Die wichtigsten Grundsätze des Datenschutzes (EU und Nordamerika)

Es besteht kein Zweifel daran, dass das typische moderne Unternehmen große Datenmengen erzeugt, die bewegt, analysiert und sicher gespeichert werden müssen. Da ein Großteil dieser Daten die Privatsphäre von Benutzern und Kunden betrifft, wurden verschiedene Gesetze und Verordnungen geschaffen, um strenge Schutzpraktiken durchzusetzen. Auch wenn diese Vorschriften von Land zu Land sehr unterschiedlich sind, bleibt das zugrunde liegende Konzept dasselbe: Daten müssen sicher aufbewahrt werden und gleichzeitig autorisierten Benutzern zur Verfügung stehen, wenn sie diese benötigen.

In diesem Artikel werden folgende Fragen beantwortet:

• Was ist Datenschutz?
• Datenschutz in den USA
• Datenschutz in Kanada
• Datenschutz in der EU
• Die 7 Grundsätze des Datenschutzes (DSGVO)
• IT-Lösungen zum Schutz von Daten

Was ist Datenschutz?

Datenschutz ist ein Konzept zum Schutz wichtiger Daten vor Beschädigung, Fremdzugriff oder Verlust. Dabei geht es nicht nur um passive Schutzvorkehrungen, sondern vor allem um Verfahren zur Wiederherstellung und Wiederbeschaffung von Daten, falls diese durch ein Ereignis unzugänglich oder unbrauchbar werden. Der Datenschutz umfasst auch Fragen der Einhaltung geltender rechtlicher und regulatorischer Anforderungen.

Neben der Sicherheit geht es beim Datenschutz auch um den autorisierten Zugriff auf Daten. Weder dürfen wichtige Daten einfach gelöscht werden, noch kann man sie sicher in einen undurchdringlichen Tresor eingeschlossen aufbewahren. Daten sind dazu bestimmt, verwendet zu werden, und geschützte Daten müssen autorisierten Benutzern zur Verfügung stehen, wenn sie benötigt werden.

Im Großen und Ganzen umfasst das moderne Konzept des Datenschutzes drei übergeordnete Kategorien: Traditioneller Datenschutz wie Backups, Datensicherheit und Verhinderung von Datenschutzverletzungen sowie den Schutz personenbezogener Daten.

Der erste Grundsatz des Datenschutzes

Das oberste Prinzip des Datenschutzes besteht darin, Methoden und Technologien einzusetzen, um Daten zu schützen und sie gleichzeitig für autorisierte Benutzer verfügbar zu machen.

Über diese grundlegende Maxime hinaus wird der Datenschutz je nach Region sehr individuell geregelt. Dieses allgemeine Ziel wird durch verschiedene Gesetze und Regierungsvorschriften ergänzt, die unzählige Belange der Cybersicherheit und des Schutzes der Privatsphäre berücksichtigen.

Im weiteren Verlauf werden wir uns mit dem Datenschutz in den verschiedenen Regionen befassen.

Grundsätze des Datenschutzes in den USA

Im Gegensatz zu einigen anderen Regionen, insbesondere der Europäischen Union, gibt es in den Vereinigten Staaten kein umfassendes Bundesgesetz über den Schutz der Privatsphäre und den Umgang mit Daten oder personenbezogenen Informationen. Stattdessen müssen sich Unternehmen in den USA mit einem Sammelsurium von Bundes- und Landesgesetzen auseinandersetzen, die die Erfassung, Verarbeitung, Weitergabe und Sicherheit von personenbezogenen Daten regeln.

Darüber hinaus gibt es in bestimmten Branchen, wie dem Gesundheits- und dem Finanzwesen, sektorspezifische Regelungen.

Aufgrund des dezentralisierten Charakters der US-Datenschutzgesetze müssen die Verantwortlichen für die Datenverarbeitung immer einen Blick auf die unterschiedlichen Gesetze haben und auf dem neuesten Stand bleiben. Ebenso sollten sie sich auf die wahrscheinliche weitere Entwicklung der US-Datenschutzvorschriften vorbereiten.

Werfen wir einen kurzen Blick auf die wichtigsten derzeit geltenden Datenschutzgesetze:

HIPAA

Der Health Insurance Portability and Accountability Act von 1996 (HIPAA ) ist ein Bundesgesetz, das Standards zum Schutz bestimmter gesundheits- und personenbezogener Daten vor der Weitergabe ohne Zustimmung oder Wissen des Patienten festlegt.

Die vom US-Gesundheitsministerium (Department of Health and Human Services) eingeführte HIPAA Privacy Rule trat 2003 in Kraft und regelt die Verwendung und Weitergabe geschützter personenbezogener Daten im Rahmen von Behandlungen, Abrechnungen und Operationen im Gesundheitswesen.

Im Jahr 2003 trat außerdem eine weitere HIPAA-Sicherheitsvorschrift in Kraft, die sich speziell mit dem Umgang mit elektronischen Krankenakten befasst. In dieser Vorschrift werden die administrativen, physischen und technologischen Sicherheitsvorkehrungen festgelegt, die zur Einhaltung der Vorschriften erforderlich sind.

FCRA

Das Gesetz über faire Kreditauskünfte (Fair Credit Reporting Act, FCRA ) ist ein Bundesgesetz, das die Verfahren von Auskunfteien in Bezug auf die Vertraulichkeit, Genauigkeit, Relevanz und ordnungsgemäße Verwendung persönlicher Daten regelt.

Die im FCRA regulierten personenbezogenen Daten beziehen sich speziell auf Auskünfte zur Kreditwürdigkeit und Verbraucherberichte, die zur Feststellung der Eignung für eine Beschäftigung, für die Kredit- oder Versicherungsprüfung und für bestimmte andere im FCRA beschriebene Zwecke verkauft werden.

Das FCRA enthält auch mehrere Schutzbestimmungen für Verbraucher, darunter das Recht auf Einsicht in die eigene Kreditbewertung und das Recht zu erfahren, was in der Datei steht, die eine Agentur für Verbraucherinformationen über Verbraucher:innen führt.

GLBA

Der Gramm-Leach-Bliley Act von 2002 (GLBA) ist ein Bundesgesetz, das in erster Linie die Erfassung, Verwendung, Offenlegung und den Schutz von nicht öffentlichen persönlichen Daten regelt, die von Finanzinstituten erfasst werden.

COPPA

Das Gesetz zum Schutz der Privatsphäre von Kindern im Internet (Children’s Online Privacy Protection Act, COPPA) ist ein Bundesgesetz, das Anforderungen an Websites, die sich an Kinder unter 13 Jahren richten, und an Betreiber von Websites oder Online-Diensten stellt, die wissentlich personenbezogene Daten von Kindern unter 13 Jahren sammeln. Betreiber, die unter COPPA fallen, müssen bestimmte Informationen in ihren Datenschutzrichtlinien offenlegen und die Zustimmung der Eltern einholen, bevor sie bestimmte Arten von Daten von Kindern unter 13 Jahren erfassen.

FERPA

Der Family Educational Rights and Privacy Act (FERPA ) ist ein Bundesgesetz, das den Schutz der Bildungszertifikate von Schülern regelt. FERPA gilt für alle öffentlichen oder privaten Grund-, Sekundar- oder weiterführenden Schulen sowie für staatliche oder lokale Bildungseinrichtungen, die Mittel aus bestimmten Programmen des US-Bildungsministeriums erhalten.

FERPA gibt Eltern und berechtigten Schülern mehr Kontrolle über ihre Bildungszertifikate und verbietet Bildungseinrichtungen, persönlich identifizierbare Informationen in Bildungszertifikaten ohne die schriftliche Zustimmung einer berechtigten Person weiterzugeben.

TCPA

Der Telephone Consumer Protection Act (TCPA ) ist ein Bundesgesetz, das die Regulierung für Telemarketing-Anrufe, automatisierte Anrufe, aufgezeichnete Anrufe und automatisierte Textnachrichten sowie den unabgesprochenen Versand von Faxen umfasst. Zudem legt das TCPA-Gesetz auch die technischen Anforderungen für Faxgeräte, automatische Anrufbeantworter und Sprachnachrichtensysteme fest. Die Art und Weise der Identifikation der Gerätenutzer ist ebenfalls im Gesetz mitabgedeckt.

Privacy Act

Der Privacy Act von 1974 ist ein Bundesgesetz, das hauptsächlich für Bundesbehörden, Selbständige und Beschäftigte gilt. Der Privacy Act schränkt die Offenlegung von personenbezogenen Informationen ein, die von Regierungsbehörden verwaltet werden, und gewährt Einzelpersonen ein erweitertes Recht auf Zugang zu Behördenunterlagen, die über sie geführt werden. Dieses Gesetz legt auch einen Kodex für faire Informationspraktiken mit gesetzlichen Anforderungen für die Sammlung, Sicherheit und Weitergabe von persönlichen Daten fest.

Grundsätze des Datenschutzes in Kanada

Die Datenschutzgesetze in Kanada sind denen in den USA insofern ähnlich, als dass sie aus einer komplexen Reihe von Bundes- und Regionalgesetzen bestehen. Wie in den USA setzen einige dieser Gesetze Vorschriften für bestimmte Sektoren durch. Bestimmte Gesetze sehen eine Melde- und Berichtspflicht für den Fall einer Verletzung des Schutzes personenbezogener Daten vor.

Zu den wichtigsten Datenschutzgesetzen in Kanada gehören:

• Bundesweit: Personal Information Protection and Electronic Documents Act 2000 (PIPEDA)
• British Columbia: Personal Information Protection Act (BC PIPA)
• Alberta: Personal Information Protection Act (AB PIPA)
• Quebec: Act Respecting the Protection of Personal Information in the Private Sector (Quebec Private Sector Act)

Kanada hat ein Anti-Spam-Gesetz erlassen, Canada’s Anti-Spam Legislation (CASL). Es betrifft elektronische Marketingaktivitäten wie Datenerfassung und Massenversand von E-Mails.

Grundsätze des Datenschutzes in der Europäischen Union

Die Europäische Union verfügt derzeit über den umfassendsten Datenschutzrahmen der Welt. Die 2018 in Kraft getretene Allgemeine Datenschutzverordnung (DSGVO ) dient als Rechtsrahmen für den Datenschutz und den Schutz der Privatsphäre in allen Mitgliedstaaten.

Diese komplexen Rechtsvorschriften betreffen auch alle Unternehmen, die mit der EU Handel treiben, und sind mit hohen Geldstrafen und Sanktionen verbunden, um die Einhaltung der Vorschriften sicherzustellen. Die Datenschutz-Grundverordnung (DSGVO) soll die sensiblen Daten der EU-Bürger schützen und ihnen mehr Kontrolle darüber geben, wie auf diese Daten zugegriffen wird und wie diese verwendet werden. Zu den Anforderungen gehören die Kontrolle der internationalen Datenübermittlung und das Recht der Bürger auf Löschung ihrer Daten.

Im nächsten Abschnitt werden wir die Datenschutz-Grundverordnung (DSGVO) ausführlicher behandeln.

Die 7 Grundsätze des Datenschutzes (DSGVO)

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz

DSGVO Artikel 5(1)(a): „Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz)“

Unternehmen müssen sicherstellen, dass ihre Datenerhebungsmethoden nicht gegen das Gesetz verstoßen und, dass die Verwendung der Daten für diejenigen, deren Daten erhoben werden, transparent ist.

2. Zweckbindung

DSGVO Artikel 5(1)(b): „Personenbezogene Daten müssenfür festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke […] nicht als unvereinbar mit den ursprünglichen Zwecken“

Er legt fest, dass Unternehmen personenbezogene Daten nur für einen bestimmten und angegebenen Zweck sammeln dürfen. Sie müssen den Zweck und das Ziel umreißen und dürfen nur so lange Daten erheben, wie sie diese zur Erreichung dieser Ziele benötigen.

Bei der Erhebung und Verarbeitung von Daten zu historischen, wissenschaftlichen oder statistischen Forschungszwecken oder aus Gründen des öffentlichen Interesses wird mehr Freiheit gewährt.

3. Datenminimierung

Artikel 5(1)(c): „Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung).“

Unternehmen sollten nur die kleinste Menge an Daten aufbewahren, die sie für ihre Anforderungen benötigen. Das Sammeln von „zusätzlichen“ Daten in der Hoffnung, dass sie später nützlich sein werden, ist nicht erlaubt.

4. Richtigkeit

Artikel 5(1)(d): „Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (Richtigkeit).“

Die erhobenen personenbezogenen Daten sollten für den angegebenen Zweck geeignet sowie korrekt und aktuell sein. Persönlich identifizierbare Informationen müssen regelmäßig überprüft werden, und unrichtige Informationen müssen korrigiert oder gelöscht werden.

5. Speicherbegrenzung

Artikel 5 Absatz 1 Buchstabe e): „Personenbezogene Daten werden n einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden (Speicherbegrenzung)“

Wenn das Ziel der Datenerhebung erreicht ist, sollten diese Daten gelöscht werden. Wenn es einen akzeptablen Grund für die Aufbewahrung der Informationen gibt, zum Beispiel, dass sie für das öffentliche Interesse oder für historische Forschungen verwendet werden können, müssen Unternehmen eine Aufbewahrungsfrist festlegen und begründen.

6. Integrität und Vertraulichkeit

Artikel 5 Absatz 1 Buchstabe f): „Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (Integrität und Vertraulichkeit).“

Alle aufbewahrten Informationen müssen sicher aufbewahrt werden. Ihr Unternehmen sollte dafür sorgen, dass angemessene Datenschutzmaßnahmen zum Schutz personenbezogener Daten getroffen werden. Die Gewährleistung von Cybersicherheit ist unerlässlich.

7. Rechenschaftspflicht

Artikel 5 Absatz 2: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (Rechenschaftspflicht). [the other data protection principles]“

Dies bedeutet, dass Unternehmen die Verantwortung für die von ihnen aufbewahrten Daten übernehmen und die Einhaltung aller anderen Grundsätze nachweisen können. Das Unternehmen sollte in der Lage sein, die Einhaltung dieser Praktiken zu dokumentieren und nachzuweisen.

Dies kann Folgendes beinhalten:

Über die Datenschutzpraktiken auf dem Laufenden bleiben

Schaffung der Position eines Datenschutzbeauftragten (DSB) oder eines Beauftragten für die Einhaltung der Vorschriften

Erstellung eines Bestandsverzeichnisses der personenbezogenen Daten

Durchführung von Datenschutzüberprüfungen und Cybersicherheitsaudits

NinjaOne und Datenschutz

Funktionen wie Ninja Data Protection helfen Unternehmen und IT-Anbietern, die komplexen Anforderungen der Datenschutzbestimmungen zu bewältigen.

• Vollständige Image-Backups
• Backups von Dokumenten, Dateien und Ordnern
• Endpunkt Management
• Patch Management
• Bitdefender Advanced Threat Security
• Umfassende Abwehr gegen Ransomware-Angriffe

Fazit

Unter Datenschutz versteht man die Sicherung von Informationen gegen Kompromittierung oder Beschädigung. Das mag für viele Unternehmen eine Herausforderung sein, ist aber in der modernen Welt hochwertiger Daten und zunehmender Cyber-Bedrohungen unerlässlich.

Sowohl Endbenutzer:innen als auch IT-Anbieter müssen sicherstellen, dass in den Regionen oder Branchen, in denen dies erforderlich ist, strenge Sicherheitsmaßnahmen ergriffen und die Vorschriften eingehalten werden – und die Wahl der richtigen Lösungen und Partner kann lebensrettend sein, wenn es darum geht, sicher durch die komplexen Gewässer des Datenschutzes zu navigieren.