Anzeige

Datenschutz

Leider wissen heutzutage immer noch nicht genug Menschen wie ihre persönlichen Daten verwendet, gesammelt, weitergegeben, usw. werden. Das ist einigermaßen erschreckend. Jetzt ist die Welt eine einzige globale, digitale Gesellschaft.

Der Data Privacy Day oder Datenschutztag ist gedacht, sich mit dem Thema Datenschutz auseinanderzusetzen. Das gilt für jeden Einzelnen und gleichermaßen für Unternehmen, Firmen und Nationen, denn nur wenige sind sich der Tragweite des Themas wirklich bewusst.

Unternehmen und Regierungsverantwortliche weltweit versuchen, das komplexe Thema Datenschutz ausreichend zu durchdringen. Wenn es um Privatsphäre geht, gibt es kein „one-size-fits-all“  - zumindest nicht was die Gesetzeslage betrifft. In der Praxis gehen verschiedene Staaten,  Ländern und Provinzen anders mit dem Datenschutz um. 

NIST 1.0 – Datenschutz in der Praxis 

In diesem Monat feiert das NIST-Datenschutz-Framework Version 1.0 seinen ersten Geburtstag, eine Checkliste und Praxishandbuch für Unternehmen und Regierungsbehörden. Das Rahmenwerk hilft dabei, Aktivitäten zu qualifizieren und zu quantifizieren sowie Vorfallsreaktionen und Risiken zu katalogisieren. Damit haben Organisationen einen Leitfaden an der Hand, der ihnen hilft, Fragen bei internen und externen Audits zu beantworten und Glaubwürdigkeit bei Kunden und Mitarbeitern aufzubauen. Der Prozess ist viel weniger kompliziert als oft angenommen. Das von der NIST veröffentlichte Framework unterstützt Unternehmen dabei, ein umfassendes Datenschutzprogramm zu entwickeln. Es ist kein Allheilmittel, das alle Datenschutzherausforderungen aus der Welt schafft, aber zumindest ist es ein Schritt in die richtige Richtung. 

Das Gute daran: dieses Framework erlaubt es Firmen und Organisationen weltweit mit einem Datenschutzprogramm zu beginnen. Wieso? Es ist nicht neu, dass Unternehmen und Organisationen erst dann ein wahres Verständnis von Datenschutz entwickeln, wenn sie sich mit der Umsetzung beschäftigen. Sie wissen einfach nicht, was genau sie nicht oder noch nicht wissen. Das Rahmenwerk ist eine empfehlenswerte Checkliste, mit der sich beginnen lässt. Eine Art „Easy Button“. Kombiniert mit einem soliden Sicherheitsprogramm ist es ein guter Anfang für den Schutz der Privatsphäre, ganz egal wo.  

Hier haben wir also ein Hilfsmittel, das seit mindestens einem Jahr im Einsatz ist. Vielleicht sollten sich einige Leute etwas Zeit nehmen und Gedanken darüber machen, was für ein Datenschutzprogramm nötig ist. Es bleibt zu hoffen, dass sich mehr Leute genau darauf konzentrieren, und unsere Daten und 

unser gesamtes digitales Leben sicherer werden.

Datenschutztag – wer oder was ist eigentlich schutzbedürftig? 

Der Europäische Datenschutztag, der seit 2008 auch in den USA und Canada begangen wird, ist wie immer ein Anlass zum Nachdenken. Ein ganzer Tag, an dem wir uns darauf konzentrieren, den Datenschutz zu verbessern. Die Daten selbst brauchen allerdings keine Privatsphäre – es ist die Privatsphäre einer Person, die schützenswert ist. Sollten wir diesen Tag dementsprechend umbenennen? Menschen brauchen ihre Privatsphäre, um all das zu schützen, was ihnen wichtig ist: ihre Identität, ihr Leben, ihre Informationen. Das ist es, was Datenschutz im Kern ausmacht - aber wie passt das zum Data Privacy Day?

Dieses Jahr gibt es in Sachen Datenschutz (wie auch immer er richtig oder falsch verstanden wird) drei wichtige Dinge zu beachten: den Brexit, Datenschutzverletzungen und das NIST Privacy Framework Version 1.0. In derselben Reihenfolge: Unsicherheit, Befürchtungen und Hoffnung auf Veränderung.  Eine nicht ganz uninteressante Wendung zu Beginn dieses neuen Jahres. Und dennoch wird das Jahr 2021 genau so in Erinnerung bleiben.

Der Brexit hinterlässt ein Dilemma: Wie wird die EU-Datenschutz-Grundverordnung (DSGVO oder General Data Protection Regulation/GDPR) mit einem Land umgehen, das die EU verlassen hat? Nicht wenige sehen hier ein Problem. Etliche Datenschutzexperten stellen sich die nicht unberechtigte Frage, ob nun für die EU die gleichen Regeln gelten wie für andere ausländische Nationen, etwa die USA. Hier haben wir das Vereinigte Königreich, eine Nation, welche die EU verlässt, aber den gleichen  Datenschutzgesetzen unterliegt. In diesem Jahr werden wir sehen wie Europa mit einer Nation umgeht, die Teil der Europäischen Union war – und es nicht mehr ist. Dies wird den Weg für zukünftige Verträge ebnen, welche die Privatsphäre aller Menschen ausreichend schützen. Das zumindest hoffen viele von uns. Trotzdem bleibt ein Gefühl der Unsicherheit.

Die Zahl der schwerwiegenden Datenschutzverletzungen im Jahr 2020 war erschreckend. Aber war das vielleicht nur die Spitze des Eisbergs? Wieviele wurden tatsächlich aufgedeckt und wieviele nicht? Trotz der gravierenden gesellschaftlichen Veränderungen im letzten Jahr, fehlt es bei vielen Unternehmen immer noch an den Grundlagen: dem Schutz von priviligierten Konten (Privileged Account Management) oder dem Grundsatz der minimalen Rechtevergabe (Least Privilege Management) – anders ausgedrückt, eine Datenschutzverletzung ist nur möglich, wo jemand auch auf Daten zugreifen kann. CISOs und CIOs sind beunruhigt über Datenschutzverletzungen, von denen sie vielleicht nichts wissen, schlicht, weil die verantwortlichen Mitarbeiter:innen nicht vor Ort sind – genauso wenig wie der Rest der Belegschaft. In Irland wurde bereits ein neues Gesetz hinsichtlich Remote Working verabschiedet. Aber etliche Unternehmen haben noch deutlichen Nachholbedarf, und das Wissen darum, verunsichert die Branche.

Fazit

Aber die Hoffnung stirbt zuletzt. Eines der Probleme mit Datenschutzprogrammen ist, ganz im sokratischen Sinne, dass man nicht weiß, was man nicht weiß – bis man es tut. Das NIST Privacy Framework Version 1.0 ist ein Anfang. Unternehmen können einfach anfangen die wirklich hilfreiche Checkliste durchzugehen, um ein praktikables, ehrliches Datenschutzprogramm auf die Beine zu stellen. Ich bin die Liste selbst schon mit einigen durchgegangen, und kann bestätigen, dass sie wirklich leicht verständlich ist. Und sie regt dazu an, in die richtige Richtung zu denken. Das lässt hoffen.

Wir beginnen das neue Jahr also in der Hoffnung, dass all den Unternehmen, die Argumente ausgehen, die behaupten nicht genügend Budget für ein Datenschutzprogramm zu haben oder die Tatsache ignorieren, dass eine Strafverfolgung nicht nur schlecht für die Optik ist. 

Für ein Datenschutzprogramm muss man sich Zeit nehmen. Trotzdem muss man nicht sofort einen externen Experten beauftragen. Fangen Sie intern an, auch damit werden Sie bereits Fortschritte erzielen.  

Konzentrieren wir uns auf diese nicht unbegründete Hoffnung und den Schutz von Menschen und ihren persönlichen Daten. 

Robert Meyers, Compliance- und Datenschutzexperte
Robert Meyers
Compliance- und Datenschutzexperte, One Identity
Robert Meyers ist  Compliance- und Datenschutzprofi und Channel Program Solutions Architect bei One Identity. Seit 30 Jahren beschäftigt er sich mit Identity und Access Management sowie Informationssicherheit. Seit mehr als 10 Jahren konzentriert er sich auf die Planung, Unterstützung und Verwaltung von Datenschutzprogrammen wie FERPA, HIPAA, GDPR und CCPA. Er führte federführend fast hundert Fusionen und Übernahmen durch. Robert spricht regelmäßig bei Veranstaltungen über Datenschutzthemen. Zu seinen umfangreichen Zertifizierungen gehören IAPP Fellow of Information Privacy, CIPP / E, CIPT und ISACA CISM.

Artikel zu diesem Thema

Sicherheit
Jan 29, 2021

Ohne Vertrauen, kein Unternehmenswachstum

Der jährlich am 28. Januar stattfindende Data Privacy Day (Europäischer Datenschutztag)…
Data Privacy Day
Jan 28, 2021

Data Privacy Day: Kontrolle über Daten zurückgewinnen

Jedes Jahr am 28. Januar findet der Europäische Datenschutztag statt. Dieser Aktions- und…

Weitere Artikel

EU Flagge

Die Auswirkungen des Digital Markets Act auf Online-Werbung

Der Connected Commerce Council (3C), eine globale Organisation, die über 1.800 europäische kleine und mittelständische Unternehmen (KMUs) repräsentiert, kritisiert die aktuellen Vorschläge zum Digital Markets Act (DMA). Den momentanen Vorschlägen zufolge wird…
Cyber Security

Fertigung muss im Bereich der Datensicherheit nachbessern

Wie gut ist die verarbeitende Industrie angesichts steigender Cyberbedrohungen wie gezielten Ransomware-Attacken, staatlich unterstützten Angreifern auf der Suche nach geistigem Eigentum oder böswilligen Insidern aufgestellt?
DSGVO

Automatisierung von Datenschutzpraktiken

Unternehmen sind heute mehr denn je auf Daten und Technologien angewiesen, wenn es gilt Operationen zu skalieren. Aber angesichts der sich ständig weiterentwickelnden rechtlichen Rahmenbedingungen für den Datenschutz ist es eine ganz eigene Herausforderung,…
Google Assistant

Sprachassistenten und das Fake-Wake-Phänomen

In einem gemeinsamen Projekt mit einem Forschungsteam der chinesischen Zhejiang Universität in Hangzhou haben Forschende des System Security Lab an der TU Darmstadt das sogenannte „Fake-Wake-Phänomen“ systematisch untersucht. Dieses Phänomen führt bei…
USA EU

Datentransfer in die USA so sicher wie möglich gestalten

Fast alle Unternehmen übermitteln über ihre eingesetzte Software unbemerkt Daten in die USA. Handelt es sich um personenbezogene Daten, bedeutet das häufig einen Verstoß gegen die Datenschutzverordnung.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.