Anzeige

Datenschutz

Leider wissen heutzutage immer noch nicht genug Menschen wie ihre persönlichen Daten verwendet, gesammelt, weitergegeben, usw. werden. Das ist einigermaßen erschreckend. Jetzt ist die Welt eine einzige globale, digitale Gesellschaft.

Der Data Privacy Day oder Datenschutztag ist gedacht, sich mit dem Thema Datenschutz auseinanderzusetzen. Das gilt für jeden Einzelnen und gleichermaßen für Unternehmen, Firmen und Nationen, denn nur wenige sind sich der Tragweite des Themas wirklich bewusst.

Unternehmen und Regierungsverantwortliche weltweit versuchen, das komplexe Thema Datenschutz ausreichend zu durchdringen. Wenn es um Privatsphäre geht, gibt es kein „one-size-fits-all“  - zumindest nicht was die Gesetzeslage betrifft. In der Praxis gehen verschiedene Staaten,  Ländern und Provinzen anders mit dem Datenschutz um. 

NIST 1.0 – Datenschutz in der Praxis 

In diesem Monat feiert das NIST-Datenschutz-Framework Version 1.0 seinen ersten Geburtstag, eine Checkliste und Praxishandbuch für Unternehmen und Regierungsbehörden. Das Rahmenwerk hilft dabei, Aktivitäten zu qualifizieren und zu quantifizieren sowie Vorfallsreaktionen und Risiken zu katalogisieren. Damit haben Organisationen einen Leitfaden an der Hand, der ihnen hilft, Fragen bei internen und externen Audits zu beantworten und Glaubwürdigkeit bei Kunden und Mitarbeitern aufzubauen. Der Prozess ist viel weniger kompliziert als oft angenommen. Das von der NIST veröffentlichte Framework unterstützt Unternehmen dabei, ein umfassendes Datenschutzprogramm zu entwickeln. Es ist kein Allheilmittel, das alle Datenschutzherausforderungen aus der Welt schafft, aber zumindest ist es ein Schritt in die richtige Richtung. 

Das Gute daran: dieses Framework erlaubt es Firmen und Organisationen weltweit mit einem Datenschutzprogramm zu beginnen. Wieso? Es ist nicht neu, dass Unternehmen und Organisationen erst dann ein wahres Verständnis von Datenschutz entwickeln, wenn sie sich mit der Umsetzung beschäftigen. Sie wissen einfach nicht, was genau sie nicht oder noch nicht wissen. Das Rahmenwerk ist eine empfehlenswerte Checkliste, mit der sich beginnen lässt. Eine Art „Easy Button“. Kombiniert mit einem soliden Sicherheitsprogramm ist es ein guter Anfang für den Schutz der Privatsphäre, ganz egal wo.  

Hier haben wir also ein Hilfsmittel, das seit mindestens einem Jahr im Einsatz ist. Vielleicht sollten sich einige Leute etwas Zeit nehmen und Gedanken darüber machen, was für ein Datenschutzprogramm nötig ist. Es bleibt zu hoffen, dass sich mehr Leute genau darauf konzentrieren, und unsere Daten und 

unser gesamtes digitales Leben sicherer werden.

Datenschutztag – wer oder was ist eigentlich schutzbedürftig? 

Der Europäische Datenschutztag, der seit 2008 auch in den USA und Canada begangen wird, ist wie immer ein Anlass zum Nachdenken. Ein ganzer Tag, an dem wir uns darauf konzentrieren, den Datenschutz zu verbessern. Die Daten selbst brauchen allerdings keine Privatsphäre – es ist die Privatsphäre einer Person, die schützenswert ist. Sollten wir diesen Tag dementsprechend umbenennen? Menschen brauchen ihre Privatsphäre, um all das zu schützen, was ihnen wichtig ist: ihre Identität, ihr Leben, ihre Informationen. Das ist es, was Datenschutz im Kern ausmacht - aber wie passt das zum Data Privacy Day?

Dieses Jahr gibt es in Sachen Datenschutz (wie auch immer er richtig oder falsch verstanden wird) drei wichtige Dinge zu beachten: den Brexit, Datenschutzverletzungen und das NIST Privacy Framework Version 1.0. In derselben Reihenfolge: Unsicherheit, Befürchtungen und Hoffnung auf Veränderung.  Eine nicht ganz uninteressante Wendung zu Beginn dieses neuen Jahres. Und dennoch wird das Jahr 2021 genau so in Erinnerung bleiben.

Der Brexit hinterlässt ein Dilemma: Wie wird die EU-Datenschutz-Grundverordnung (DSGVO oder General Data Protection Regulation/GDPR) mit einem Land umgehen, das die EU verlassen hat? Nicht wenige sehen hier ein Problem. Etliche Datenschutzexperten stellen sich die nicht unberechtigte Frage, ob nun für die EU die gleichen Regeln gelten wie für andere ausländische Nationen, etwa die USA. Hier haben wir das Vereinigte Königreich, eine Nation, welche die EU verlässt, aber den gleichen  Datenschutzgesetzen unterliegt. In diesem Jahr werden wir sehen wie Europa mit einer Nation umgeht, die Teil der Europäischen Union war – und es nicht mehr ist. Dies wird den Weg für zukünftige Verträge ebnen, welche die Privatsphäre aller Menschen ausreichend schützen. Das zumindest hoffen viele von uns. Trotzdem bleibt ein Gefühl der Unsicherheit.

Die Zahl der schwerwiegenden Datenschutzverletzungen im Jahr 2020 war erschreckend. Aber war das vielleicht nur die Spitze des Eisbergs? Wieviele wurden tatsächlich aufgedeckt und wieviele nicht? Trotz der gravierenden gesellschaftlichen Veränderungen im letzten Jahr, fehlt es bei vielen Unternehmen immer noch an den Grundlagen: dem Schutz von priviligierten Konten (Privileged Account Management) oder dem Grundsatz der minimalen Rechtevergabe (Least Privilege Management) – anders ausgedrückt, eine Datenschutzverletzung ist nur möglich, wo jemand auch auf Daten zugreifen kann. CISOs und CIOs sind beunruhigt über Datenschutzverletzungen, von denen sie vielleicht nichts wissen, schlicht, weil die verantwortlichen Mitarbeiter:innen nicht vor Ort sind – genauso wenig wie der Rest der Belegschaft. In Irland wurde bereits ein neues Gesetz hinsichtlich Remote Working verabschiedet. Aber etliche Unternehmen haben noch deutlichen Nachholbedarf, und das Wissen darum, verunsichert die Branche.

Fazit

Aber die Hoffnung stirbt zuletzt. Eines der Probleme mit Datenschutzprogrammen ist, ganz im sokratischen Sinne, dass man nicht weiß, was man nicht weiß – bis man es tut. Das NIST Privacy Framework Version 1.0 ist ein Anfang. Unternehmen können einfach anfangen die wirklich hilfreiche Checkliste durchzugehen, um ein praktikables, ehrliches Datenschutzprogramm auf die Beine zu stellen. Ich bin die Liste selbst schon mit einigen durchgegangen, und kann bestätigen, dass sie wirklich leicht verständlich ist. Und sie regt dazu an, in die richtige Richtung zu denken. Das lässt hoffen.

Wir beginnen das neue Jahr also in der Hoffnung, dass all den Unternehmen, die Argumente ausgehen, die behaupten nicht genügend Budget für ein Datenschutzprogramm zu haben oder die Tatsache ignorieren, dass eine Strafverfolgung nicht nur schlecht für die Optik ist. 

Für ein Datenschutzprogramm muss man sich Zeit nehmen. Trotzdem muss man nicht sofort einen externen Experten beauftragen. Fangen Sie intern an, auch damit werden Sie bereits Fortschritte erzielen.  

Konzentrieren wir uns auf diese nicht unbegründete Hoffnung und den Schutz von Menschen und ihren persönlichen Daten. 

Robert Meyers, Compliance- und Datenschutzexperte
Robert Meyers
Compliance- und Datenschutzexperte, One Identity
Robert Meyers ist  Compliance- und Datenschutzprofi und Channel Program Solutions Architect bei One Identity. Seit 30 Jahren beschäftigt er sich mit Identity und Access Management sowie Informationssicherheit. Seit mehr als 10 Jahren konzentriert er sich auf die Planung, Unterstützung und Verwaltung von Datenschutzprogrammen wie FERPA, HIPAA, GDPR und CCPA. Er führte federführend fast hundert Fusionen und Übernahmen durch. Robert spricht regelmäßig bei Veranstaltungen über Datenschutzthemen. Zu seinen umfangreichen Zertifizierungen gehören IAPP Fellow of Information Privacy, CIPP / E, CIPT und ISACA CISM.

Artikel zu diesem Thema

Sicherheit
Jan 29, 2021

Ohne Vertrauen, kein Unternehmenswachstum

Der jährlich am 28. Januar stattfindende Data Privacy Day (Europäischer Datenschutztag)…
Data Privacy Day
Jan 28, 2021

Data Privacy Day: Kontrolle über Daten zurückgewinnen

Jedes Jahr am 28. Januar findet der Europäische Datenschutztag statt. Dieser Aktions- und…

Weitere Artikel

DSGVO

Achillesferse DSGVO: Wenn die Auskunftspflicht zum Fallstrick wird

Am 27.04.2021 hat das Bundesarbeitsgericht (BAG) ein Urteil darüber gefällt, wie weit die Auskunftspflicht des Arbeitgebers gemäß Artikel 15 reicht. Ein gekündigter Mitarbeiter hatte gefordert, dass ihm alle über ihn gespeicherten Daten sowie Kopien des…
world password day

Wie sicher ist mein Passwort? Better safe than sorry!

Der 6. Mai steht im Zeichen des Passworts. Auch 2021 macht der erste Donnerstag im Mai weltweit auf das Thema Passwort-Sicherheit aufmerksam. Relevanter geht es kaum in der zunehmend digitalen Welt: Durch die Rahmenbedingungen der COVID-19-Pandemie greifen…
digitale Souveränität

Privacy by Design ist die Voraussetzung für digitale Souveränität

Privacy by Design ist im Rahmen der DSGVO-Einführung heiß diskutiert worden. Mittlerweile ist es jedoch erstaunlich ruhig darum geworden. Dabei ist der Gedanke, den Datenschutz von vornherein in der Technikgestaltung zu verankern, ebenso sinnvoll wie…
ePrivacy-Verordnung

EU-Datenschutz: Ausnahmen in der ePrivacy-Verordnung 2021

Die Entwurfs-Fassung der neuen ePrivacy-Verordnung vom Februar dieses Jahres stößt bei den IT-Sicherheitsexperten der PSW GROUP Consulting auf deutliche Kritik. „Zwar existieren auch im aktuellen Entwurf klare Verbesserungen für den Schutz der Privatsphäre…
Datenschutz

Neue App-Datenschutzrichtlinien bei Apple

Bereits vor einigen Wochen hat Apple Inc. verlautbart, die Datenschutzrichtlinien nun verschärfen zu wollen. Zu diesem Thema liegen Apple und Facebook sich bereits Monaten in den Haaren.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.