Illustration: Absmeier, Joshua Sortino

Datenschutz ist die Komponente der Datensicherheit, die sich auf die konforme Verarbeitung von sensiblen oder personenbezogenen Daten konzentriert. Beide Bereiche sind untrennbar miteinander verbunden, und Regierungen auf der ganzen Welt haben Standards zum Schutz von sensiblen oder personenbezogenen Daten festgelegt.

Viele Länder haben bereits Gesetzte und Vorschriften erlassen. Trotzdem ist es für international tätige Unternehmen nicht immer ganz einfach, die Übersicht zu behalten und die Unterschiede zwischen den einzelnen lokalen Rechtsvorschriften zu berücksichtigen. Tatsächlich gibt es noch keinen weltweit gültigen Standard wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden sollten. Unternehmen kommen deshalb nicht umhin, sich in die Grundlagen der Vorschriften einzelner Regionen einzuarbeiten. Schon deshalb, weil bei Nichteinhaltung empfindliche Strafen drohen.

DSGVO (EU)

Seit dem Wirksamwerden der EU-Datenschutzgrundverordnung (DSGVO) im Mai 2018 haben fast alle EU-Mitgliedstaaten eigene Ergänzungen zu den Vorschriften verabschiedet. Das Gesetzespaket ist nach wie vor ein Maßstab für die Länder, die derzeit bei der Gestaltung von Richtlinien zum Schutz personenbezogener Daten nachziehen.

Zu den maßgeblichen Neuerungen und Regelungen, die mit der DSGVO einhergehen, gehören:

Befähigung der Datenschutzbehörden (DPA), verbindliche Entscheidungen zu treffen und administrative Sanktionen wie Geldstrafen zu verhängen
Das Recht auf Einspruch gegen die Verarbeitung von Daten durch den für die Verarbeitung Verantwortlichen oder aufgrund von öffentlichen Interessen
Meldung von Sicherheitsverletzungen an die DPA und in einigen Fällen an die betroffenen Personen
Strengere Anforderungen an die Einwilligung
Einbeziehung biometrischer und/oder genetischer Daten in die Definition sensibler Daten
Einführung der Position eines Datenschutzbeauftragten (DSB) als obligatorische Rolle in einem Unternehmen im Falle bestimmter Arten der Verarbeitung personenbezogener Daten

Diese gesetzlichen Vorgaben erfordern eine komplexe Kette von Verantwortlichkeiten, die vom Datenschutzbeauftragten eines Unternehmens (oder einem von mehreren Unternehmen gemeinsam genutzten Datenschutzbeauftragten) überwacht werden. Er ist es auch, der im Wesentlichen das Programm zum Schutz der verarbeiteten Daten verwaltet und die korrekte Umsetzung überwacht. Jetzt, über zwei Jahre nach der Einführung, sind längst noch nicht alle Unternehmen konform im Sinne der DSGVO.

Wie bei nahezu allen Datenschutzprogrammen ist der Weg eines Unternehmens zur DSGVO-Compliance eher eine Reise als ein statisches Ziel. Unternehmen können durchaus den Anforderungen zur DSGVO-Compliance entsprechen.

Das Erreichte muss allerdings kontinuierlich gepflegt und überwacht werden. Schon, weil sich die Anforderungen im Laufe der Zeit ändern. An dieser Stelle kann der Datenschutzbeauftragte sicherstellen, dass alle Anforderungen im Rahmen der DSGVO tatsächlich erfüllt werden.

Das Wichtigste, das man sich in Sachen DSGVO merken sollte, ist aber nicht, was sie im Einzelnen abdeckt. Der wichtigste Punkt der Verordnung ist, dass sie die Datenverarbeitung mit einem extraterritorialen Fokus abdeckt. Das heißt, dass jeder, der Daten von in Europa ansässigen Personen verarbeitet oder Daten in Europa speichert, unter die DSGVO fällt und diese durchgesetzt wird.

California Consumer Privacy Act – CCPA (USA)

Der CCPA gilt für Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens, wie die von Kunden und Mitarbeitern, erheben. Er ist ähnlich einer klareren und vereinfachten DSGVO verfasst worden. Interessanterweise unterscheidet sich die Definition personenbezogener Daten hier, und abweichend von der DSGVO sind der Datenschutz für Geräte und Familien ebenfalls einbezogen.

Es handelt sich um ein weiteres extraterritoriales Gesetz, das versucht, die Lücken zu schließen, die die US-amerikanische Federal Trade Commission und die Datenschutzbestimmungen der HIPAA gelassen haben. Unternehmen müssen bestimmte Schwellenwerte erfüllen, um an den CCPA gebunden zu sein. Organisationen, die eines der folgenden Kriterien erfüllen, müssen CCPA-konform sein (wobei nirgendwo in diesem Gesetz steht, dass diese Zahlen nur für Einwohner des Staates Kalifornien gelten):

Unternehmen, die Informationen von mehr als 50.000 Personen, Geräten oder Familien erheben (IP-Adressen gelten als personenbezogene Daten, so dass Unternehmen, die Websites mit mehr als 50.000 Besuchern pro Jahr betreiben, unter dieses Kriterium fallen).
Der Jahresumsatz liegt über 25 Millionen Dollar.
Die Unternehmen 50 % oder mehr ihres Umsatzes aus dem Verkauf personenbezogener Daten von Kunden erzielen.

Der CCPA gewährt den Einwohnern Kaliforniens neue Datenschutzrechte, darunter das Recht auf Zugriff, Löschung, Ablehnung und das Recht zu erfahren, wie ein Unternehmen personenbezogene Daten in den letzten 12 Monaten erhoben und verarbeitet hat. Dazu gehören auch die personenbezogenen Daten der Mitarbeiter eines Unternehmens.

Es ist das erste größere staatliche Datenschutzgesetz, das in den USA in Kraft getreten ist. Der CCPA unterscheidet sich trotz allem noch stark von der DSGVO. Unternehmen, die bereits DSGVO-konform sind, sollten das deshalb nicht als Garantie ansehen, dass ihre Prozesse und Verfahren auch CCPA-konform sind. Zwar verschafft die DSGVO-Konformität sicherlich einen Vorsprung. Es ist aber dennoch nötig separat zu überprüfen, ob ein Unternehmen auch den Anforderungen des CCPA im Besonderen entspricht.

India Personal Data Protection Bill

Datum des Inkrafttretens: War für den Beginn des Jahres 2020 geplant

Das neue indische Datenschutzgesetz hat einige Kontroversen ausgelöst. Die umstrittenste Klausel: Das Gesetz erlaubt die Verarbeitung personenbezogener Daten im Interesse der staatlichen Sicherheit, wenn das genehmigt wird (die meisten anderen Datenschutzprogramme sind in dieser Hinsicht übrigens ganz ähnlich formuliert). Gestattet ist die Verarbeitung personenbezogener Daten auch zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von Straftaten – was fast zwangsläufig ein Bild von staatlicher Überwachung hervorruft. Es ist auf jeden Fall ein Gesetz, das wir im Auge behalten sollten, um zu bewerten wie es sich tatsächlich auf internationale Geschäftstätigkeiten auswirkt.

Singapore Personal Data Protection Act

Der Singapore Personal Data Protection Act befindet sich derzeit in der Entwicklung. Es weist Überschneidungen zur DSGVO auf, vor allem in Bezug auf Anwendung und Geltungsbereich, aber er konzentriert sich grundlegend anders auf die Compliance. Dort, wo die DSGVO auf Vorschriften beruht, wendet Singapur den PDPA als eine Reihe von Checkboxen an. Eine Entscheidung, die insbesondere die Bemühungen um die Rechenschaftspflicht bei Verstößen in den Vordergrund rückt.

Singapur hat eigens eine Abteilung eingerichtet, die Personal Data Protection Commission. Sie ist direkt damit beauftragt, Unternehmen für den Missbrauch personenbezogener Daten zur Rechenschaft zu ziehen. Aus seinem Haushalt für das Jahr 2020 hat das Land 1 Milliarde Dollar für einen Zeitraum von drei Jahren bereitgestellt, um die Regierung bei Cyber- und Datensicherheitstechnik auf den neuesten Stand zu bringen.

Die Bestimmungen gelten für alle Arten von personenbezogenen Daten, anhand derer eine Person identifiziert werden kann. Sie schließen allerdings geschäftliche Kontaktinformationen aus, solange diese für einen rein geschäftlichen Zweck zur Verfügung gestellt werden.

Darüber hinaus legt der PDPA eine »Do Not Call«-Regel fest: Im Falle einer nicht ausdrücklich erteilten Einwilligung müssen Unternehmen, die Telefonnummern in Singapur anrufen oder eine SMS versenden, das DNC-Register überprüfen und sicherstellen, dass die Nachricht den Absender eindeutig identifiziert und dass sie Einzelheiten zu Opt-out-Möglichkeiten enthält.

Die 10 allgemein anerkannten Datenschutzgrundsätze und ein Fazit

In der Welt des Datenschutzes gibt es eine Sammlung von 10 allgemein anerkannten Datenschutzgrundsätzen. Wenn Sie eine Datenschutzrichtlinie oder einen Datenschutzstandard erstellen, konzentrieren Sie sich immer auf Folgendes:

Management: Wie werden Richtlinien, Standards und Verfahren für den Datenschutz gemanagt?
Hinweispflicht: Welcher Hinweis wird zur Datenerhebung gegeben?
Wahlmöglichkeit und Einwilligung: Es muss die Einwilligung derjenigen vorliegen, von denen Daten erhoben werden
Erhebung: Welche Daten werden erhoben, und welche Daten sollten ausschließlich erhoben werden?
Verwendung, Speicherung und Löschung: Wie sieht Ihr Datenlebenszyklus aus?
Zugriff: Welche Zugriffskontrollen werden eingesetzt?
Offenlegung gegenüber Dritten: Warum, wem und mit welcher Einwilligung werden Daten offengelegt
Sicherheit für den Datenschutz: physischer oder technischer Schutz von Daten
Qualität: So überprüfen Sie, ob Sie valide Daten vorhalten
Überwachung und Durchsetzung: Entsprechen beide den Angaben, sind Maßnahmen zur Überwachung und Durchsetzung der geltenden Richtlinien umgesetzt?

Ganz gleich, welches Gesetz und welchen Vorschriften für Sie gerade gelten: Wer mit diesen 10 allgemein akzeptierten Datenschutzgrundsätzen beginnt, ist auf dem richtigen Weg. Die meisten Gesetze und Vorgaben benutzen sie als Ausgangspunkt. Von da an gilt es jedoch zu verstehen, dass ein Datenschutzgesetz ein Konzept ist, das sich entwickelt. Die sich weiter verändernde Sicherheitslandschaft fordert von Unternehmen zunehmend ein gewisses Maß an internem Fachwissen, um zumindest die Grundlagen für eine erfolgreiche und konforme Datenstrategie zu schaffen. Danach steht im Vordergrund, Compliance aufrechtzuerhalten und regelmäßige Überprüfungen durchzuführen.

Das gilt umso mehr angesichts des aktuellen Arbeitsumfelds aufgrund der Covid-19-Pandemie. Nur weil sich die Welt teilweise verändert hat, heißt das noch lange nicht, dass die Datenschutzbestimmungen gelockert werden. Bei einer verstreut arbeitenden Belegschaft ist es wichtiger denn je, Compliance zu gewährleisten. Wir sollten die aktuelle Situation durchaus als Erinnerung betrachten, Compliance-Vorschriften auf den Prüfstein zu stellen. Welcher Art auch immer die viel zitierten »neue« Normalität sein wird, eines ist sicher: kein Unternehmen will aufgrund mangelnder Compliance Opfer von Datenschutzverletzungen werden und sich Strafen und schwerwiegenden Auswirkungen gleichermaßen ausgesetzt sehen.

Robert Meyers, FIP, Datenschutzexperte

2696 Artikel zu „Datenschutz“

NEWS | IT-SECURITY | KOMMENTAR

Datenschutz und Covid-19-Tracking – ein Widerspruch?

7. Juni 2020

Covid-19 bringt die Diskussionen um Datenschutz an einen entscheidenden Punkt, der unseren Umgang mit sensiblen Daten langfristig beeinflussen wird. Auf der einen Seite ist Datenschutz ein entscheidender Faktor für das Vertrauen der Menschen in ein Unternehmen. Auf der anderen Seite merken wir gerade, dass Datenschutz uns in einer Form die Hände bindet, wie wir es…