Datenschutz ist eine Form der Datensicherheit, bei der es darum geht, sicherzustellen, dass Daten nur von autorisierten Personen und für den vorgesehenen Zweck verwendet werden.
Unsere Fähigkeit, Daten zu erstellen, zu erfassen, auszutauschen und zu analysieren, wächst exponentiell. Man geht heute davon aus, dass die Menschheit jeden Tag Daten im Umfang von bis zu 2,5 Trillionen Bytes produziert. Und in jeder Minute werden riesige Mengen dieser Daten von Unternehmen zusammengetragen, die daraus Einblicke in Trends, Chancen und die Denkweise ihrer Kunden gewinnen.
Allerdings wird bei der Datenerfassung oft ein „weites Netz“ ausgeworfen, sodass neben den öffentlich zugänglichen Daten auch sensible private Informationen über Benutzer illegal eingefangen werden, was sowohl für Verbraucher als auch für Unternehmen zu Problemen führt. Gleichzeitig können selbst personenbezogene Daten, die von Kunden bereitwillig weitergegeben werden, große Probleme verursachen, wenn sie nicht gegen unbefugten Zugriff gesichert sind. Das Thema Datenschutz ist deshalb für alle Märkte und Branchen relevant.
Dank der Verbesserungen bei Umfang und Effektivität der Datendigitalisierung ist es für Unternehmen aller Art ein Leichtes, auf Grundlage der erfassten Daten Personenprofile zu erstellen. Und das geht über solche grundlegenden Informationen wie Name, Alter und Adresse hinaus. Heutzutage sind fast alle Formen von personenbezogenen Daten digital verfügbar: von den scheinbar harmlosen (wie Interessen und Hobbys, Kaufpräferenzen, Beziehungen usw.) bis hin zu den äußerst privaten (wie Sozialversicherungsnummern, Kreditinformationen, Gesundheitsdaten, Standort, Bewegungsdaten usw.).
In zahlreichen Fällen werden die Daten, die wir wissentlich oder unwissentlich online preisgeben, von Maschinen verwendet, um ihre Intelligenz zu steigern. Das Welpenfoto, das wir in den sozialen Medien posten, hilft semi-intelligenten Algorithmen dabei, einen Welpen zu erkennen, wenn sie einen sehen. Die Suchanfragen, die wir online durchführen, lehren Maschinen, die menschliche Sprache besser zu verstehen und zu reproduzieren.
Unabhängig davon, wie die Daten genutzt werden, ist allein die Tatsache, dass sie existieren und für unbekannte Benutzer zugänglich sind, ein Grund zur Sorge. Kunden (ganz zu schweigen von Gesetzgebern) auf der ganzen Welt verlangen mehr und mehr, dass Unternehmen den ursprünglichen Dateneigentümern das letzte Wort darüber geben, wie ihre Daten erfasst und genutzt werden.
Unternehmen, die strenge Datenschutzrichtlinien entwickeln und umsetzen, sind daher eher in der Lage, Vertrauen bei ihren Kunden aufzubauen. Gleichzeitig eliminieren sie die rechtlichen Risiken, die mit der Verletzung neuer und kommender Datenschutzgesetze, -standards und -vorschriften einhergehen. Die kürzlich von der FTC verhängte Geldstrafe in Höhe von fünf Milliarden US-Dollar gegen Facebook ist ein Beispiel dafür, wie hoch die Strafen für Verstöße gegen diese Gesetze sein können.
Die gegen Facebook verhängte Strafe in Höhe von fünf Milliarden US-Dollar ist die höchste, die jemals gegen ein Unternehmen wegen Verstößen gegen den Datenschutz verhängt wurde. Aber es wird mit Sicherheit nicht die letzte dieser Art sein. Staatliche Aufsichtsbehörden in den USA, der EU, in Südamerika und im Rest der Welt gehen entschieden gegen die unerlaubte Erfassung und Nutzung von Daten vor. Unternehmen, die es versäumen, ihre Datenschutzrichtlinien zu aktualisieren, laufen Gefahr, mehr als nur das Vertrauen ihrer Kunden zu verlieren.
Auf der anderen Seite profitieren Unternehmen gleich in mehrfacher Weise, wenn sie ihre Konzepte für Datenschutz aktiv weiterentwickeln und integrierte und automatisierte Echtzeittechnologien einsetzen, um sicherzustellen, dass die Daten auf ethische und legale Weise verwendet werden, ohne die Rechte der Dateneigentümer zu verletzen.
Zu den Vorteilen gehören:
Wie bereits erwähnt, ist einer der wichtigsten geschäftlichen Vorteile von Datenschutz die Vermeidung von Strafen und Bußgeldern. Strafen für die Nichteinhaltung von Datenschutzgesetzen werden immer höher, ganz zu schweigen von den Entschädigungszahlungen an die betroffenen Kunden, wenn ihre sensiblen Daten unrechtmäßig an die Öffentlichkeit gelangen.
Darüber hinaus nehmen staatliche Stellen ihren Auftrag, Benutzerdaten zu schützen, sehr ernst. Sie erlassen neue Gesetze und verstärken ihre Kontrolltätigkeit, um sicherzustellen, dass Unternehmen die Daten ihrer Kunden nicht gefährden. Unternehmen, die angemessene Datenschutzrichtlinien entwickeln und umsetzen, müssen sich keine Sorgen machen, dass sie strafrechtlich belangt würden.
Die Beziehung zwischen Verbrauchern und Unternehmen geht weit über Kauftransaktionen hinaus. Wenn sich ein Kunde für eine Geschäftsbeziehung mit einem Unternehmen entscheidet, vertraut er diesem Unternehmen, dass es alle personenbezogenen Daten, die in diesem Prozess ausgetauscht werden, respektiert und schützt. Und wenn dieses Vertrauen missbraucht wird, lässt es sich nur schwer zurückgewinnen.
Ruf und Marke nehmen durch Datenschutzverletzungen schweren Schaden. Die Kunden von heute haben so viele Möglichkeiten, und in vielen Fällen reicht ein einziger Fehler in Bezug auf die Datensicherheit aus, um sie in die Arme der Konkurrenz zu treiben. Umgekehrt können Unternehmen, die sich klar zum Datenschutz bekennen, ihren Kunden die uneingeschränkte Kontrolle darüber geben, wie ihre Daten erfasst und verwendet werden. Der transparente Umgang mit ihren Daten stärkt die Kundenloyalität. Das wiederum bedeutet einen verbesserten Markenwert und einen höheren Customer Lifetime Value.
Datenschutzmanagement zwingt Unternehmen dazu, sich ihre Daten und deren Wechselwirkungen im gesamten Unternehmen genauer anzusehen. Angefangen mit einer detaillierten Prüfung (die fortlaufend und regelmäßig durchgeführt wird), um festzustellen, wie Daten erfasst und verwendet werden, können Unternehmen Ineffizienzen bei der Datenverwaltung leicht erkennen und beheben. So entsteht eine datenorientierte Unternehmenskultur, und die Geschäftsprozesse werden optimiert, wovon jede Abteilung auf jeder Ebene profitiert.
Datenschutzinitiativen können Unternehmen auch dazu veranlassen, ihre Datenplattformen zu konsolidieren und alle relevanten Daten und Tools für die Datenverwaltung an einem einzigen, zentralen Ort zusammenzuführen. Das verringert die Gefahren, die mit isolierten Daten verbunden sind. Außerdem lassen sich die Daten besser analysieren, die Datenintegrität wird erhöht, und Geschäftsentscheidungen gewinnen an Tiefe.
Um ihren Kunden einen besseren Service zu bieten, Rufschädigung zu vermeiden und die Compliance mit neuen und bestehenden Gesetzen sicherzustellen, setzen viele Softwareentwickler mittlerweile auf Privacy by design (PbD), also integrierten Datenschutz durch die technische Gestaltung.
PbD ist ein neuer, durchdachterer Ansatz für Datenschutz. Er hält Systemtechniker an, Datenschutzprüfungen und -lösungen in alle Produkte, Services, Infrastrukturen und Geschäftspraktiken einzubeziehen. Diese Überlegungen sollten bereits in den frühesten Phasen der Entwicklung stattfinden und während der gesamten Produktion sowie bei der Einführung und beim Support nach der Einführung im Mittelpunkt stehen.
PbD gewährleistet, dass Datenschutz während des gesamten Lebenszyklus der Entwicklung an erster Stelle steht und nicht erst als nachträglicher Gedanke unmittelbar vor der Einführung Berücksichtigung findet.
Leider ist effektiver Datenschutz nicht so einfach wie die Entscheidung, verantwortungsvoll mit Kundendaten umzugehen. Moderne Unternehmen sind mit einer Reihe von Fallstricken konfrontiert, die überwunden oder vermieden werden müssen, damit Datenschutz gelingt:
Dank der Fortschritte auf dem Gebiet der künstlichen Intelligenz (KI) können Unternehmen große Mengen von Benutzerdaten einfacher und genauer analysieren. Aber mit diesen neuen Fähigkeiten gehen bestimmte ethische Fragen einher, die geklärt werden müssen: Wie weit darf die Datenanalyse gehen? KI ist in der Lage, extrem persönliche, wertvolle und sensible Informationen aus ansonsten harmlosen Daten zu extrahieren. Unternehmen müssen sich über die Folgen der Erfassung dieser Art von Daten im Klaren sein, bevor sie einen solchen Ansatz verfolgen.
Ein großer Teil der Verantwortung für Datenschutz liegt bei den Mitarbeitern, die mit den Daten arbeiten. Unzureichend geschulte Mitarbeiter können Daten leicht falsch ablegen, preisgeben oder missbrauchen, wodurch Kunden gefährdet werden und Unternehmen möglichen Sanktionen ausgesetzt sind. Ebenso können unzuverlässige Mitarbeiter aktiv versuchen, sensible Daten zu stehlen. Alle Mitarbeiter sollten vollständig überprüft werden, bevor sie Zugang zu Kundendaten erhalten, und alle Mitarbeiter sollten in den relevanten Datenschutzrichtlinien und -standards geschult werden.
Viele Unternehmen konzentrieren sich auf die Erfassung und Analyse von Daten, werden dann aber ihrer Verantwortung für diese Daten überhaupt nicht mehr gerecht, sobald die Geschäftsbeziehung endet. Personenbezogene Daten dürfen nur in Übereinstimmung mit festgelegten Standards aufbewahrt werden, und zwar nur so lange, wie der Kunde (oder Mitarbeiter) mit dem Unternehmen in Verbindung steht. Wenn Sie personenbezogene Daten länger als nötig aufbewahren, kann das Bußgelder und Strafen nach sich ziehen und potenzielle Datenschutzverletzungen noch verschlimmern.
Im Web und in der Cloud gehostete Software kann ungesicherten Zugriff auf die Daten eines ahnungslosen Unternehmens ermöglichen. Datensicherheit erfordert, dass jede neue Anwendung umfassend geprüft und als sicher eingestuft wird, bevor sie für die Nutzung im Unternehmen bereitgestellt wird.
Datenschutz ist wichtig, aber wenn eine Datenbedrohung die Sicherheitsmaßnahmen umgeht oder ein Ereignis die Datenintegrität bedroht, brauchen Unternehmen einen effektiven Plan zur Reaktion auf solche Incidents. Die Erstellung, Weitergabe und Verbesserung eines Plans, der bei den ersten Anzeichen einer Datenschutzverletzung in die Tat umgesetzt werden kann, sowie entsprechende Schulungen tragen dazu bei, den potenziellen Schaden zu begrenzen.
Neue Gesetze schreiben vor, dass Kunden Unternehmen ausdrücklich die Einwilligung zur Nutzung ihrer Daten erteilen müssen. Der Schwerpunkt liegt dabei auf der Freiheit zu entscheiden, welche Art von Daten weitergegeben werden. Unternehmen, die ihre Datenerfassung nur so weit beschränken, wie es für die Transaktion unbedingt erforderlich ist, laufen Gefahr, mit dem Gesetz in Konflikt zu kommen.
Die Zeiten, in denen skrupellose Unternehmen ihre wahren Absichten hinter juristischen Formulierungen und komplizierten Richtlinienvereinbarungen verbergen konnten, sind vorbei. Heute müssen die Datenschutzbestimmungen so formuliert sein, dass jeder Kunde oder andere Stakeholder sie leicht verstehen kann. Wenn der Benutzer nachweisen kann, dass unklar war, wozu er seine Einwilligung erteilt hat, liegt die Verantwortung beim Unternehmen.
Wenn Kunden Onlineformulare abbrechen, die personenbezogene Daten enthalten, besteht die Möglichkeit, dass andere Benutzer Zugriff auf diese Daten erhalten.
possibility of other users gaining access to that data. Die Sicherheitsfunktionen zum Ablauf von Sitzungen sind so konzipiert, dass sie den Zugriff auf sensible Formulare und andere Informationen unterbinden, wenn der Benutzer eine bestimmte Aktion auf der Website nicht innerhalb einer bestimmten Zeitspanne durchgeführt hat.
designed to cut access to sensitive forms and other information if the user has not taken a
specific action on the site within an allotted time. Wenn Sie diese Sicherheitsvorkehrungen in alle Anwendungen und Computersysteme einbauen, können Sie Ihre Daten noch besser vor Angriffen schützen.
applications and computer systems can further secure data from exposure.
Wir neigen dazu zu denken, dass digitale Daten direkt von Punkt A nach Punkt B übertragen werden. Aber während der Übertragung können diese Daten einen unerwarteten Zwischenstopp einlegen, wodurch sensible Informationen möglicherweise unbefugten Benutzern zugänglich gemacht werden.
transit, that data may make an unexpected layover, potentially exposing sensitive information
to unauthorized users. Ungesicherte Kanäle sind ein großes Datenschutzproblem. Unternehmen sollten daher ausschließlich sichere Kanäle (wie SFTP oder TLS) verwenden.
should only use secure channels (such as SFTP or TLS).
Datenschutz ist in der heutigen Geschäftswelt zweifellos ein wichtiges Thema. Aber wie können Unternehmen die Herausforderungen meistern und eine Datenschutzkultur schaffen?
organizations overcome the challenges and create a culture of data privacy? Im Folgenden stellen wir einige Best Practices vor, die Unternehmen den Einstieg erleichtern:
several best practices to help businesses get started:
Das Datenschutzproblem liegt in der Verantwortung des ganzen Unternehmens und sollte nicht auf die IT-Abteilung beschränkt sein. Verfolgen Sie einen ganzheitlichen Ansatz, und beziehen Sie alle Bereiche des Unternehmens in die Festlegung und Umsetzung von Datenschutzrichtlinien ein.
Wirksames Datenschutzmanagement hängt davon ab, dass Unternehmen eine klare Vorstellung davon haben, wo sich die Daten befinden, was sie beinhalten, wer Zugriff darauf hat und wie aktuell sie sind. Durch ein Daten-Mapping entsteht ein detailliertes Bild der aktuellen Datensituation eines Unternehmens.
Brauchbare Richtlinien, Bestimmungen und Bedingungen zu haben, ist nur die halbe Miete. Ein Unternehmen, das sich nicht an diese Richtlinien hält, seine Versprechen nicht einhält und seinen Verpflichtungen nicht nachkommt, kann rechtlich haftbar gemacht werden und seine Kunden enttäuschen.
Die Datenerfassung ist kein statischer Prozess. Die Art der Daten, die Unternehmen für relevant und nützlich halten, kann sich von Quartal zu Quartal oder sogar noch häufiger ändern. Das heißt, wenn ein solches Unternehmen beschließt, seine Verfahren zur Datenerfassung und -nutzung zu aktualisieren, muss es auch seine Richtlinien aktualisieren, um diesen Änderungen Rechnung zu tragen.
Kein Unternehmen steht für sich allein. Unter Umständen müssen Lieferanten und Auftragnehmer auf sensible Kundendaten zugreifen. Daher ist es wichtig, dass Unternehmen diese Partner umfassend prüfen, um dafür Sorge zu tragen, dass sie zuverlässige Sicherheitsverfahren implementiert haben. Andernfalls werden Drittparteien zu Schwachstellen, über die Datenlecks entstehen können.
Von Jahr zu Jahr gehen Regierungen entschiedener gegen Datenschutzverletzungen vor. Im Folgenden finden Sie eine Liste der jüngsten Gesetze zur Stärkung der Datenschutz in verschiedenen Bereichen rund um den Globus:
Europäische Union: Sichert EU-Bürgern mehr Kontrolle über ihre personenbezogenen Daten, vereinfacht und etabliert Datenvorschriften für Unternehmen und regelt die Erfassung und Übertragung personenbezogener Daten in Gebiete außerhalb der EU und des EWR.
Kalifornien: Verbessert die Datenschutzrechte und den Verbraucherschutz für kalifornische Bürger und regelt, wie Unternehmen mit personenbezogenen Daten umgehen und diese nutzen dürfen.
Kalifornien: Erweitert den CCPA, indem die Datenrechte der Einwohner Kaliforniens gestärkt werden, strengere Unternehmensvorschriften eingeführt werden und die Zustimmungspflicht auf weitere Szenarien ausgedehnt wird.
Virginia: Gibt den Bürgern von Virginia mehr Kontrolle über ihre personenbezogenen Daten und ermöglicht ihnen, auf die von Unternehmen erfassten personenbezogenen Daten zuzugreifen, sie zu ändern und zu löschen. Legt außerdem Standards und Vorschriften für die Datenerfassung für Unternehmen jeder Größe fest.
Brasilien: Enthält ähnliche Bestimmungen und Vorschriften wie die DSGVO der EU. Außerdem wird festgelegt, dass brasilianische Unternehmen Datenschutzbeauftragte ernennen müssen, um sicherzustellen, dass die Richtlinien korrekt befolgt werden.
Mit Governance, Risk, and Compliance stellt ServiceNow Ihnen eine Lösung für Datenschutzmanagement bereit. Unterstützen Sie Privacy by Design, und nutzen Sie Privacy Management, um in Echtzeit die Übersicht über Risiken und Compliance zu behalten und Vertrauen aufzubauen.