Automatisierung von Datenschutzpraktiken

Unternehmen sind heute mehr denn je auf Daten und Technologien angewiesen, wenn es gilt Operationen zu skalieren. Aber angesichts der sich ständig weiterentwickelnden rechtlichen Rahmenbedingungen für den Datenschutz ist es eine ganz eigene Herausforderung, konform zu bleiben.

Es gibt mindestens 80 unterschiedliche Datenschutzgesetze in verschiedenen Ländern, wobei sich einige Rechtsprechungen über Kontinente erstrecken und oft überschneiden. Mit der zunehmenden Globalisierung des Handels geraten wachsende Unternehmen oft in ein Dilemma: Wenn sie wachsen, kämpfen sie zwangsläufig damit, immer mehr Kundendaten zu handhaben und damit, gleichzeitig die Datenschutzbestimmungen in den Ländern, in denen sie operieren, einzuhalten.

Die regelmäßige Überprüfung von Sicherheits- und Compliance-Richtlinien und -Verfahren gehört zum Einmaleins der Cybersicherheit, und Firmen sollten nach innovativen Wegen suchen, um die neuesten Technologien für diesen Zweck zu nutzen. Unternehmen beginnen zu verstehen, wie Automatisierung das Marketing verändert und den Umsatz steigern kann. Es ist also an der Zeit, die Automatisierung auch beim Datenschutz und zur Einhaltung gesetzlicher Vorschriften zu nutzen. Hier diskutieren wir die Herausforderungen im Zusammenhang mit dem Datenschutz im Zeitalter von Big Data und wie Unternehmen Automatisierung nutzen können, um sich besser zu schützen.

Risiken und Vorteile der Datensammlung

Das Sammeln von Kundendaten dient dazu, sehr gezielte, lukrative Marketingkampagnen zu entwerfen, ist aber auch mit großen Risiken verbunden. So ist es zum Beispiel üblich, dass E-Commerce-Websites das Verhalten eines Nutzers auf ihrer Website verfolgen und mit auf den Kunden zugeschnittenen Empfehlungen nachfassen. So lassen sich Benutzerdaten nutzen, um ein Exit-Intent-Popup auszulösen, wenn der Besucher die Seite verlassen will, ohne etwas zu kaufen. Solche Exit Intent Popups steigern den Umsatz um potenziell bis zu 20 % oder mehr, weil sie die Zahl der Warenkorbabbrüche verringern und Firmen helfen, das Nutzerverhalten besser zu verstehen.

Dieser Trend zum Sammeln von Kundendaten ist zwar für das Marketing und den Vertrieb nützlich, stellt jedoch eine mögliche Datenschutzverletzung dar. Von Vertriebsteams bis hin zu Personalabteilungen speichern Unternehmen große Mengen hochsensibler, privater Daten. Sie dienen als Motor für künstliche Intelligenz (KI), die wiederum für Marketing, Personalbeschaffung usw. eingesetzt wird.

Ein weiteres Beispiel ist programmatische Werbung, d. h. die automatisierte Schaltung von Anzeigen. Dies ist eine der gängigsten Methoden, die Online-Firmen heute zur Personalbeschaffung verwenden. Dazu braucht man bestimmte Algorithmen, um personenbezogene Daten präzise und effizient zu erfassen. Algorithmen werden mittlerweile für alles Mögliche eingesetzt, darunter auch zur Persönlichkeitsbeurteilung bei Bewerbern bis hin zur Risikominderung. Damit wächst die Verantwortung für den Datenschutz.

Darüber hinaus hat uns die Pandemie gezeigt, dass starker Datenschutz- und Cybersicherheitsmaßnahmen für Remote-Mitarbeiter zu einer noch größeren Herausforderung geworden sind. Das ist ein mögliches Erklärungsmodell, warum speziell die Kosten für Datencompliance in letzter Zeit aus dem Ruder gelaufen sind.

Ein globaler Standard für den Datenschutz?

Und es gibt noch einen wichtigen Grund, warum die Datenschutzherausforderungen wachsen: Es ist unwahrscheinlich, dass sich die Regierungen der Welt jemals auf einen globalen Datenschutzstandard einigen werden. Ergo, müssen Unternehmen in der Lage sein, unter einer Vielzahl unterschiedlicher Rahmenbedingungen zu arbeiten und sich zügig an veränderte Umstände anpassen zu können.

Die Datenschutz-Grundverordnung (DSGVO) der EU und das California Data Privacy Law gehören weltweit zu den wichtigsten Standards, auf die Bezug genommen wird. Diese Gesetze enthalten eine Vielzahl technischer Informationen und genauer Spezifikationen. Was oftmals fehlt sind umsetzbare Elemente und praktische Anleitungen wie die Vorgaben umgesetzt werden können. Firmen sollten unbedingt bedenken, dass sie sich an die Datenschutzgesetze aller Länder halten müssen, in denen sie operieren, wenn sie einen Blog oder eine Website starten. Und sie sollten den Nutzern offenlegen, wie sie deren Daten gemäß den Vorschriften sammeln und verwenden.

Leider kann diese Maßgabe so aufwändig werden, dass sogar angesehene Zeitungen wie die Los Angeles Times und die Chicago Tribune ihre Inhalte in Europa nicht mehr zur Verfügung stellen, weil sie nicht für die plötzliche Änderung der Vorschriften gerüstet waren. Auch viele andere Unternehmen, vor allem solche aus dem Bereich Online-Videospiele, haben ihre Operationen in Europa aufgrund der DSGVO-Vorschriften eingestellt.

Ohne ein agiles und anpassungsfähiges Datenschutzprogramm werden Unternehmen Schwierigkeiten haben, sich auf die wachsende Zahl von Datenschutzgesetzen und -vorschriften einzustellen. Automatisierte, auf maschinelles Lernen gestützte Geschäftsprozesse und Datenschutzverfahren könnten eine entscheidende Rolle spielen, wenn es darum geht, das Vertrauen der Kunden zu stärken, den Schaden im Falle einer Datenschutzverletzung zu minimieren und internationale Compliance zu gewährleisten.

Automatisierung von Datenschutz und Compliance

Wie sollten Firmen sicherstellen, dass ihre Daten vertraulich und konform bleiben? Das ist eine gewaltige Aufgabe, und es gibt mehrere Möglichkeiten, sie anzugehen.

Datensegmentierung

Zum einen lassen sich automatisierte Algorithmen erstellen, die es ermöglichen, Informationen anhand des rechtmäßigen Besitzes der Daten getrennt und dann anhand der Attribute oder des Inhalts der Daten weiter kategorisiert werden. Diese kann man anschließend noch weiter anhand der möglichen Verwendung der Daten aufschlüsseln oder anhand ihrer Funktion als potenzielles Ziel für Hacker. 

Schutz von Passwörtern

Auch beim Management von Anmeldeinformationen lässt sich Automatisierung nutzen. Schwache Passwörter bilden immer noch eines der größten Risiken für Online-Unternehmen, aber sie gehören auch zu den Risiken, die sich am besten verhindern lassen. 

Mitarbeiter sollten ihre Passwörter regelmäßig ändern. Automatische Erinnerungen und Sperren, wenn sie das nicht tun, würden viele der gängigen Passwort-Schwachstellen verhindern. Eine Zwei- oder Mehrfaktoren-Authentifizierung trägt ebenfalls dazu beit, Hackern den Zugriff auf Unternehmenssysteme und -daten zu verwehren. Eine Managed PKI-Lösung unterstützt IT-Teams, Transparenz und Kontrolle über ihre digitalen Zertifikate zu behalten, und gleichzeitig Serviceunterbrechungen zu vermeiden und Verfügbarkeit zu gewährleisten. 

Management von Drittanbietern

Wenn ein Unternehmen personenbezogene Daten sammelt, ist es dafür verantwortlich, sicherzustellen, dass sie nicht nur innerhalb der eigenen geschäftlichen Operationen respektiert werden, sondern, dass dies auch für die Systeme von Dienstleistern und Partnern gilt. Lieferanten und Drittanbietern sind häufig die Schwachstellen, über die Hacker in ein Unternehmen eindringen. Ohne effiziente Praktiken beim Richtlinien- und Lieferanten-Management entstehen sehr leicht schwerwiegende Sicherheitslücken. Um Kosten zu senken und Datenschutzmaßnahmen effektiver zu gestalten, sollten Unternehmen lernen, eine Ende-zu-Ende-Automatisierung durch strenges Management und Kontrolle der Daten durchzusetzen. Das erreicht man, indem man Verschlüsselung, Datenlöschung und Berechtigungsanfragen automatisiert und höchstmögliche Datenschutzstandards für Mitarbeiter, Kunden und Lieferanten festschreibt.

Fazit

Um aktuelle Probleme zu lösen, wird man High-Tech-Lösungen brauchen. Aber mit dem technologischen Fortschritt wächst auch die Datenschutzgesetzgebung – und sie verändert sich stetig. Nahezu täglich erblicken neue Vorschriften das Licht der Welt, neue Bedrohungen tauchen auf. Angesichts dessen wird eine flexible und automatisierte Lösung für das Daten- und Identitätsmanagement von Unternehmen unerlässlich.

Sam Bocetta, Gastautor für GlobalSign

www.globalsign.com