Was ist Datenschutz?

Wenn Ihr Unternehmen vertrauliche und personenbezogene Informationen speichert oder verarbeitet, ist Datenschutz unverzichtbar. Verstöße dagegen, wie der Verlust oder die Offenlegung vertraulicher Daten, kann gravierende Konsequenzen haben – vom Vertrauensverlust Ihrer Kunden bis hin zu empfindlichen Bußgeldern.

Der Verlust oder Diebstahl geschäftsrelevanter Daten könnte Ihrer Konkurrenz in die Hände spielen und die Wettbewerbsfähigkeit Ihres Unternehmens schwächen. Datenschutz spielt daher eine wichtige Rolle. Hier erfahren Sie, was Datenschutz ist, weshalb er so wichtig ist und wie Sie ihn gewährleisten. Zudem lernen Sie den Unterschied zwischen Datenschutz und Datensicherheit kennen.

 

Definition von Datenschutz

Datenschutz umfasst alle Maßnahmen, um vertrauliche und personenbezogene Informationen zu schützen, beispielsweise Namen, Telefonnummern, Anschriften, E-Mail-Adressen und Geburtsdaten von Mitarbeitenden, Kunden und Geschäftspartnern. Auch IP-Adressen, Versicherungsnummern, Personalakten, Gesundheitsdaten, Informationen zu Transaktionen oder interne Finanzdaten unterliegen dem Datenschutz.

Datenschutz bedeutet, personenbezogene und sensible Daten vor Diebstahl, missbräuchlicher Verwendung, Verlust und unbeabsichtigter Vernichtung zu schützen. Damit wird das Recht auf informationelle Selbstbestimmung und die Privatsphäre der Betroffenen gewahrt. Unternehmen sind verpflichtet, durch geeignete Maßnahmen sicherzustellen, dass solche Daten geschützt sind.

Datenschutz ist der Schutz von personenbezogenen und sensiblen Daten vor missbräuchlicher Verwendung.

Datenschutz in Deutschland und Europa

In Deutschland wird der Datenschutz im Wesentlichen durch zwei Gesetze geregelt: Die europäische Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 und ersetzt die bisherige Regelung zum Datenschutz der EU. Die DSGVO wurde mit dem neuen Bundesdatenschutzgesetz (BDSG) in deutsches Recht umgesetzt. Das BDSG stärkt die Rechte von Betroffenen, legt die Pflichten im Umgang mit personenbezogenen Daten fest und regelt Verstöße gegen den Datenschutz, inklusive Bußgelder und nicht von der DSGVO abgedeckte Strafvorschriften.

 

Wesentliche Prinzipien der DSGVO

Die DSGVO legt wesentliche Prinzipien für den Umgang mit personenbezogenen Daten fest:

  • Rechtmäßigkeit: Personenbezogene Daten dürfen nur auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
  • Zweckbindung: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Die Daten dürfen nicht in einer Weise verarbeitet werden, die mit diesen Zwecken unvereinbar ist.
  • Datenminimierung: Nur die für die Zwecke der Verarbeitung notwendigen personenbezogenen Daten dürfen erhoben werden. Die erhobenen Daten sind auf das notwendige Minimum zu beschränken.
  • Richtigkeit: Die erfassten personenbezogenen Daten müssen korrekt und auf dem neuesten Stand sein. Datenverantwortliche sind verpflichtet, mithilfe angemessener Maßnahmen unrichtige oder unvollständige Daten unverzüglich zu berichtigen oder zu löschen.
  • Speicherbegrenzung: Personenbezogene Daten dürfen nicht länger als erforderlich gespeichert werden. Sobald der Zweck erfüllt ist, für den sie erhoben wurden, oder die gesetzlich vorgeschriebene Speicherfrist abgelaufen ist, müssen die Daten gelöscht oder anonymisiert werden.
  • Integrität und Vertraulichkeit: Daten sind vor unbefugter oder unberechtigter Weitergabe an Dritte nach dem Stand der Technik zu schützen, unter anderem durch strikte Regelung der Zugriffsrechte.
  • Rechenschaftspflicht: Gegenüber den Aufsichtsbehörden müssen Unternehmen nachweisen, dass sie die Grundsätze der DSGVO befolgt haben. Verstöße gegen die DSGVO können mit Bußgeldern von bis zu 20 Mio. EUR oder 4 % des Umsatzes geahndet werden.

 

Warum Datenschutz wichtig ist

Für den Schutz vertraulicher Daten in Unternehmen und anderen Organisationen sprechen viele Gründe. Mit gesetzeskonformem Datenschutz können Unternehmen

  • Datensicherheit gewährleisten: Der Schutz personenbezogener Daten leistet einen wichtigen Beitrag zur Datensicherheit insgesamt. Dazu gehört, dass nur befugte Personen auf bestimmte Daten zugreifen können.
  • Gesetzliche Vorgaben einhalten: Angemessener Datenschutz gewährleistet, dass Unternehmen die Gesetze und Verordnungen in Bezug auf Datenschutz einhalten und Bußgelder vermeiden.
  • Geschäftsinteressen schützen: Daten spielen bei vielen Geschäftsmodellen eine wichtige Rolle. Ihr Schutz dient damit den geschäftlichen Interessen eines Unternehmens.
  • Vertrauen in Unternehmen stärken: Unternehmen, Produkte und Dienstleistungen, die Datenschutz sicherstellen, fördern Kundenbindung und Vertrauen.
  • Identitätsdiebstahl und Betrug verhindern: Durch den Schutz von personenbezogenen Daten wie Namen, Anschrift, Kontoverbindungen und dergleichen verhindern Unternehmen deren missbräuchliche Nutzung.
  • Die Privatsphäre schützen: Personenbezogene und sensible Daten, die für bestimmte Zwecke offengelegt werden, müssen vor dem Zugriff unbefugter Akteure geschützt werden.
  • Bürgerrechte wahren: Nach dem Grundgesetz können Bürger selbst entscheiden, wann und innerhalb welcher Grenzen sie persönliche Sachverhalte offenbaren. Daher sind beispielsweise ihre Gesundheits- und Finanzdaten zu schützen.

 

Drei Kategorien des Datenschutzes

Datenschutz lässt sich in drei Kategorien einteilen, je nach Art der Daten und der Methoden, um sie zu schützen.

Die drei Strategien zum Schutz von Daten: Datensicherung, Datensicherheit, Datenschutz

 

1. Datensicherung

Darunter fallen das Bewahren, Speichern, Wiederherstellen und Duplizieren von Daten. Die Datensicherung kann auf Festplatten, Flash-Laufwerken, in der Cloud oder in Form physischer Kopien digitaler Inhalte erfolgen. Damit stets ein aktuelles Backup vorhanden ist, empfiehlt sich ein Cloud-Backup. So kann Ihr Unternehmen im Falle eines Systemausfalls leicht darauf zugreifen.

Daten werden synchron oder asynchron repliziert. Bei der synchronen Replikation werden die Primärdaten und die duplizierten Daten zeitgleich gespeichert. Bei der asynchronen Replikation erfolgen Bearbeitung der Primärdaten und Replikation zeitversetzt. Replizierte Daten können daher vom neuesten Stand der Primärdaten abweichen.

Erasure Coding und Redundant Array of Independent Disks (RAID) sind zwei weitere Verfahren, um Backups zu machen. Beim RAID-Ansatz werden Daten gespiegelt und Kopien davon auf mehreren Festplatten gespeichert. Beim Erasure Coding werden die Daten fragmentiert auf mehreren Festplatten gespeichert. Die Inhalte können aus den gespiegelten oder fragmentierten Daten wiederhergestellt werden.

 

2. Datensicherheit

Hierbei liegt das Augenmerk auf dem Schutz der Daten vor Bedrohungen von außen, z. B. vor Cyberkriminellen, Schwachstellen und Malware. Mit geeigneten Tools und Maßnahmen können Sie die Integrität Ihrer Daten schützen. Dazu gehören folgende Ansätze:

  • Verschlüsselung: Um verschlüsselte Daten zu entschlüsseln, ist ein besonderer Schlüssel erforderlich. Daten können im Ruhezustand z. B. auf einem Cloud-Server oder bei der Übertragung, etwa per E-Mail, verschlüsselt werden.
  • Zutrittskontrolle: Beschränken Sie den Zutritt von Unbefugten zu Ihrer IT-Infrastruktur. So verhindern Sie, dass böswillige Akteure oder unbefugte Benutzer vertrauliche Daten in die Hände bekommen.
  • Zugriffsbeschränkung: Schränken Sie zudem den Zugriff ein, damit nur Berechtigte auf bestimmte Inhalte wie Personaldaten zugreifen können.
  • Authentifizierung: Verknüpfen Sie den Zugriff auf Daten mit einem Authentifizierungsverfahren. Bei der Zwei-Faktor-Authentifizierung müssen Nutzer über zwei Wege oder Geräte ihre Identität bestätigen.
  • Bedrohungsschutz: Erhöhen Sie die Datensicherheit, indem Sie Bedrohungen frühzeitig erkennen und eliminieren. Hierzu gehören Schutz vor Malware, regelmäßige Sicherheitspatches und Systeme, die ungewöhnliche Aktivitäten erkennen.

 

3. Datenschutz

Beim Datenschutz liegt das Augenmerk darauf, personenbezogene und andere sensible Daten vor unbefugtem Zugriff, missbräuchlicher Nutzung, Diebstahl sowie unbeabsichtigter oder mutwilliger Vernichtung zu schützen. Somit bleiben Gesundheitsdaten, Finanzinformationen und Kontaktdaten von Mitarbeitenden, Kunden und Geschäftspartnern geschützt. Je nach Art der Daten, die Ihr Unternehmen verarbeitet, muss es unterschiedliche Gesetze und Standards erfüllen:

  • Bundesdatenschutzgesetz neu (BDSG neu)
  • Europäische Datenschutz-Grundverordnung (DSGVO)
  • Federal Trade Commission (FTC) der USA – datenschutzrechtliche Aufsichtsbehörde in Bezug auf Wettbewerb und Verbraucherrechte
  • Health Insurance Portability and Accountability Act (HIPAA) – Gesetz der USA zum Schutz von Patientendaten.
  • Vorgaben der US-amerikanischen Aufsichtsbehörde der Finanzindustrie (FINRA)

 

Datenschutz vs. Datensicherheit

Was versteht man unter Datenschutz, was unter Datensicherheit? Beide Begriffe sind eng miteinander verknüpft und überschneiden sich. Maßnahmen zum Datenschutz – wie Zugriffskontrollen – gewährleisten beispielsweise keine Datensicherheit, denn dafür sind Backups, Datenreplikation und redundante Speicherung erforderlich.

Ohne Backup, Replikation und Schutzmaßnahmen können Daten beeinträchtigt werden oder verloren gehen.

Beim Datenschutz geht es primär um den Schutz personenbezogener und anderer sensibler Daten vor unerlaubter Verarbeitung, Missbrauch oder Offenlegung. Datenschutz umfasst technisch-organisatorische Maßnahmen (TOM), um die Einhaltung der Datenschutzgesetze und den Schutz der Privatsphäre zu gewährleisten.

Datenschutz ist gesetzlich geregelt. Je nach Branche und Art der Daten, die Sie verarbeiten, gelten bestimmte Normen und Regeln. Sie geben Ihnen vor, wie Sie die Daten geheim halten und was im Falle eines Verstoßes zu tun ist. Während es in Deutschland und Europa allgemeine Datenschutzgesetze gibt, ist der Datenschutz in den USA in den jeweiligen Branchen geregelt.

Datensicherheit bezieht sich auf alle Maßnahmen, um Daten jeglicher Art vor Verlust, Beschädigung, Diebstahl oder unbefugtem Zugriff zu schützen. Datensicherheit wird durch Maßnahmen wie Zugriffsbeschränkung, Verschlüsselung, Authentifizierung, Bedrohungserkennung und technische Maßnahmen zum Schutz vor Bedrohungen sichergestellt. Datensicherheit geht Hand in Hand mit Datensicherung. So können Sie Ihre Daten im Ernstfall wiederherstellen.

 

Best Practices zur Sicherstellung von Datenschutz

Für den Schutz von Daten stehen zahlreiche Maßnahmen und Tools zur Verfügung:

 

Schutz vor Datenlecks

Mit einer geeigneten DLP-Strategie (Data Loss Prevention) verhindern Sie, dass Unbefugte auf Unternehmensinformationen zugreifen. Sie legen dabei fest, wie autorisierte Benutzer Inhalte freigeben. DLP kann ein Softwareprogramm, verschiedene Techniken oder einer Kombination daraus umfassen.

Eine angemessene DLP-Strategie verhindert, dass sensible Daten unberechtigterweise als Anhang mit E-Mails versendet oder hochgeladen werden. DLP schränkt den Zugriff auf vertrauliche Inhalte ein. Die Plattform prüft die Identität und Zugriffsberechtigung der Benutzer.

 

Speicher mit integrierter Datensicherung

Auf Inhalte in der Cloud können Sie von überall und mit jedem Gerät zugreifen, solange Sie über eine Internetverbindung verfügen. Cloud-Anbieter nutzen modernste Sicherheitsverfahren, sodass Ihre Inhalte in der Cloud geschützt sind.

Box Shield ist beispielsweise eine Sicherheitslösung mit verschiedenen Funktionen, die Datensicherheit gewährleisten. Sie umfassen die Klassifizierung des Inhalts, Zugriffskontrollen sowie die Erkennung von Anomalien und Malware. Zudem bietet Box Shield eine spezielle Sicherheitsfunktion für Online-Redakteure.

Funktionen von Box Shield zum Schutz von Daten:

  • Klassifizierung von Inhalten
  • Zugriffskontrolle
  • Erkennung von Anomalien
  • Erkennung von Malware
  • Warnsystem
  • Sicherheitsmaßnahmen vor Veröffentlichung

Funktionen von Box Shield zum Schutz von Daten: Klassifizierung von Inhalten, Zugriffskontrolle, Erkennung von Anomalien, Erkennung von Malware, Warnsystem, Sicherheitsmaßnahmen vor Veröffentlichung

 

Firewalls

Über eine Firewall legen Sie fest, welchen Datenverkehr Sie zulassen und welchen Sie zurückweisen wollen. So können Sie den gesamten Datenverkehr aus einem bestimmten Land oder von einer bestimmten IP-Adresse abweisen. Firewalls können hardware- oder softwarebasiert sein.

Künftige Firewalls verbinden Filterfunktionen, Virenschutz und Malware-Erkennung.

 

Authentifizierung und Autorisierung

Mittels Identitäts- und Zugriffsmanagement (IAM) können Sie kontrollieren, wer Daten einsehen und darauf zugreifen kann. Zu den IAM-Maßnahmen gehören Multi-Faktor-Authentifizierung, Passwortschutz und Gerätezertifizierung. IAM geht oft Hand in Hand mit einer rollenbasierten Zugriffskontrolle (RBAC). Anhand der Rolle einer Person schränkt RBAC die Informationen ein, auf die sie zugreifen kann.

 

Verschlüsselung

Die 256-Bit-Verschlüsselung ist mittlerweile der Standard. Die Zahl 256 bezieht sich auf die Länge des Verschlüsselungsschlüssels. Um eine Nachricht mit 256-Bit-Verschlüsselung zu knacken, müsste ein böswilliger Akteur 2256 (das heißt, 2 hoch 256) verschiedene Kombinationen ausprobieren, eine 78-stellige Zahl.

 

Endpunktschutz

Damit schützen Sie Laptops, Desktops und Smartphones vor Angriffen. Ein bösartiger Akteur könnte versuchen, sich Zugang zu einem Gerät zu verschaffen, um in ein Netzwerk einzudringen und Daten zu stehlen. Der Endgeräteschutz überwacht die Aktivitäten auf und von einem Gerät und greift bei verdächtigem Verhalten ein.

Endpunktschutz überwacht Aktivitäten und greift bei verdächtigen Vorgängen sofort ein.

Löschung von Daten

Auch am Ende ihres Lebenszyklus unterliegen Daten den Regelungen zum Datenschutz und der Datensicherheit, insbesondere in regulierten Branchen wie im Gesundheits- und Finanzwesen. Sie müssen Daten am Ende ihres Lebenszyklus löschen bzw. vernichten: durch Schreddern ausgedruckter Dokumente oder Formatieren von Festplatten. Für die Cloud benötigen Sie eine Lösung, die dauerhaftes Löschen sicherstellt.Mit Tools wie Box Governance können Sie die Aufbewahrungslinien nahtlos anpassen und somit für Compliance sorgen.

 

Datenminimierung

Indem Sie die Menge der von Ihnen gesammelten Daten begrenzen, tragen Sie zum Datenschutz bei. Wenn Sie mit Kunden oder Patienten arbeiten, überlegen Sie, welche Informationen Sie von ihnen benötigen. Weniger kann mehr sein, wenn es um den Schutz der Privatsphäre geht.

Die Minimierung erhobener Daten trägt zum Datenschutz bei.

 

Entdecken Sie das Potenzial der Content Cloud

Mit einer sicheren zentralen Plattform für alle Ihre Inhalte wie der von Box können Sie den gesamten Content-Lebenszyklus verwalten: Dateierstellung, gemeinsame Bearbeitung, Freigabe, elektronische Unterschrift, Klassifizierung, Aufbewahrung und vieles mehr. Wir erleichtern Ihnen die gemeinsame Arbeit an Inhalten, sei es mit den Teams in Ihrem Unternehmen oder Externen. Durchgängige Sicherheit und Compliance der Enterprise-Klasse sind in unserer DNA verankert. Daher können Sie sich darauf verlassen, dass Ihre Inhalte stets geschützt sind. Angesichts der mehr als 1.500 nahtlosen Integrationen – sowie einer Reihe nativer Funktionen wie Box Sign – bietet die Content Cloud von Box einen zentralen Layer für Ihre Inhalte. Dadurch können Ihre Teams so arbeiten, wie sie möchten.

Die Content Cloud von Box ist ein echter Gamechanger für die gesamte Organisation: Damit können Sie die Effizienz von Workflows und die Produktivität aller Teams steigern. Kontaktieren Sie Box noch heute, und erfahren Sie mehr über seine Vorteile.

 

Disclaimer: Wir setzen uns stets dafür ein, Produkte und Dienste anzubieten, die sich durch erstklassigen Datenschutz, Sicherheit und Compliance auszeichnen. Dennoch stellen die in diesem Blog enthaltenen Informationen keine Rechtsberatung dar. Wir empfehlen Interessenten und Kunden daher, ihren Sorgfaltspflichten nachzukommen und die Vereinbarkeit mit geltenden Gesetzen selbst zu beurteilen.

 

Die Content Cloud vereinfacht die Zusammenarbeit, Produktivität, Workflows und vieles mehr