Kennenlernen von Datenschutzgesetzen und -vorschriften
Lernziele
Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:
- Erläutern der Bedeutung von Datenschutz
- Beschreiben, inwieweit Datenschutzgesetze für Ihr Unternehmen gelten
- Erläutern der Erwartungen der Kunden in Bezug auf Datenschutz
Einführung in den Datenschutz
Als Sicherheitsexperte ist es wichtig, über die neuesten Datenschutzgesetze informiert zu sein, die für Ihr Unternehmen gelten. Dies gilt ganz besonders, wenn Ihr Unternehmen mit personenbezogenen Kundendaten umgeht. Warum ist dies so wichtig? Der Schutz von Kunden- und Mitarbeiterdaten ist von größter Bedeutung, um Vertrauen aufzubauen und aufrechtzuerhalten. In diesem Modul befassen wir uns mit den Tools für die Implementierung eines effektiven Datenschutzprogramms.
Wenn Ihr Unternehmen Kundendaten speichert und verarbeitet, vertrauen Ihre Kunden darauf, dass Sie ihre Daten sicher und in Übereinstimmung mit den geltenden Gesetzen schützen, verwenden und verarbeiten. Bei diesen Daten kann es sich um personenbezogene Daten wie Kontakt-, Gesundheits- oder Finanzinformationen oder geschäftsbezogene Informationen wie Ausgaben, Marketing- oder Analysedaten handeln.
Unabhängig davon, welche Art von Daten Sie verarbeiten oder speichern, ist es wichtig, für ihre Sicherheit zu sorgen. Neben der Verarbeitung oder Speicherung von Kundendaten ist Ihr Unternehmen auch für seine eigenen Daten verantwortlich, zu denen Wissen über potenzielle Kunden, Mitarbeiterinformationen, Finanzdaten und mehr gehören.
Wie können Sie also sicherstellen, dass diese Daten geschützt sind? Zunächst einmal sollten Sie die geltenden Datenschutzgesetze kennen und einhalten. Wir gehen im Verlauf dieses Moduls noch detaillierter auf diese Datenschutzgesetze ein. Um die Compliance, also die Einhaltung der geltenden Datenschutzgesetze, zu dokumentieren und sich und Ihre Kunden zu schützen, sollten Sie bei der Erfassung von Kundendaten Vereinbarungen vorlegen. In diesen Vereinbarungen sollte beschrieben werden, wie Ihr Unternehmen dafür sorgt, dass die Kundendaten sicher und vertraulich bleiben. Die meisten internationalen Fluggesellschaften sind beispielsweise verpflichtet, auf ihren öffentlichen Websites zu erklären, wie sie die Daten ihrer Kunden schützen, welche Daten sie sammeln und warum und wie diese gesammelt, verwendet, bewertet, geschützt und gespeichert werden.
Bedeutung von Datenschutz
Nehmen wir uns einen Moment Zeit, um das Konzept "Datenschutz" und seine Bedeutung zu betrachten. Datenschutz bezieht sich darauf, wie Informationen – oder Daten – je nach ihrer relativen Bedeutung verwaltet und geschützt werden sollten.
Datenschutz ist in letzter Zeit zu einem brandaktuellen Thema geworden, da es durch Sicherheitsverletzungen zu Bedenken kam, wie Unternehmen mit den gesammelten Kundendaten umgehen. Das Thema Datenschutz ist besonders wichtig für Unternehmen in bestimmten Sektoren wie dem Finanz- und Gesundheitswesen. Diese Sektoren gehen mit sensiblen Informationen um und sind in der Regel stark reguliert. Zudem sind sie immer häufiger Ziel von Cyberangriffen, die im Erfolgsfall nicht nur zum Verlust dieser Daten, sondern auch zum Vertrauensverlust der Verbraucher führen können.
Sehen wir uns ein Beispiel an. Wenn Sie eine Kreditkarte beantragen, müssen Sie meist Ihren offiziellen Namen, Ihr Geburtsdatum, Ihre Adresse, Ihre Ausweisnummer und Ihr Jahreseinkommen angeben. Das sind eine ganze Menge Informationen! Diese Informationen dienen nicht nur zur Überprüfung Ihrer Identität, sondern ermöglichen dem Kreditkartenunternehmen auch, Ihre Kreditwürdigkeit zu prüfen. Diese Informationen sind sogenannte personenbezogenen Daten, und das Kreditkartenunternehmen ist verpflichtet, Sicherheitsmaßnahmen zu ihrem Schutz zu ergreifen.
In diesem Beispiel bedeutet Datenschutz, dass das Kreditkartenunternehmen dafür verantwortlich ist, Ihre personenbezogenen Daten vor unbefugter Offenlegung zu schützen, dass es transparent macht, wie es Ihre personenbezogenen Daten verwendet, dass es die Daten in Übereinstimmung mit den geltenden Gesetzen nutzt und dass Sie der Verwendung Ihrer Daten für einen bestimmten Zweck zustimmen.
Terminologie rund um das Thema Datenschutz
Bevor wir uns näher mit Datenschutzgesetzen befassen, sollten wir einige grundlegende Definitionen klären.
Kundendaten: Die Informationen, die ein Kunde bei der Interaktion mit einem Unternehmen zur Verfügung stellt, sei es über eine Website, eine mobile Anwendung, soziale Medien usw.
Betroffene Person: Eine Person, deren personenbezogene Daten erfasst, gespeichert oder verarbeitet werden
Personenbezogene Daten: Daten, die direkt einer betroffenen Person zugeordnet werden können und die eine Person identifizieren können, z. B. Name, Privatadresse oder eine persönliche Identifikationsnummer (z. B. Reisepassnummer)
Vertrauliche personenbezogene Daten: Einige Arten personenbezogener Daten gelten als sensibel und unterliegen strengeren Vorschriften. Dazu können Daten über Hautfarbe, ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, gesundheitsbezogene Daten oder Daten über das Sexualleben oder die sexuelle Orientierung einer Person gehören.
Verarbeitung: Jeder Vorgang oder jede Abfolge von Vorgängen mit Daten (z. B. Zugriff, Erfassung, Aufzeichnung, Abruf, Kopieren, Speicherung, Offenlegung, Verbreitung usw.)
Verantwortlicher: Eine natürliche oder juristische Person, die über den Zweck sowie die Art und Weise der Verarbeitung personenbezogener Daten entscheidet
Auftragsverarbeiter: Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
Datentreuhänder: Die Person, die für die sichere Aufbewahrung, den Transport und die Speicherung der Daten sowie für die Implementierung von Geschäftsregeln verantwortlich ist
Datenschutzbehörden: Nationale Behörden, die mit Schutz und Vertraulichkeit von Daten sowie der Überwachung und Durchsetzung der Datenschutzbestimmungen innerhalb der Union beauftragt sind.
Abhängig von der Situation und den betroffenen Daten kann Ihr Unternehmen sowohl als Auftragsverarbeiter als auch als Verantwortlicher agieren. Es ist hilfreich, sich die Rollen des Auftragsverarbeiters und Verantwortlichen in Bezug auf die Aufteilung der Verantwortung zwischen den Beteiligten vorzustellen. Ihre Kunden können sowohl Verantwortliche als auch Auftragsverarbeiter sein. Ihr Unternehmen fungiert jedoch immer als Auftragsverarbeiter, wenn ein Kunde Ihnen Daten übermittelt, und als Verantwortlicher, wenn Sie Methoden und Zweck der Datenverarbeitung bestimmen.
Datenschutzgesetze
Je nachdem, wo Ihr Unternehmen tätig ist, müssen Sie möglicherweise standortspezifische Datenschutzgesetze einhalten. Wenn Ihr Unternehmen weltweit tätig ist, müssen Sie unbedingt Richtlinienanforderungen für das jeweilige Land implementieren, in dem Sie tätig sind. Ist Ihr Unternehmen beispielsweise in Japan tätig, unterliegt es dem japanischen Gesetz zum Schutz personenbezogener Daten "Act on the Protection of Personal Information".
Datenschutzgesetze dienen dem Schutz von Einzelpersonen hinsichtlich ihrer personenbezogenen Daten. Sie regeln auch, wie personenbezogene Daten verwendet bzw. nicht verwendet werden dürfen. Sehen wir uns genauer an, was Datenschutzgesetze regeln.
- Ob personenbezogene Daten erfasst und verarbeitet werden dürfen
- Welche Informationen über Datenverarbeitungsmethoden bereitgestellt werden sollen und auf welchem Weg dies erfolgen soll
- Wer auf personenbezogene Daten zugreifen und sie nutzen darf
- Wie personenbezogene Daten verarbeitet werden dürfen
- Wie die Daten abgesichert sein sollen
- Wann die Daten gelöscht oder geändert werden sollen
- Wer die Daten übertragen darf oder treuhänderisch verwalten soll
- Wo und wie personenbezogene Daten in andere Länder übermittelt werden dürfen
- Wie mit Sicherheitsvorfällen umgegangen wird
- Welche Rechte die betroffenen Personen in Bezug auf ihre personenbezogenen Daten haben
Weltweit gibt es zwei Arten von Datenschutzgesetzen: umfassende (die für alle Branchen und Sektoren gelten) und sektorale (die für bestimmte Branchen oder Sektoren gelten). In den USA verfolgt die Regierung schon immer einen sektoralen Ansatz. So gibt es beispielsweise den Health Insurance Portability and Accountability Act (HIPAA), das US-Datenschutzgesetz im Gesundheitswesen zum Schutz von Daten, die Aufschluss über den Gesundheitszustand einer Person geben (sogenannte geschützte Gesundheitsinformationen).
Das einzige nationale Datenschutzgesetz in den USA ist der Children's Online Privacy Protection Act (COPPA), der regelt, wie Online-Unternehmen Daten von Kindern unter 13 Jahren sammeln und verwenden dürfen.
Angesichts des Fehlens eines umfassenden nationalen Datenschutzgesetzes haben mehrere US-Bundesstaaten die Initiative ergriffen und eigene Datenschutzgesetze erlassen, darunter:
- Kalifornien: California Privacy Rights Act (CPRA)
- Virginia: Virginia Consumer Data Protection Act (VCDPA)
- Connecticut: Connecticut Data Privacy Act (CTDPA)
- Utah: Utah Consumer Privacy Act (UCPA)
- Colorado: Colorado Privacy Act (CPA)
Diese Bundesstaaten haben entweder vor Kurzem eigene Datenschutzgesetze verabschiedet oder sind dabei, diese zu verabschieden. Und in vielen weiteren Staaten gibt es bereits entsprechende Überlegungen. Durch die Verabschiedung eigener Datenschutzgesetze bieten diese Staaten ihren Bürgern Schutz.
Die Europäische Union (EU) und der Europäische Wirtschaftsraum (EWR) verfolgen dagegen mit der Allgemeinen Datenschutzverordnung (DSGVO) einen eher umfassenden Ansatz. Die DSGVO ist das Datenschutzgesetz von EU und EWR und gilt unabhängig von Branche oder Sektor für alle Verantwortlichen und Auftragsverarbeiter. Es gibt allerdings auch einige sektorspezifische Gesetze in Europa, wie z. B. für den Bereich der Telekommunikation.
Verschiedene andere Länder rund um den Globus – darunter Japan, Australien, China, Kanada, Brasilien, Argentinien, Indien, Südafrika und andere – haben eigene Datenschutzgesetze oder arbeiten diese gerade aus. Und obwohl jedes Land seine eigenen Gesetze hat, so basieren die meisten Datenschutzgesetze weltweit doch auf denselben Grundprinzipien.
- Fairness und Transparenz
- Zweckbindung
- Datenminimierung
- Genauigkeit
- Datenlöschung und -aufbewahrung
- Sicherheit
- Rechenschaftspflicht
- Rechte der Einzelnen
- Übertragung in andere Länder
- Datenschutz-Folgenabschätzungen
Damit beschäftigen wir uns in der nächsten Lektion.
Kundenverträge und Service Level Agreements
Neben der Einhaltung von Datenschutzgesetzen nehmen Unternehmen auch Datenschutzverpflichtungen in Kundenverträge oder Service Level Agreements (SLAs) auf. In diesen Verpflichtungen ist genau festgelegt, wie Ihr Unternehmen personenbezogene Daten verwenden darf, einschließlich der gesetzlich vorgeschriebenen Vorgaben.
Internationale Datenschutzzertifizierungen und -standards
Zusätzlich zu den Datenschutzgesetzen muss Ihr Unternehmen möglicherweise auch bestimmte Zertifizierungen und Standards einhalten, die umfassende Datenschutzanforderungen vorsehen. Diese Zertifizierungen und Standards variieren je nach Branche, können aber Folgendes beinhalten:
-
Zertifizierung nach ISO/IEC 27001/27018 (Internationale Organisation für Normung und Internationale Elektrotechnische Kommission): Diese Zertifizierung enthält Anforderungen zu Managementsystemen für Informationssicherheit und den Schutz persönlich identifizierbarer Daten (PII) in öffentlichen Clouds, die als Auftragsverarbeiter für personenbezogene Daten fungieren.
-
SOC-Berichte (Service Organization Control): Diese Berichte unterstützen Unternehmen dabei, Vertrauen in ihre Service Delivery-Prozesse und -Kontrollmechanismen aufzubauen.
-
TRUSTe-Zertifizierung: Mit dieser Zertifizierung können Unternehmen verantwortungsvolle Vorgehensweisen nachweisen, die mit den Standards für Datenschutzverantwortung konform sind.
-
International Organization for Standardization and International Electrotechnical Commission (ISO/IEC) 27701, eine Erweiterung von ISO/IEC 27001 und ISO/IEC 27002 zur Verwaltung von Datenschutzinformationen. Enthalten sind Richtlinien für die Verarbeitung personenbezogener Daten, die Unternehmen dabei helfen, ihr Datenschutzmanagementsystem (Privacy Information Management System, PIMS) einzurichten, umzusetzen, zu pflegen und fortlaufend zu verbessern.
Datenschutzrichtlinien
Ihr Unternehmen sollte sich an die Verpflichtungen halten, die es gegenüber seinen Kunden eingeht, wenn es personenbezogene Daten erfasst. Außerdem sollte Ihr Unternehmen eine Datenschutzerklärung auf seiner öffentlichen Website bereitstellen, in der beschrieben wird, welche Arten von Daten Sie von den Benutzern Ihrer Websites erfassen und wie Sie diese Daten verwenden und weitergeben. Die Verpflichtungen, die Sie in dieser Datenschutzerklärung eingehen, sollten denen entsprechen, die in Ihren Kundenverträgen enthalten sind. Dasselbe gilt für interne Datenschutzrichtlinien und Mitarbeiterhinweise, die detailliert darlegen, wie Mitarbeiterdaten erfasst, verwendet, weitergegeben und verarbeitet werden.
Zusammenfassung
Sie haben jetzt eine bessere Vorstellung von Datenschutzkonzepten, Gesetzen und Kundenerwartungen. In der nächsten Lektion behandeln wir die Grundsätze des Datenschutzes und wie Sie diese zum Schutz Ihres Unternehmens anwenden.
Ressourcen
-
Trailhead: EU-Datenschutzgesetze – Grundlagen
-
Trailhead: Datenschutzgesetz in Kalifornien – Grundlagen
-
Externe Website: Text der Datenschutz-Grundverordnung (DSGVO) der EU
-
PDF: Text des US-Datenschutzgesetztes für das Gesundheitswesen (HIPAA)
-
Externe Website: EU: Für wen gilt die Datenschutz-Grundverordnung?
-
PDF: EU: Die DSGVO: Neue Chancen, neue Verpflichtungen
-
Externe Website: Weltbank: Datenschutzgesetze
-
Externe Website: Reuters: U.S. Data Privacy Laws to Enter New Era in 2023
-
Externe Website: NIST: Datenschutz-Framework