Veröffentlicht: 19. Dezember 2023
Mitwirkende: Matthew Kosinski, Amber Forrest
Datenschutz, auch „Informationsschutz“ genannt, ist der Grundsatz, dass eine Person die Kontrolle über ihre personenbezogenen Daten haben sollte, einschließlich der Möglichkeit zu entscheiden, wie Unternehmen ihre Daten erheben, speichern und verwenden.
Unternehmen erfassen regelmäßig Benutzerdaten wie E-Mail-Adressen, biometrische Informationen und Kreditkartennummern. Für Unternehmen in dieser Datenwirtschaft bedeutet die Unterstützung des Datenschutzes, dass sie Maßnahmen ergreifen müssen, um die Zustimmung der Benutzer vor der Verarbeitung von Daten einzuholen, Daten vor Missbrauch zu schützen und Benutzern die Möglichkeit zu geben, ihre Daten aktiv zu verwalten.
Viele Organisationen sind aufgrund von Gesetzen wie der Datenschutz-Grundverordnung (DSGVO) gesetzlich verpflichtet, die Datenschutzrechte zu wahren. Selbst wenn es keine formelle Datenschutzgesetzgebung gibt, können Unternehmen von der Einführung von Datenschutzmaßnahmen profitieren. Die gleichen Praktiken und Tools, die die Privatsphäre der Benutzer schützen, können sensible Daten und Systeme vor böswilligen Hackern schützen.
Datenschutz und Datensicherheit sind unterschiedliche, aber verwandte Bereiche. Beides sind Kernbestandteile der umfassenderen Data-Governance-Strategie eines Unternehmens.
Im Mittelpunkt des Datenschutzes stehen die individuellen Rechte der betroffenen Personen, d. h. der Benutzer, die Eigentümer der Daten sind. Für Unternehmen ist die Praxis des Datenschutzes eine Frage der Umsetzung von Richtlinien und Prozessen, die es den Benutzern ermöglichen, ihre Daten in Übereinstimmung mit den einschlägigen Datenschutzbestimmungen zu kontrollieren.
Datensicherheit hingegen konzentriert sich auf den Schutz von Daten vor unbefugtem Zugriff und Missbrauch. Für Unternehmen besteht die Datensicherheit im Wesentlichen darin, Kontrollen einzurichten, um Hacker und Insider Threats daran zu hindern, Daten zu manipulieren.
Datensicherheit verstärkt den Datenschutz, indem sichergestellt wird, dass nur die richtigen Personen aus den richtigen Gründen auf personenbezogene Daten zugreifen können. Der Datenschutz verstärkt die Datensicherheit, indem er für jeden Datensatz die „richtigen Personen“ und „richtigen Gründe“ definiert.
IBM Newsletter abonnieren
In vielen Unternehmen wird der Datenschutz von einem interdisziplinären Team mit Vertretern aus den Bereichen Recht, Compliance, IT und Cybersicherheit überwacht. Diese Teams erstellen Richtlinien für die Datenverwaltung, die regeln, wie ihre Unternehmen personenbezogene Daten unter Berücksichtigung der Datenschutzrechte der Benutzer erfassen, verwenden und schützen. Sie entwerfen außerdem Prozesse, mit denen Benutzer ihre Rechte ausüben können, und implementieren darüber hinaus technische Kontrollen zur Sicherung der Daten.
Unternehmen können eine Vielzahl von Datenschutz-Frameworks als Leitfaden für ihre Datenschutzrichtlinien verwenden, darunter das NIST Privacy Framework1 und die Fair Information Practice Principles.2 Darüber hinaus hängen die Einzelheiten der Data-Governance-Strategie eines Unternehmens stark von den Datenschutzgesetzen ab, die das Unternehmen gegebenenfalls einhalten muss.
Allerdings gibt es einige allgemeine Datenschutzgrundsätze, die in den meisten Frameworks und Vorschriften enthalten sind. Diese Grundsätze bestimmen die Datenschutzrichtlinien, -prozesse und -kontrollen vieler Unternehmen.
Benutzer haben das Recht zu erfahren, über welche Daten ein Unternehmen verfügt. Benutzer sollen bei Bedarf auf ihre personenbezogenen Daten zugreifen können. Sie sollten in der Lage sein, diese Daten nach Bedarf zu aktualisieren oder zu ändern.
Benutzer haben das Recht zu erfahren, wer ihre Daten hat und was damit gemacht wird. Zum Zeitpunkt der Datenerhebung sollten Unternehmen klar kommunizieren, was sie erheben und wie sie diese Daten verwenden wollen. Nach der Datenerhebung sollten Unternehmen die Benutzer über die wichtigsten Details der Datenverarbeitung auf dem Laufenden halten, einschließlich etwaiger Änderungen bei der Datennutzung und etwaigen Dritten, an die die Daten weitergegeben werden.
Intern sollten Unternehmen aktuelle Verzeichnisse aller Daten führen, über die sie verfügen. Daten sollten je nach Art, Sensibilitätsgrad, Compliance-Anforderungen und anderen relevanten Faktoren klassifiziert werden. Auf der Grundlage dieser Klassifizierungen sollten Zugriffskontroll- und Nutzungsrichtlinien durchgesetzt werden.
Unternehmen sollten, wann immer möglich, die Zustimmung des Benutzers zur Speicherung, Erfassung, Weitergabe oder Verarbeitung von Daten einholen. Wenn ein Unternehmen personenbezogene Daten ohne die Zustimmung der betroffenen Person aufbewahrt oder verwendet, sollte es dafür einen triftigen Grund haben, wie z. B. ein öffentliches Interesse oder eine gesetzliche Verpflichtung.
Betroffene Personen sollten die Möglichkeit haben, Bedenken hinsichtlich des Umgangs mit ihren Daten zu äußern oder dagegen Einspruch zu erheben. Sie sollten ihre Einwilligung jederzeit widerrufen können.
Unternehmen sollten sich bemühen, sicherzustellen, dass die von ihnen erhobenen und gespeicherten Daten korrekt sind. Falsche Informationen können zu Datenschutzverletzungen führen. Wenn ein Unternehmen beispielsweise eine alte Adresse gespeichert hat, könnte es versehentlich vertrauliche Dokumente an die falsche Person senden.
Ein Unternehmen sollte für alle Daten, die es erhebt, einen klaren Zweck haben. Es sollte den Benutzern diesen Zweck mitteilen und die Daten nur für diesen Zweck verwenden. Das Unternehmen sollte nur die Mindestmenge an Daten erfassen, die für den angegebenen Zweck erforderlich ist, und die Daten nur so lange aufbewahren, bis dieser Zweck erfüllt ist.
Der Datenschutz sollte der Standardzustand jedes Systems und jedes Prozesses im Unternehmen sein. Alle Produkte, die das Unternehmen entwirft oder implementiert, sollten die Privatsphäre der Benutzer als zentrales Merkmal und Hauptanliegen behandeln. Bei der Datenerhebung und -verarbeitung sollte es sich um ein Opt-in und nicht um ein Opt-out handeln. Die Benutzer sollten bei jedem Schritt die Kontrolle über ihre Daten behalten.
Unternehmen sollten Prozesse und Kontrollen implementieren, um die Vertraulichkeit und Integrität von Benutzerdaten zu schützen.
Auf Prozessebene können Unternehmen Maßnahmen ergreifen, wie z. B. die Schulung von Mitarbeitern zu Compliance-Anforderungen und die ausschließliche Zusammenarbeit mit Anbietern und Dienstleistern, die den Schutz der Daten der Benutzer respektieren.
Auf der Ebene der technischen Kontrollen können Unternehmen eine Reihe von Tools zum Schutz von Daten einsetzen. Lösungen für Identity und Access Management (IAM) können rollenbasierte Zugriffskontrollrichtlinien durchsetzen, sodass nur autorisierte Benutzer auf vertrauliche Daten zugreifen können. Strenge Authentifizierungsmaßnahmen wie Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) können Hacker davon abhalten, die Konten legitimer Benutzer zu kapern.
Tools für Data Loss Prevention können Daten erkennen und klassifizieren, die Nutzung überwachen und Benutzer daran hindern, Daten in unzulässiger Weise zu verändern, weiterzugeben oder zu löschen. Daten-Backup- und Archivierungslösungen können Unternehmen bei der Wiederherstellung verlorener oder beschädigter Daten unterstützen.
Unternehmen können auch Datensicherheitstools verwenden, die speziell für die Einhaltung gesetzlicher Vorschriften entwickelt wurden. Diese Tools umfassen häufig Funktionen wie Verschlüsselung, automatisierte Richtliniendurchsetzung und Audit-Trails zur Verfolgung aller relevanten Datenaktivitäten.
Heutzutage sammelt ein durchschnittliches Unternehmen riesige Mengen an Verbraucherdaten. Man geht davon aus, dass sich dieser Trend in den kommenden Jahren noch verstärken wird. Laut der Umfrage zum Datenschutz 2023 von IDC3 erwarten fast 70 % der Unternehmen, dass die Menge der Daten, die sie verarbeiten, in den nächsten drei Jahren zunehmen wird.
Unternehmen sind dafür verantwortlich, den Schutz dieser Daten zu gewährleisten – nicht aus reiner Nächstenliebe, sondern aus Gründen der Einhaltung von Vorschriften, der Sicherheit und des Wettbewerbsvorteils.
Institutionen wie die Vereinten Nationen4 erkennen den Schutz der Privatsphäre als ein grundlegendes Menschenrecht an, und viele Länder haben Datenschutzbestimmungen erlassen, die dieses Recht gesetzlich verankern. Die meisten dieser Vorschriften sind bei Nichteinhaltung mit harten Strafen verbunden.
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union gilt als eines der umfassendsten Datenschutzgesetze der Welt. Die DSGVO legt strenge Regeln fest, die jedes Unternehmen mit Sitz in oder außerhalb Europas bei der Verarbeitung der Daten von EU-Bürgern einhalten muss. Zuwiderhandlungen können mit einer Geldbuße von bis zu 20 Millionen EUR oder 4 % des weltweiten Umsatzes des Unternehmens belegt werden.
Länder außerhalb der EU haben ähnliche regulatorische Anforderungen, darunter die UK GDPR, Kanadas Personal Information Protection and Electronic Documents Act (PIPEDA) und Indiens Digital Personal Data Protection Act.
In den USA gibt es keine so weitreichenden Datenschutzgesetze auf Bundesebene wie die DSGVO, aber es gibt einige gezieltere Gesetze. Der Children's Online Privacy Protection Act (COPPA) legt Regeln für die Erhebung und Verarbeitung der personenbezogenen Daten von Kindern unter 13 Jahren fest. Der Health Insurance Portability and Accountability Act (HIPAA) regelt, wie Organisationen des Gesundheitswesens und ähnliche Einrichtungen mit persönlichen Gesundheitsdaten umgehen.
Die Strafen nach diesen Gesetzen können beträchtlich sein. Im Jahr 2022 wurde Epic Games beispielsweise wegen COPPA-Verstößen mit einer Rekordstrafe von 275 Millionen USD belegt.5
Die USA haben außerdem bundesstaatliche Datenschutzvorschriften wie den California Consumer Privacy Act (CCPA), der Verbrauchern in Kalifornien mehr Kontrolle darüber gibt, wie und wann ihre Daten verarbeitet werden. Der CCPA ist vielleicht das bekannteste bundesstaatliche Datenschutzgesetz, aber er hat auch andere Gesetze inspiriert, wie den Virginia Consumer Data Protection Act (VCDPA) und den Colorado Privacy Act (CPA).
Heutzutage erheben Unternehmen viele personenbezogene Daten, wie z. B. die Sozialversicherungsnummern und Bankdaten der Benutzer. Diese Daten sind ein Ziel für Hacker, die damit Identitätsdiebstahl begehen, Geld stehlen oder sie im Dark Web verkaufen können.
Darüber hinaus verfügen Unternehmen über ihre eigenen proprietären sensiblen Daten, hinter denen Hacker her sein könnten, wie z. B. geistiges Eigentum oder Finanzdaten.
Laut dem IBM Bericht über die Kosten einer Datenschutzverletzung 2023 kostet eine durchschnittliche Datenschutzverletzung ein Unternehmen 4,45 Millionen USD. Viele Faktoren tragen zur Höhe dieser Kosten bei, darunter entgangene Geschäfte aufgrund von Systemausfällen und die Kosten für die Entdeckung und Behebung der Sicherheitsverletzung.
Viele der gleichen Tools, die den Datenschutz unterstützen, können auch die Gefahr von Sicherheitsverletzungen verringern und den allgemeinen Cybersicherheitsstatus verbessern. So können beispielsweise IAM-Lösungen, die den unbefugten Zugriff verhindern, dazu beitragen, Hacker zu stoppen und gleichzeitig die Datenschutzrichtlinien durchzusetzen. Tools für die Datensicherheit können oft verdächtige Aktivitäten erkennen, die auf einen laufenden Cyberangriff hindeuten, sodass das Incident Response-Team schneller handeln kann.
In ähnlicher Weise können sich Mitarbeiter und Verbraucher gegen einige der schädlichsten Social-Engineering-Angriffe schützen, indem sie Best Practices für den Datenschutz anwenden. Betrüger durchsuchen häufig Social-Media-Apps nach personenbezogenen Daten, mit denen sie überzeugende Business Email Compromise (BEC)- und Spear-Phishing-Angriffe starten können. Benutzer können Betrügern eine wichtige Angriffsfläche entziehen, indem sie weniger Informationen teilen und die Sichtbarkeit ihrer Konten einschränken.
Die Wahrung der Datenschutzrechte der Benutzer kann Unternehmen manchmal einen Wettbewerbsvorteil verschaffen.
Verbraucher könnten das Vertrauen in Unternehmen verlieren, die ihre personenbezogenen Daten nicht angemessen schützen. Beispielsweise erlitt der Ruf von Facebook im Zuge des Cambridge-Analytica-Skandals einen erheblichen Schaden.6 Verbraucher sind oft weniger bereit, ihre wertvollen Daten an Unternehmen weiterzugeben, die in der Vergangenheit beim Datenschutz versagt haben.
Umgekehrt ist es für Unternehmen mit einem guten Ruf in Bezug auf den Datenschutz möglicherweise einfacher, Benutzerdaten zu erheben und diese zu verwenden.
Außerdem werden in der vernetzten globalen Wirtschaft häufig Daten zwischen Unternehmen ausgetauscht. Ein Unternehmen kann die von ihm erhobenen personenbezogenen Daten an eine Cloud-Datenbank zur Speicherung oder an ein Beratungsunternehmen zur Verarbeitung senden. Die Einführung von Datenschutzprinzipien und -praktiken kann Unternehmen dabei helfen, Benutzerdaten vor Missbrauch zu schützen, selbst wenn diese Daten an Dritte weitergegeben werden. Gemäß einigen Vorschriften, wie z. B. der DSGVO, sind Unternehmen gesetzlich verpflichtet, dafür zu sorgen, dass ihre Lieferanten und Dienstleister Daten sicher aufbewahren.
Schließlich können neue Technologien der generativen künstlichen Intelligenz erhebliche Herausforderungen für den Datenschutz mit sich bringen. Alle sensiblen Daten, die in diese KI eingespeist werden, können Teil der Trainingsdaten des Tools werden, und das Unternehmen kann möglicherweise nicht kontrollieren, wie sie verwendet werden. Beispielsweise haben Entwickler bei Samsung unbeabsichtigt proprietären Quellcode durchsickern lassen, indem sie den Code in ChatGPT eingegeben haben, um ihn zu optimieren.7
Wenn Unternehmen nicht über die Erlaubnis der Benutzer verfügen, ihre Daten durch die generative KI laufen zu lassen, könnte dies außerdem nach bestimmten Vorschriften einen Verstoß gegen den Datenschutz darstellen.
Formale Datenschutzrichtlinien und -kontrollen können Unternehmen dabei helfen, diese KI-Tools und andere neue Technologien einzuführen, ohne gegen das Gesetz zu verstoßen, das Vertrauen der Benutzer zu verlieren oder versehentlich sensible Informationen preiszugeben.
IBM Security Guardium ist eine Software-Reihe für Datensicherheit im IBM Security-Portfolio, die Schwachstellen aufdeckt und sensible On-Premises- und Cloud-Daten schützt.
Mit Lösungen von IBM Security können Sie vertrauenswürdige Customer Experiences bereitstellen und Ihren Umsatz steigern – mit einem ganzheitlichen, adaptiven Ansatz für den Datenschutz, der auf Zero-Trust-Prinzipien und erprobten Datenschutzmaßnahmen beruht.
IBM Security Verify bietet eine zentrale Entscheidungsengine, mit deren Hilfe automatische Regeln für die Einwilligungsbestimmung über alle Datennutzungszwecke hinweg festgelegt werden können.
Datensicherheit ist die Praxis des Schutzes digitaler Informationen vor unbefugtem Zugriff, Beschädigung oder Diebstahl während ihres gesamten Lebenszyklus.
Data Governance fördert die Verfügbarkeit, Qualität und Sicherheit der Daten eines Unternehmens durch verschiedene Richtlinien und Standards.
Data Loss Prevention (DLP) bezieht sich auf die Strategien, Prozesse und Technologien, mit denen Cybersicherheitsteams vertrauliche Daten vor Diebstahl, Verlust und Missbrauch schützen.
Fußnoten
Alle Links befinden sich außerhalb von ibm.com
1 NIST Privacy Framework, NIST
2 Fair Information Practice Principles, Federal Privacy Council
3 2023 Data Privacy and Data Protection Survey, IDC, Februar 2023
4 Allgemeine Erklärung der Menschenrechte, Vereinte Nationen
5 Fortnite Video Game Maker Epic Games to Pay More Than Half a Billion Dollars over FTC Allegations of Privacy Violations and Unwanted Charges, Federal Trade Commission, 19. Dezember 2022
6 The Cambridge Analytica Files, The Guardian
7 Whoops, Samsung workers accidentally leaked trade secrets via ChatGPT, Mashable, 6. April 2023