Anzeige

Datenschutz

Leider wissen heutzutage immer noch nicht genug Menschen wie ihre persönlichen Daten verwendet, gesammelt, weitergegeben, usw. werden. Das ist einigermaßen erschreckend. Jetzt ist die Welt eine einzige globale, digitale Gesellschaft.

Der Data Privacy Day oder Datenschutztag ist gedacht, sich mit dem Thema Datenschutz auseinanderzusetzen. Das gilt für jeden Einzelnen und gleichermaßen für Unternehmen, Firmen und Nationen, denn nur wenige sind sich der Tragweite des Themas wirklich bewusst.

Unternehmen und Regierungsverantwortliche weltweit versuchen, das komplexe Thema Datenschutz ausreichend zu durchdringen. Wenn es um Privatsphäre geht, gibt es kein „one-size-fits-all“  - zumindest nicht was die Gesetzeslage betrifft. In der Praxis gehen verschiedene Staaten,  Ländern und Provinzen anders mit dem Datenschutz um. 

NIST 1.0 – Datenschutz in der Praxis 

In diesem Monat feiert das NIST-Datenschutz-Framework Version 1.0 seinen ersten Geburtstag, eine Checkliste und Praxishandbuch für Unternehmen und Regierungsbehörden. Das Rahmenwerk hilft dabei, Aktivitäten zu qualifizieren und zu quantifizieren sowie Vorfallsreaktionen und Risiken zu katalogisieren. Damit haben Organisationen einen Leitfaden an der Hand, der ihnen hilft, Fragen bei internen und externen Audits zu beantworten und Glaubwürdigkeit bei Kunden und Mitarbeitern aufzubauen. Der Prozess ist viel weniger kompliziert als oft angenommen. Das von der NIST veröffentlichte Framework unterstützt Unternehmen dabei, ein umfassendes Datenschutzprogramm zu entwickeln. Es ist kein Allheilmittel, das alle Datenschutzherausforderungen aus der Welt schafft, aber zumindest ist es ein Schritt in die richtige Richtung. 

Das Gute daran: dieses Framework erlaubt es Firmen und Organisationen weltweit mit einem Datenschutzprogramm zu beginnen. Wieso? Es ist nicht neu, dass Unternehmen und Organisationen erst dann ein wahres Verständnis von Datenschutz entwickeln, wenn sie sich mit der Umsetzung beschäftigen. Sie wissen einfach nicht, was genau sie nicht oder noch nicht wissen. Das Rahmenwerk ist eine empfehlenswerte Checkliste, mit der sich beginnen lässt. Eine Art „Easy Button“. Kombiniert mit einem soliden Sicherheitsprogramm ist es ein guter Anfang für den Schutz der Privatsphäre, ganz egal wo.  

Hier haben wir also ein Hilfsmittel, das seit mindestens einem Jahr im Einsatz ist. Vielleicht sollten sich einige Leute etwas Zeit nehmen und Gedanken darüber machen, was für ein Datenschutzprogramm nötig ist. Es bleibt zu hoffen, dass sich mehr Leute genau darauf konzentrieren, und unsere Daten und 

unser gesamtes digitales Leben sicherer werden.

Datenschutztag – wer oder was ist eigentlich schutzbedürftig? 

Der Europäische Datenschutztag, der seit 2008 auch in den USA und Canada begangen wird, ist wie immer ein Anlass zum Nachdenken. Ein ganzer Tag, an dem wir uns darauf konzentrieren, den Datenschutz zu verbessern. Die Daten selbst brauchen allerdings keine Privatsphäre – es ist die Privatsphäre einer Person, die schützenswert ist. Sollten wir diesen Tag dementsprechend umbenennen? Menschen brauchen ihre Privatsphäre, um all das zu schützen, was ihnen wichtig ist: ihre Identität, ihr Leben, ihre Informationen. Das ist es, was Datenschutz im Kern ausmacht - aber wie passt das zum Data Privacy Day?

Dieses Jahr gibt es in Sachen Datenschutz (wie auch immer er richtig oder falsch verstanden wird) drei wichtige Dinge zu beachten: den Brexit, Datenschutzverletzungen und das NIST Privacy Framework Version 1.0. In derselben Reihenfolge: Unsicherheit, Befürchtungen und Hoffnung auf Veränderung.  Eine nicht ganz uninteressante Wendung zu Beginn dieses neuen Jahres. Und dennoch wird das Jahr 2021 genau so in Erinnerung bleiben.

Der Brexit hinterlässt ein Dilemma: Wie wird die EU-Datenschutz-Grundverordnung (DSGVO oder General Data Protection Regulation/GDPR) mit einem Land umgehen, das die EU verlassen hat? Nicht wenige sehen hier ein Problem. Etliche Datenschutzexperten stellen sich die nicht unberechtigte Frage, ob nun für die EU die gleichen Regeln gelten wie für andere ausländische Nationen, etwa die USA. Hier haben wir das Vereinigte Königreich, eine Nation, welche die EU verlässt, aber den gleichen  Datenschutzgesetzen unterliegt. In diesem Jahr werden wir sehen wie Europa mit einer Nation umgeht, die Teil der Europäischen Union war – und es nicht mehr ist. Dies wird den Weg für zukünftige Verträge ebnen, welche die Privatsphäre aller Menschen ausreichend schützen. Das zumindest hoffen viele von uns. Trotzdem bleibt ein Gefühl der Unsicherheit.

Die Zahl der schwerwiegenden Datenschutzverletzungen im Jahr 2020 war erschreckend. Aber war das vielleicht nur die Spitze des Eisbergs? Wieviele wurden tatsächlich aufgedeckt und wieviele nicht? Trotz der gravierenden gesellschaftlichen Veränderungen im letzten Jahr, fehlt es bei vielen Unternehmen immer noch an den Grundlagen: dem Schutz von priviligierten Konten (Privileged Account Management) oder dem Grundsatz der minimalen Rechtevergabe (Least Privilege Management) – anders ausgedrückt, eine Datenschutzverletzung ist nur möglich, wo jemand auch auf Daten zugreifen kann. CISOs und CIOs sind beunruhigt über Datenschutzverletzungen, von denen sie vielleicht nichts wissen, schlicht, weil die verantwortlichen Mitarbeiter:innen nicht vor Ort sind – genauso wenig wie der Rest der Belegschaft. In Irland wurde bereits ein neues Gesetz hinsichtlich Remote Working verabschiedet. Aber etliche Unternehmen haben noch deutlichen Nachholbedarf, und das Wissen darum, verunsichert die Branche.

Fazit

Aber die Hoffnung stirbt zuletzt. Eines der Probleme mit Datenschutzprogrammen ist, ganz im sokratischen Sinne, dass man nicht weiß, was man nicht weiß – bis man es tut. Das NIST Privacy Framework Version 1.0 ist ein Anfang. Unternehmen können einfach anfangen die wirklich hilfreiche Checkliste durchzugehen, um ein praktikables, ehrliches Datenschutzprogramm auf die Beine zu stellen. Ich bin die Liste selbst schon mit einigen durchgegangen, und kann bestätigen, dass sie wirklich leicht verständlich ist. Und sie regt dazu an, in die richtige Richtung zu denken. Das lässt hoffen.

Wir beginnen das neue Jahr also in der Hoffnung, dass all den Unternehmen, die Argumente ausgehen, die behaupten nicht genügend Budget für ein Datenschutzprogramm zu haben oder die Tatsache ignorieren, dass eine Strafverfolgung nicht nur schlecht für die Optik ist. 

Für ein Datenschutzprogramm muss man sich Zeit nehmen. Trotzdem muss man nicht sofort einen externen Experten beauftragen. Fangen Sie intern an, auch damit werden Sie bereits Fortschritte erzielen.  

Konzentrieren wir uns auf diese nicht unbegründete Hoffnung und den Schutz von Menschen und ihren persönlichen Daten. 

Robert Meyers, Compliance- und Datenschutzexperte
Robert Meyers
Compliance- und Datenschutzexperte, One Identity
Robert Meyers ist  Compliance- und Datenschutzprofi und Channel Program Solutions Architect bei One Identity. Seit 30 Jahren beschäftigt er sich mit Identity und Access Management sowie Informationssicherheit. Seit mehr als 10 Jahren konzentriert er sich auf die Planung, Unterstützung und Verwaltung von Datenschutzprogrammen wie FERPA, HIPAA, GDPR und CCPA. Er führte federführend fast hundert Fusionen und Übernahmen durch. Robert spricht regelmäßig bei Veranstaltungen über Datenschutzthemen. Zu seinen umfangreichen Zertifizierungen gehören IAPP Fellow of Information Privacy, CIPP / E, CIPT und ISACA CISM.

Artikel zu diesem Thema

Sicherheit
Jan 29, 2021

Ohne Vertrauen, kein Unternehmenswachstum

Der jährlich am 28. Januar stattfindende Data Privacy Day (Europäischer Datenschutztag)…
Data Privacy Day
Jan 28, 2021

Data Privacy Day: Kontrolle über Daten zurückgewinnen

Jedes Jahr am 28. Januar findet der Europäische Datenschutztag statt. Dieser Aktions- und…

Weitere Artikel

Laptop

Ein Jahr nach „Schrems II-Urteil": Rechtslage weiterhin unklar

Es ist ein Jahr her, dass der EuGH (Europäischer Gerichtshof) das „Schrems II-Urteil" erlassen hat, mit dem das Privacy-Shield-Abkommen gekippt wurde. Das Privacy-Shield-Abkommen legitimierte den Transfer personenbezogener Daten zwischen der EU und den USA in…
Datenschutz

Datenschutz versus Innovation?

Jürgen Litz, Geschäftsführer der cobra – computer’s brainware GmbH sowie der cobra computer's brainware AG in Tägerwilen, Schweiz, äußert sich als Experte für DSGVO-konformes Arbeiten über den anhaltenden Diskurs zwischen Datenschützern und Unternehmen.
Cloud Computing

Eine Frage der Prioritäten: Datenschutz in Cloud-Umgebungen

In Folge der Pandemiebestimmungen scheint sich der Homeoffice-Betrieb zu einer festen organisatorischen Säule in Unternehmen zu etablieren.
Datensicherheit

Immer mehr Meetings: Deshalb ist Datensicherheit wichtig

Zoom, Teams, Skype und Co. – Videokonferenzen sind spätestens seit 2020 integraler Bestandteil des Berufsalltags geworden. Doch bereits vor Ausbruch der Pandemie waren virtuelle Meetings beliebt.
EMail

BIMI-Standard: Entrust kündigt Verfügbarkeit von Verified Mark-Zertifikaten an

Entrust, Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz, gibt die allgemeine Verfügbarkeit seiner Verified Mark Zertifikate (VMCs) zur Unterstützung des „Brand Indicators for Message Identification (BIMI)“-Standards für starke…

Privacy by Design einmal ganz konkret

Die DSGVO schreibt Privacy by Design für die Software-Entwicklung vor. Sie ist jedoch bei der Konkretisierung dessen, was Privacy by Design denn nun genau bedeutet, sehr vage.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.