Was ist Datenkonformität?

Was ist Datenkonformität?

Datenkonformität ist die Einhaltung von Gesetzen und Branchenstandards bei der Speicherung, Handhabung oder Verarbeitung personenbezogener oder sensibler Daten. Zum Schutz der Privatsphäre gibt es heute viele verschiedene Datenschutzbestimmungen für personenbezogene und sensible Daten. Organisationen, die diese Vorschriften nicht einhalten, können die Privatsphäre von Personen verletzen und daher von den zuständigen Behörden mit Geldbußen oder anderen Strafen belegt werden.

Innerhalb dieses rechtlichen Rahmens haben Einzelpersonen verschiedene Rechte in Bezug auf ihre personenbezogenen Daten. Sowohl die Rechte als auch die Art und Weise, wie diese Rechte beschrieben werden, können von Land zu Land unterschiedlich sein; es gibt keine einheitliche Standards. Dennoch kann die Einhaltung von typischen Best Practices für den Umgang mit personenbezogenen Daten (z. B. Fair Information Practices) der richtige Weg zur Compliance sein.

Warum ist Datenkonformität wichtig?

Individuelle Daten schützen:

Die Einhaltung der Datenschutzbestimmungen trägt, wie der Name schon sagt, zum Schutz der Vertraulichkeit personenbezogener Daten bei. Viele Datenschutzgesetze geben Verbrauchern die Kontrolle über ihre Daten und ermöglichen es ihnen, Daten zu ändern oder in einigen Fällen zu löschen. Außerdem verlangen sie von Unternehmen, die Daten erheben, dass sie die Verbraucher darüber informieren, wer ihre Daten einsehen kann und wie sie verwendet werden.

Viele (Cloudflare eingeschlossen) sind der Meinung, dass Datenschutz an sich schon ein erstrebenswertes Ziel ist. Doch unabhängig von der Einstellung zum Datenschutz gilt: Unternehmen, die die Privatsphäre der Verbraucher respektieren, gewinnen eher das Vertrauen ihrer Nutzer und Kunden.

Geldbußen und anderen Strafen vermeiden:

Unternehmen, die in verschiedenen Regionen tätig sind und unerwünschte Geschäftsergebnisse wie Bußgelder vermeiden möchten, sollten der Datenkonformität große Bedeutung beimessen. Viele rechtliche Rahmenbedingungen geben lokalen Gerichten die Befugnis, Geldbußen, Sanktionen und andere Strafen für Verstöße zu verhängen.

Die Geldbußen der Datenschutz-Grundverordnung (DSGVO) lauten zum Beispiel:

• Ein Verstoß der ersten Stufe führt zu einer maximalen Geldstrafe von entweder 10 Millionen Euro oder 2 % des weltweiten Umsatzes des Unternehmens, je nachdem, welcher Betrag höher ist
• Ein Verstoß der zweiten Stufe führt zu einer maximalen Geldstrafe von entweder 20 Millionen Euro oder 4 % des weltweiten Umsatzes des Unternehmens, je nachdem, welcher Betrag höher ist
• Zusätzlich zu diesen Bußgeldern können Einzelpersonen Schadensersatz verlangen, wenn ein Unternehmen gegen ihre DSGVO-Rechte verstößt

Datenschutzverletzungen vermeiden:

Obwohl Datenkonformität nicht mit Datensicherheit gleichzusetzen ist, sorgen die von den meisten Datenschutzbestimmungen geforderten Kontrollen in der Regel für mehr Sicherheit. Dies reduziert die Wahrscheinlichkeit von Datenschutzverletzungen.

Ist Datenkonformität gleichbedeutend mit Datensicherheit?

Nicht ganz, obwohl Konformität (oder Compliance) und Sicherheit in gewisser Weise zusammenwirken. Eine Maßnahme zur Datenkonformität ist z. B. die Einrichtung von Kontrollen, um Daten vor dem Zugriff durch Unbefugte zu schützen, was wiederum die Sicherheit erhöht

Compliance und Sicherheit sind jedoch zwei verschiedene Themen, die manchmal sogar in Konflikt miteinander geraten. Wenn beispielsweise ein Drittanbieter-Tool zur Bekämpfung von Schadsoftware alle Personalakten scannt, erhöht dies die Sicherheit. Es kann aber auch zu einem Compliance-Verstoß des Unternehmens führen, wenn das Tool des Drittanbieters nicht mit den geltenden rechtlichen Standards konform ist.

Die Sicherheits- und Datenschutzteams eines Unternehmens müssen eng zusammenarbeiten, damit diese Ziele – Compliance und Sicherheit – nicht miteinander in Konflikt geraten.

Welche wichtigen Normen für die Datenkonformität sind zu beachten?

Jede Region hat in der Regel ihre eigenen Datenschutzbestimmungen, und die Gesetzgeber erlassen immer wieder neue. Zu den Wichtigsten, die wahrscheinlich für jedes weltweit tätige Unternehmen gelten, gehören:

• Datenschutz-Grundverordnung (DSGVO): Dies ist ein umfassendes Datenschutzgesetz, das den Rahmen für die Erhebung, Verarbeitung, Speicherung und Übermittlung personenbezogener Daten vorgibt. Die DSGVO gilt für alle Unternehmen, die Waren und Dienstleistungen für Personen in der EU anbieten.
• Health Insurance Portability and Accountability Act (HIPAA): Dies ist ein US-Bundesgesetz zur Regelung der Verarbeitung von Gesundheitsdaten. In den USA gibt es derzeit keinen übergreifenden Datenschutzrahmen, sondern lediglich branchenspezifische Regelungen wie HIPAA.
• Payment Card Industry Data Security Standard (PCI DSS): Dieses Rahmenwerk wird vom PCI Security Standards Council (PCI SSC) verwaltet und durchgesetzt. PCI SSC ist eine privatwirtschaftliche Industriegruppe, die von einer Reihe von Kreditkartenunternehmen gegründet wurde. PCI DSS gilt für Unternehmen, die Kredit- oder Debitkartentransaktionen abwickeln.

Weitere wichtige Normen sind außerdem der California Consumer Privacy Act (CCPA), die ePrivacy Directive, der Controlling the Assault of Non-Solicited Pornography and Marketing (CAN-SPAM) Act und der Sarbanes-Oxley (SOX) Act.

Welche Schritte Sie zur Datenkonformität unternehmen müssen

Die Datenkonformität ist ein fortlaufender Prozess und man kann nie mit absoluter Sicherheit sagen, dass eine Organisation vollständig konform ist. Aber bestimmte Praktiken machen die Konformität von Daten viel wahrscheinlicher.

• Dateninventarisierung: Ein Unternehmen sollte wissen, welche Daten es hat und wo sie sich befinden. Eine übergreifende Data Governance-Strategie ist hier hilfreich.
• Zugriffskontrolle: Sie beschränkt die Verfügbarkeit von Daten auf die Personen und Dienste, die sie wirklich benötigen. Dies reduziert die Offenlegung von Daten, verhindert die laterale Bewegung von Angreifern und bietet Datensicherheit. Wenn personenbezogene Daten von der falschen Person eingesehen werden, kann dies unter Umständen bereits einen Compliance-Verstoß darstellen. Zugriffskontrolle ist daher kritisch.
• Verschlüsselung von Daten im Ruhezustand und bei der Übertragung: Mit Verschlüsselung werden Daten unkenntlich gemacht, sodass nur Personen oder Dienste, die die Daten entschlüsseln können, sie sehen oder verändern können.
• Schulung der Teams und Auftragnehmer: Schulung und Weiterbildung sind für die Prävention von versehentlichen Compliance-Verstößen und IT-Sicherheitsvorfällen äußerst wichtig.
• Protokollierung der Datennutzung und Audits: Mithilfe von Protokollierung können Unternehmen die Datenkonformität gegenüber externen Behörden nachweisen und bestätigen, dass die richtigen Datenrichtlinien befolgt werden.
• Kenntnis und Auseinandersetzung mit den geltenden Vorschriften: Je nachdem, wo ein Unternehmen seine Geschäftstätigkeit ausübt, wo sich seine Kunden befinden und in welcher Branche es tätig ist, können unterschiedliche gesetzliche Rahmenbedingungen für die Datenverarbeitung gelten. Unternehmen sollten Personal einstellen, das sich mit den geltenden Vorschriften auskennt und bei der Datenverwaltung und -konformität helfen kann. In einigen Vorschriften ist dies sogar Pflicht: Die DSGVO schreibt vor, dass Organisationen ab einer bestimmten Größe einen Datenschutzbeauftragten beschäftigen müssen.

Cloudflare wurde für Compliance entwickelt und bietet Unternehmen die Funktionen und Lösungen, die sie zur Einhaltung von Vorschriften benötigen. Die Cloudflare Connectivity Cloud vereinfacht die Compliance durch die Bereitstellung modularer Kontrollmechanismen auf einer einzigen Plattform. Erfahren Sie mehr darüber, wie Cloudflare die Datenkonformität vereinfacht.