Was ist Datenschutz?

Webinar zu Intelligent Supervision:

Jetzt registrieren

Definition von Datenschutz

Heute werden personenbezogene Daten von zahllosen Unternehmen gespeichert. Um den Schutz dieser Daten zu gewährleisten, legen Vorschriften und Standards fest, wie diese Informationen verwendet, erfasst, gespeichert und weitergegeben werden dürfen. Datenschutzvorschriften sollen verhindern, dass Kundendaten auf unzulässige Weise verwendet oder an Dritte weitergegeben werden. Einige Vorschriften verlangen, dass Unternehmen bei Datenschutzverletzungen ihre Anwender benachrichtigen sowie ihren Kunden darüber informieren, wie ihre Daten erfasst und genutzt werden.

Warum ist Datenschutz so wichtig?

Zu personenbezogenen Daten gehören alle Informationen, mit denen Privat- oder Unternehmenskunden identifiziert werden können, z. B. Name, Adresse, Identifikationsnummern, Kreditkartendaten, Geburtsdatum sowie verschiedene andere Datenpunkte. Unternehmen, die diese Informationen erfassen, müssen sie auf zulässige Weise speichern und strenge Autorisierungsregeln implementieren, wenn sie die Daten an Angestellte, Lieferanten, Auftragnehmer und Drittparteien weitergeben. Datenschutzregeln für Verbraucherinformationen gewährleisten, dass Unternehmen bei der Erfassung und Weitergabe privater Informationen ihrer Kunden strikte Regeln einhalten oder andernfalls mit erheblichen Strafen rechnen müssen.

Der Schutz von Anwenderdaten vor Diebstahl und Missbrauch hilft bei der Eindämmung von Identitätsdiebstahl und betrügerischen Aktivitäten. Außerdem stehen Anwendern dank Datenschutzregeln Informationen darüber zur Verfügung, wie ihre Daten weitergegeben und erfasst werden. Damit können sie überlegte Entscheidungen dazu treffen, ob sie ihre Daten diesem Unternehmen anvertrauen möchten. Einige Compliance-Vorschriften wie die DSGVO (Datenschutz-Grundverordnung) verlangen, dass Unternehmen Kundendaten auf Verlangen der Kunden aus ihrem System löschen („Recht auf Vergessenwerden“).

Datensicherheit und Datenschutz arbeiten beim Schutz von Kundendaten Hand in Hand. Die Sicherheitsprozesse hinter dem Datenschutz legen fest, mit welchen Tools und Autorisierungsprozessen Zugriff gewährt wird, während der Datenschutz definiert, welche Daten als wichtig gelten und warum sie vertraulich sind. Ohne Datenschutzvorgaben könnten Unternehmen ihre Daten mit Gewinnabsicht an Dritte verkaufen, ohne sich darum zu kümmern, wer diese Daten bekommt oder ob der Dateneigentümer damit überhaupt einverstanden ist. Compliance-Vorschriften übertragen die Verantwortung an das Unternehmen, sodass die Anwender ein juristisch einklagbares Recht auf ihre eigenen Informationen sowie eine gewisse Kontrolle darüber haben, wie Dritte sie nutzen dürfen.

Datenschutz und Datensicherheit

Obwohl Datenschutz und Datensicherheit Hand in Hand arbeiten, decken sie zwei vollkommen unterschiedliche Bereiche ab. Wenn ein Unternehmen seine Kunden davon überzeugen will, ihm Daten weiterzugeben, muss es Vertrauen schaffen. Um sich dieses Vertrauen zu bewahren, müssen Unternehmen den Datenschutz ernst nehmen und ihren Kundendienst sowie die Datenverwaltung darauf ausrichten. Eine der wichtigsten Nebenwirkungen einer Datenschutzverletzung ist der Vertrauensverlust. Er kann zu erheblichen Umsatzeinbußen führen, da zahlreiche Kunden sich einen anderen Anbieter suchen oder keine Produkte des Unternehmens mehr kaufen würden.

Datensicherheit umfasst Verfahren, Tools, Software, Autorisierung, Audits sowie die Überwachung von Anwenderinformationen. Während Datenschutz ein Konzept ist, umfasst Datensicherheit die Aktionen, mit denen der Datenschutz gewährleistet wird. Unternehmen halten ihre Datensicherheitsstrategien unter Verschluss, um sie vor Angreifern zu schützen, während Datenschutz eine gewisse Transparenz erfordert. Datenschutz erfordert Datensicherheit, doch Datensicherheit bedeutet nicht immer, dass Datenschutz einen hohen Stellenwert im Unternehmen einnimmt.

Ein weiteres Element von Datenschutz und Datensicherheit ist die Compliance. Compliance-Vorschriften legen häufig fest, wie Unternehmen ihre Datensicherheit umsetzen. Beispielsweise verlangt das US-Gesetz HIPAA (Health Insurance Portability and Accountability Act) Audit-Protokolle sämtlicher Zugriffsanfragen für private Anwenderdaten. Wenn Unternehmen diese Zugriffe nicht erfassen, können diese Verstöße hohe Geldstrafen nach sich ziehen. Die DSGVO fordert wiederum, dass Unternehmen auf Verlangen von Anwendern deren Daten aus ihrem System entfernen.

Datenschutzrechte

Die Rechte der Anwender in Bezug auf ihren Datenschutz werden von ihrem Aufenthaltsland bestimmt. Ein Beispiel dafür ist die DSGVO (Datenschutz-Grundverordnung) der Europäischen Union (EU), die 2018 in Kraft trat. Der kalifornische Gesetz CCPA (California Consumer Privacy Act) von 2020 ist der DSGVO ähnlich, beschränkt sich jedoch darauf, wie Unternehmen die Daten kalifornischer Bürger speichern und weitergeben. Die für Unternehmen geltenden Compliance-Vorschriften verdeutlichen die Datenschutzrechte. Einige Compliance-Vorschriften beziehen sich lediglich auf einige gespeicherte Datentypen. Beispielsweise definiert das US-Gesetz HIPAA die Datenschutzrechte von Patienten und liefert Richtlinien sowie Cybersicherheitsstandards für das Gesundheitswesen für Anbieter, Krankenhäuser sowie andere Unternehmen, die Patienteninformationen speichern und erfassen.

Auch wenn die Datenschutzrechte sich nach Region und geltenden Compliance-Vorschriften unterscheiden, haben sie alle ähnliche Ziele. Dazu gehören:

  • Einwilligung: Anwender müssen ihr Einverständnis erklären, bevor Unternehmen ihre Informationen verbreiten oder an Dritte weitergeben dürfen.
  • Gesetzliche Verpflichtungen: Regeln und Vorschriften definieren rechtliche Auswirkungen und Anforderungen an Unternehmen, die Daten verarbeiten, die regionalen und landesspezifischen Gesetzen unterliegen.
  • Ausübung von Rechten: Anwender haben festgelegte Möglichkeiten zur Ausübung ihrer Rechte. Beispielsweise müssen sie die Möglichkeit haben, über festgelegte Kommunikationskanäle die Löschung ihrer personenbezogenen Daten anzufordern.
  • Interessen: Die Interessen der Kunden sind die höchste Priorität, die Unternehmen beim Datenschutz berücksichtigen müssen.

Wichtige Datenschutzgesetze

Der Datenschutz wird nicht nur von einem einzigen Gesetz bestimmt, sondern von einer ganzen Reihe von Gesetzen und Rahmenwerken, die (in einigen Fällen) für bestimmte gespeicherte Datentypen oder abhängig vom Standort des Unternehmens gelten. Die am häufigsten angewendeten Datenschutzgesetze in den USA sind:

  • California Consumer Privacy Act (CCPA): CCPA trat am 1. Januar 2020 in Kraft und regelt die Verarbeitung von Daten kalifornischer Bürger durch Unternehmen. Kalifornier können erfragen, wie Unternehmen Daten erfassen, und ihre Daten von Unternehmenssystemen abrufen sowie entfernen lassen.
  • Health Insurance Portability and Accountability Act (HIPAA): HIPAA ist ein US-Bundesgesetz, das die Speicherung, Absicherung, Übertragung sowie Überprüfung von Patienteninformationen durch Unternehmen regelt. Unter dieses Gesetz fallen in erster Linie Gesundheitsanbieter und Krankenhäuser, aber auch E-Commerce-Unternehmen sowie weitere Verarbeiter von Patienteninformationen.
  • Children‘s Online Privacy Protection Act (COPPA): COPPA trat bereits im Jahr 2000 in Kraft und legt fest, wie Unternehmen Informationen über Kinder erfassen und weitergeben dürfen. Unternehmen, die Daten von Kindern unter 12 Jahren verarbeiten, müssen deren Anzeigenamen, E-Mail-Adressen, Chat-Namen, Fotos, Audiodateien und Standortdaten schützen.
  • Payment Card Industry Data Security Standard (PCI DSS): Alle Einzelhändler oder Unternehmen, die Finanz- und Kreditkartendaten von Kunden verarbeiten, müssen die PCI DSS-Vorschriften einhalten. Dieser Compliance-Standard schützt die Zahlungsinformationen von Anwendern, um Betrug und Identitätsdiebstahl zu verhindern. Unter diese Vorschriften fallen sowohl kleine als auch große Unternehmen (einschließlich Online-Geschäften), die Finanzdaten von Kunden speichern.

Abgesehen von CCPA gelten die genannten Datenschutzgesetze in den gesamten USA, werden jedoch von weiteren Gesetzen einzelner Bundesstaaten ergänzt, die regeln, wie US-Unternehmen die Informationen ihrer Einwohner verarbeiten dürfen. Entsprechende Gesetze gelten in Kalifornien, New York, Maryland, Massachusetts, Hawaii sowie North Dakota. Beispielsweise verbessert das New Yorker Gesetz SHIELD Act die Datensicherheit, indem schärfere Anforderungen an die Cybersicherheit von Unternehmen gestellt werden, die Daten der Bürger von New York speichern.

Internationaler Datenschutz

Unternehmen, die mit Daten internationaler Anwender arbeiten, müssen zusätzlich die Gesetze für europäische Bürger beachten. Während zwei wichtige Datenschutzgesetze für US-Unternehmen von Bedeutung sind, betreffen die beiden folgenden Datenschutzvorschriften die Daten von EU-Bürgern:

  • Das Cookie-Gesetz: Cookies sind kleine Dateien mit Website-Informationen, die auf den Geräten von Anwendern gespeichert sind. Diese Informationen können an externe Parteien weitergeleitet oder bei Diebstahl des Geräts offengelegt werden. Das Cookie-Gesetz fordert die Einwilligung des Anwenders, bevor eine Website ein Cookie auf seinem Gerät speichern darf.
  • Datenschutz-Grundverordnung (DSGVO): Die DSGVO ist eines der strengsten Datenschutzgesetze und regelt die Verarbeitung der Daten von EU-Bürgern. Wenn Unternehmen gegen die DSGVO verstoßen, drohen Strafen und Geldbußen in Millionenhöhe. Die DSGVO regelt Datenschutz, Datensicherheit, die Rechenschaftspflicht von Unternehmen sowie Geldstrafen bei Verstößen. Wenn Unternehmen Daten von EU-Verbrauchern speichern, müssen sie veröffentlichen, wie sie Anwenderdaten erfassen, speichern und weitergeben. Außerdem müssen sie den Anwendern eine einfache Möglichkeit bieten, ihre Daten aus dem Unternehmenssystem entfernen zu lassen.

Geringere Kosten und bessere Transparenz mit modernen Proofpoint-Compliance-Lösungen

Die nächste Generation der Archivierung ist jetzt verfügbar. Proofpoint-Lösungen für Datenarchivierung bieten moderne Compliance, mit der Sie Informationsrisiken reduzieren können.

Webinar: Schulung zu Compliance-Vorschriften

Regulierte Unternehmen müssen alle Kommunikationsvorgänge zu Compliance-Zwecken speichern. In unserem Webinar zu vorschriftenkonformer Archivierung erfahren Sie, wie Sie die Daten erfassen und verwalten.

Weitere Informationen zu Proofpoint-Compliance-Lösungen der nächsten Generation

Daten wachsen unaufhörlich. Wie kann die IT- und Rechtsabteilung Schritt halten? Kontrollieren Sie die Risiken mit einer modernen Lösung für Archivierung und Compliance.

Sicher arbeiten in der Cloud mit CASB

Proofpoint Cloud App Security Broker (Proofpoint CASB) unterstützt Sie bei der Cloud Security von Anwendungen wie Microsoft Office 365, Google G Suite oder Box. 

Überblick behalten mit Compliance-Gateway

Mit Proofpoint Track bleiben Sie konform und behalten die volle Kontrolle. Sie erhalten einen vollständigen Überblick über die erfassten Daten und können gewährleisten, dass die erfasste Kommunikation bei nachgelagerten Services wie Repositorys und Überwachungstools eingeht.

Private E-Mails im Unternehmen? Ja, aber sicher!

Die größte Bedrohung für Ihre Daten sind keine Fehler, die im veralteten Code Ihres Servers verborgen sind, keine Zero-Day-Exploits, die im Dark Web weitergegeben werden, und auch keine alten Laptops, die noch mit Windows 7 laufen.