transparenz erfordert. Datenschutz erfordert Datensicherheit, doch Datensicherheit bedeutet nicht immer, dass Datenschutz einen hohen Stellenwert im Unternehmen einnimmt.

Ein weiteres Element von Datenschutz und Datensicherheit ist die Compliance. Compliance-Vorschriften legen häufig fest, wie Unternehmen ihre Datensicherheit umsetzen. Beispielsweise verlangt das US-Gesetz HIPAA (Health Insurance Portability and Accountability Act) Audit-Protokolle sämtlicher Zugriffsanfragen für private Anwenderdaten. Wenn Unternehmen diese Zugriffe nicht erfassen, können diese Verstöße hohe Geldstrafen nach sich ziehen. Die DSGVO fordert wiederum, dass Unternehmen auf Verlangen von Anwendern deren Daten aus ihrem System entfernen.

Die Rechte der Anwender in Bezug auf ihren Datenschutz werden von ihrem Aufenthaltsland bestimmt. Ein Beispiel dafür ist die DSGVO (Datenschutz-Grundverordnung) der Europäischen Union (EU), die 2018 in Kraft trat. Der kalifornische Gesetz CCPA (California Consumer Privacy Act) von 2020 ist der DSGVO ähnlich, beschränkt sich jedoch darauf, wie Unternehmen die Daten kalifornischer Bürger speichern und weitergeben. Die für Unternehmen geltenden Compliance-Vorschriften verdeutlichen die Datenschutzrechte. Einige Compliance-Vorschriften beziehen sich lediglich auf einige gespeicherte Datentypen. Beispielsweise definiert das US-Gesetz HIPAA die Datenschutzrechte von Patienten und liefert Richtlinien sowie Cybersicherheitsstandards für das Gesundheitswesen für Anbieter, Krankenhäuser sowie andere Unternehmen, die Patienteninformationen speichern und erfassen.

Auch wenn die Datenschutzrechte sich nach Region und geltenden Compliance-Vorschriften unterscheiden, haben sie alle ähnliche Ziele. Dazu gehören:

• Einwilligung: Anwender müssen ihr Einverständnis erklären, bevor Unternehmen ihre Informationen verbreiten oder an Dritte weitergeben dürfen.
• Gesetzliche Verpflichtungen: Regeln und Vorschriften definieren rechtliche Auswirkungen und Anforderungen an Unternehmen, die Daten verarbeiten, die regionalen und landesspezifischen Gesetzen unterliegen.
• Ausübung von Rechten: Anwender haben festgelegte Möglichkeiten zur Ausübung ihrer Rechte. Beispielsweise müssen sie die Möglichkeit haben, über festgelegte Kommunikationskanäle die Löschung ihrer personenbezogenen Daten anzufordern.
• Interessen: Die Interessen der Kunden sind die höchste Priorität, die Unternehmen beim Datenschutz berücksichtigen müssen.

Der Datenschutz wird nicht nur von einem einzigen Gesetz bestimmt, sondern von einer ganzen Reihe von Gesetzen und Rahmenwerken, die (in einigen Fällen) für bestimmte gespeicherte Datentypen oder abhängig vom Standort des Unternehmens gelten. Die am häufigsten angewendeten Datenschutzgesetze in den USA sind:

• California Consumer Privacy Act (CCPA): CCPA trat am 1. Januar 2020 in Kraft und regelt die Verarbeitung von Daten kalifornischer Bürger durch Unternehmen. Kalifornier können erfragen, wie Unternehmen Daten erfassen, und ihre Daten von Unternehmenssystemen abrufen sowie entfernen lassen.
• Health Insurance Portability and Accountability Act (HIPAA): HIPAA ist ein US-Bundesgesetz, das die Speicherung, Absicherung, Übertragung sowie Überprüfung von Patienteninformationen durch Unternehmen regelt. Unter dieses Gesetz fallen in erster Linie Gesundheitsanbieter und Krankenhäuser, aber auch E-Commerce-Unternehmen sowie weitere Verarbeiter von Patienteninformationen.
• Children‘s Online Privacy Protection Act (COPPA): COPPA trat bereits im Jahr 2000 in Kraft und legt fest, wie Unternehmen Informationen über Kinder erfassen und weitergeben dürfen. Unternehmen, die Daten von Kindern unter 12 Jahren verarbeiten, müssen deren Anzeigenamen, E-Mail-Adressen, Chat-Namen, Fotos, Audiodateien und Standortdaten schützen.
• Payment Card Industry Data Security Standard (PCI DSS): Alle Einzelhändler oder Unternehmen, die Finanz- und Kreditkartendaten von Kunden verarbeiten, müssen die PCI DSS-Vorschriften einhalten. Dieser Compliance-Standard schützt die Zahlungsinformationen von Anwendern, um Betrug und Identitätsdiebstahl zu verhindern. Unter diese Vorschriften fallen sowohl kleine als auch große Unternehmen (einschließlich Online-Geschäften), die Finanzdaten von Kunden speichern.

Abgesehen von CCPA gelten die genannten Datenschutzgesetze in den gesamten USA, werden jedoch von weiteren Gesetzen einzelner Bundesstaaten ergänzt, die regeln, wie US-Unternehmen die Informationen ihrer Einwohner verarbeiten dürfen. Entsprechende Gesetze gelten in Kalifornien, New York, Maryland, Massachusetts, Hawaii sowie North Dakota. Beispielsweise verbessert das New Yorker Gesetz SHIELD Act die Datensicherheit, indem schärfere Anforderungen an die Cybersicherheit von Unternehmen gestellt werden, die Daten der Bürger von New York speichern.

Unternehmen, die mit Daten internationaler Anwender arbeiten, müssen zusätzlich die Gesetze für europäische Bürger beachten. Während zwei wichtige Datenschutzgesetze für US-Unternehmen von Bedeutung sind, betreffen die beiden folgenden Datenschutzvorschriften die Daten von EU-Bürgern:

• Das Cookie-Gesetz: Cookies sind kleine Dateien mit Website-Informationen, die auf den Geräten von Anwendern gespeichert sind. Diese Informationen können an externe Parteien weitergeleitet oder bei Diebstahl des Geräts offengelegt werden. Das Cookie-Gesetz fordert die Einwilligung des Anwenders, bevor eine Website ein Cookie auf seinem Gerät speichern darf.
• Datenschutz-Grundverordnung (DSGVO): Die DSGVO ist eines der strengsten Datenschutzgesetze und regelt die Verarbeitung der Daten von EU-Bürgern. Wenn Unternehmen gegen die DSGVO verstoßen, drohen Strafen und Geldbußen in Millionenhöhe. Die DSGVO regelt Datenschutz, Datensicherheit, die Rechenschaftspflicht von Unternehmen sowie Geldstrafen bei Verstößen. Wenn Unternehmen Daten von EU-Verbrauchern speichern, müssen sie veröffentlichen, wie sie Anwenderdaten erfassen, speichern und weitergeben. Außerdem müssen sie den Anwendern eine einfache Möglichkeit bieten, ihre Daten aus dem Unternehmenssystem entfernen zu lassen.