Es besteht kein Zweifel daran, dass das typische moderne Unternehmen gro\u00dfe Datenmengen erzeugt, die bewegt, analysiert und sicher gespeichert werden m\u00fcssen. Da ein Gro\u00dfteil dieser Daten die Privatsph\u00e4re von Benutzern und Kunden betrifft, wurden verschiedene Gesetze und Verordnungen geschaffen, um strenge Schutzpraktiken durchzusetzen. Auch wenn diese Vorschriften von Land zu Land sehr unterschiedlich sind, bleibt das zugrunde liegende Konzept dasselbe: Daten m\u00fcssen sicher aufbewahrt werden und gleichzeitig autorisierten Benutzern zur Verf\u00fcgung stehen, wenn sie diese ben\u00f6tigen.<\/p>\n
In diesem Artikel werden folgende Fragen beantwortet:<\/strong><\/p>\n Datenschutz<\/a> ist ein Konzept zum Schutz wichtiger Daten vor Besch\u00e4digung, Fremdzugriff oder Verlust. Dabei geht es nicht nur um passive Schutzvorkehrungen, sondern vor allem um Verfahren zur Wiederherstellung und Wiederbeschaffung von Daten, falls diese durch ein Ereignis unzug\u00e4nglich oder unbrauchbar werden. Der Datenschutz umfasst auch Fragen der Einhaltung geltender rechtlicher und regulatorischer Anforderungen.<\/p>\n Neben der Sicherheit geht es beim Datenschutz auch um den autorisierten Zugriff auf Daten. Weder d\u00fcrfen wichtige Daten einfach gel\u00f6scht werden, noch kann man sie sicher in einen undurchdringlichen Tresor eingeschlossen aufbewahren. Daten sind dazu bestimmt, verwendet zu werden, und gesch\u00fctzte Daten m\u00fcssen autorisierten Benutzern zur Verf\u00fcgung stehen, wenn sie ben\u00f6tigt werden.<\/p>\n Im Gro\u00dfen und Ganzen umfasst das moderne Konzept des Datenschutzes drei \u00fcbergeordnete Kategorien:\u00a0Traditioneller Datenschutz wie Backups<\/a>, Datensicherheit und Verhinderung von Datenschutzverletzungen sowie den Schutz personenbezogener Daten.<\/p>\n NinjaOne SaaS Backup unterst\u00fctzt Sie dabei, gesetzliche Anforderungen an den Datenschutz einzuhalten.<\/p>\n \ud83d\udcdd Testen Sie jetzt NinjaOne SaaS Backup.<\/a><\/span><\/p>\n<\/div>\n Das oberste Prinzip des Datenschutzes besteht darin, Methoden und Technologien einzusetzen, um Daten zu sch\u00fctzen und sie gleichzeitig f\u00fcr autorisierte Benutzer verf\u00fcgbar zu machen.<\/p>\n \u00dcber diese grundlegende Maxime hinaus wird der Datenschutz je nach Region sehr individuell geregelt. Dieses allgemeine Ziel wird durch verschiedene Gesetze und Regierungsvorschriften erg\u00e4nzt, die unz\u00e4hlige Belange der Cybersicherheit und des Schutzes der Privatsph\u00e4re ber\u00fccksichtigen.<\/p>\n Im weiteren Verlauf werden wir uns mit dem Datenschutz in den verschiedenen Regionen befassen.<\/p>\n Im Gegensatz zu einigen anderen Regionen, insbesondere der Europ\u00e4ischen Union, gibt es in den Vereinigten Staaten kein umfassendes Bundesgesetz \u00fcber den Schutz der Privatsph\u00e4re und den Umgang mit Daten oder personenbezogenen Informationen. Stattdessen m\u00fcssen sich Unternehmen in den USA mit einem Sammelsurium von Bundes- und Landesgesetzen auseinandersetzen, die die Erfassung, Verarbeitung, Weitergabe und Sicherheit von personenbezogenen Daten regeln.<\/p>\n Dar\u00fcber hinaus gibt es in bestimmten Branchen, wie dem Gesundheits- und dem Finanzwesen, sektorspezifische Regelungen.<\/p>\n Aufgrund des dezentralisierten Charakters der US-Datenschutzgesetze m\u00fcssen die Verantwortlichen f\u00fcr die Datenverarbeitung immer einen Blick auf die unterschiedlichen Gesetze haben und auf dem neuesten Stand bleiben. Ebenso sollten sie sich auf die wahrscheinliche weitere Entwicklung der US-Datenschutzvorschriften vorbereiten.<\/p>\n Werfen wir einen kurzen Blick auf die wichtigsten derzeit geltenden Datenschutzgesetze:<\/p>\n Der Health Insurance Portability and Accountability Act von 1996 (HIPAA<\/a> ) ist ein Bundesgesetz, das Standards zum Schutz bestimmter gesundheits- und personenbezogener Daten vor der Weitergabe ohne Zustimmung oder Wissen des Patienten festlegt.<\/p>\n Die vom US-Gesundheitsministerium (Department of Health and Human Services)<\/a> eingef\u00fchrte HIPAA Privacy Rule trat 2003 in Kraft und regelt die Verwendung und Weitergabe gesch\u00fctzter personenbezogener Daten im Rahmen von Behandlungen, Abrechnungen und Operationen im Gesundheitswesen.<\/p>\n Im Jahr 2003 trat au\u00dferdem eine weitere HIPAA-Sicherheitsvorschrift in Kraft, die sich speziell mit dem Umgang mit elektronischen Krankenakten befasst. In dieser Vorschrift werden die administrativen, physischen und technologischen Sicherheitsvorkehrungen festgelegt, die zur Einhaltung der Vorschriften erforderlich sind.<\/p>\n Das Gesetz \u00fcber faire Kreditausk\u00fcnfte (Fair Credit Reporting Act, FCRA<\/a> ) ist ein Bundesgesetz, das die Verfahren von Auskunfteien in Bezug auf die Vertraulichkeit, Genauigkeit, Relevanz und ordnungsgem\u00e4\u00dfe Verwendung pers\u00f6nlicher Daten regelt.<\/p>\n Die im FCRA regulierten personenbezogenen Daten beziehen sich speziell auf Ausk\u00fcnfte zur Kreditw\u00fcrdigkeit und Verbraucherberichte, die zur Feststellung der Eignung f\u00fcr eine Besch\u00e4ftigung, f\u00fcr die Kredit- oder Versicherungspr\u00fcfung und f\u00fcr bestimmte andere im FCRA beschriebene Zwecke verkauft werden.<\/p>\n Das FCRA enth\u00e4lt auch mehrere Schutzbestimmungen f\u00fcr Verbraucher, darunter das Recht auf Einsicht in die eigene Kreditbewertung und das Recht zu erfahren, was in der Datei steht, die eine Agentur f\u00fcr Verbraucherinformationen \u00fcber Verbraucher:innen f\u00fchrt.<\/p>\n Der Gramm-Leach-Bliley Act von 2002<\/a> (GLBA) ist ein Bundesgesetz, das in erster Linie die Erfassung, Verwendung, Offenlegung und den Schutz von nicht \u00f6ffentlichen pers\u00f6nlichen Daten regelt, die von Finanzinstituten erfasst werden.<\/p>\n Das Gesetz zum Schutz der Privatsph\u00e4re von Kindern im Internet (Children’s Online Privacy Protection Act, COPPA)<\/a> ist ein Bundesgesetz, das Anforderungen an Websites, die sich an Kinder unter 13 Jahren richten, und an Betreiber von Websites oder Online-Diensten stellt, die wissentlich personenbezogene Daten von Kindern unter 13 Jahren sammeln. Betreiber, die unter COPPA fallen, m\u00fcssen bestimmte Informationen in ihren Datenschutzrichtlinien offenlegen und die Zustimmung der Eltern einholen, bevor sie bestimmte Arten von Daten von Kindern unter 13 Jahren erfassen.<\/p>\n Der Family Educational Rights and Privacy Act (FERPA<\/a> ) ist ein Bundesgesetz, das den Schutz der Bildungszertifikate von Sch\u00fclern regelt. FERPA gilt f\u00fcr alle \u00f6ffentlichen oder privaten Grund-, Sekundar- oder weiterf\u00fchrenden Schulen sowie f\u00fcr staatliche oder lokale Bildungseinrichtungen, die Mittel aus bestimmten Programmen des US-Bildungsministeriums<\/a> erhalten.<\/p>\n FERPA gibt Eltern und berechtigten Sch\u00fclern mehr Kontrolle \u00fcber ihre Bildungszertifikate und verbietet Bildungseinrichtungen, pers\u00f6nlich identifizierbare Informationen in Bildungszertifikaten ohne die schriftliche Zustimmung einer berechtigten Person weiterzugeben.<\/p>\n Der Telephone Consumer Protection Act (TCPA<\/a> ) ist ein Bundesgesetz, das die Regulierung f\u00fcr Telemarketing-Anrufe, automatisierte Anrufe, aufgezeichnete Anrufe und automatisierte Textnachrichten sowie den unabgesprochenen Versand von Faxen umfasst. Zudem legt das TCPA-Gesetz auch die technischen Anforderungen f\u00fcr Faxger\u00e4te, automatische Anrufbeantworter und Sprachnachrichtensysteme fest. Die Art und Weise der Identifikation der Ger\u00e4tenutzer ist ebenfalls im Gesetz mitabgedeckt.<\/p>\n Der Privacy Act von 1974<\/a> ist ein Bundesgesetz, das haupts\u00e4chlich f\u00fcr Bundesbeh\u00f6rden, Selbst\u00e4ndige und Besch\u00e4ftigte gilt. Der Privacy Act schr\u00e4nkt die Offenlegung von personenbezogenen Informationen ein, die von Regierungsbeh\u00f6rden verwaltet werden, und gew\u00e4hrt Einzelpersonen ein erweitertes Recht auf Zugang zu Beh\u00f6rdenunterlagen, die \u00fcber sie gef\u00fchrt werden. Dieses Gesetz legt auch einen Kodex f\u00fcr faire Informationspraktiken mit gesetzlichen Anforderungen f\u00fcr die Sammlung, Sicherheit und Weitergabe von pers\u00f6nlichen Daten fest.<\/p>\n Die Datenschutzgesetze in Kanada sind denen in den USA insofern \u00e4hnlich, als dass sie aus einer komplexen Reihe von Bundes- und Regionalgesetzen bestehen. Wie in den USA setzen einige dieser Gesetze Vorschriften f\u00fcr bestimmte Sektoren durch. Bestimmte Gesetze sehen eine Melde- und Berichtspflicht f\u00fcr den Fall einer Verletzung des Schutzes personenbezogener Daten vor.<\/p>\n Zu den wichtigsten Datenschutzgesetzen in Kanada geh\u00f6ren:<\/p>\n Kanada hat ein Anti-Spam-Gesetz erlassen, Canada’s Anti-Spam Legislation (CASL<\/a>). Es betrifft elektronische Marketingaktivit\u00e4ten wie Datenerfassung und Massenversand von E-Mails.<\/p>\n Die Europ\u00e4ische Union verf\u00fcgt derzeit \u00fcber den umfassendsten Datenschutzrahmen der Welt. Die 2018 in Kraft getretene Allgemeine Datenschutzverordnung (DSGVO<\/a> ) dient als Rechtsrahmen f\u00fcr den Datenschutz und den Schutz der Privatsph\u00e4re in allen Mitgliedstaaten.<\/p>\n Diese komplexen Rechtsvorschriften betreffen auch alle Unternehmen, die mit der EU Handel treiben, und sind mit hohen Geldstrafen und Sanktionen verbunden, um die Einhaltung der Vorschriften sicherzustellen. Die Datenschutz-Grundverordnung (DSGVO) soll die sensiblen Daten der EU-B\u00fcrger sch\u00fctzen und ihnen mehr Kontrolle dar\u00fcber geben, wie auf diese Daten zugegriffen wird und wie diese verwendet werden. Zu den Anforderungen geh\u00f6ren die Kontrolle der internationalen Daten\u00fcbermittlung und das Recht der B\u00fcrger auf L\u00f6schung ihrer Daten.<\/p>\n Im n\u00e4chsten Abschnitt werden wir die Datenschutz-Grundverordnung (DSGVO) ausf\u00fchrlicher behandeln.<\/p>\n DSGVO Artikel 5(1)(a):<\/a> \u201ePersonenbezogene Daten m\u00fcssen auf rechtm\u00e4\u00dfige Weise, nach Treu und Glauben und in einer f\u00fcr die betroffene Person nachvollziehbaren Weise verarbeitet werden (Rechtm\u00e4\u00dfigkeit, Verarbeitung nach Treu und Glauben, Transparenz)\u201c<\/p>\n Unternehmen m\u00fcssen sicherstellen, dass ihre Datenerhebungsmethoden nicht gegen das Gesetz versto\u00dfen und, dass die Verwendung der Daten f\u00fcr diejenigen, deren Daten erhoben werden, transparent ist.<\/p>\n DSGVO Artikel 5(1)(b): \u201ePersonenbezogene Daten m\u00fcssenf\u00fcr festgelegte, eindeutige und legitime Zwecke erhoben werden und d\u00fcrfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung f\u00fcr im \u00f6ffentlichen Interesse liegende Archivzwecke, f\u00fcr wissenschaftliche oder historische Forschungszwecke oder f\u00fcr statistische Zwecke […] nicht als unvereinbar mit den urspr\u00fcnglichen Zwecken\u201c<\/p>\n Er legt fest, dass Unternehmen personenbezogene Daten nur f\u00fcr einen bestimmten und angegebenen Zweck sammeln d\u00fcrfen. Sie m\u00fcssen den Zweck und das Ziel umrei\u00dfen und d\u00fcrfen nur so lange Daten erheben, wie sie diese zur Erreichung dieser Ziele ben\u00f6tigen.<\/p>\n Bei der Erhebung und Verarbeitung von Daten zu historischen, wissenschaftlichen oder statistischen Forschungszwecken oder aus Gr\u00fcnden des \u00f6ffentlichen Interesses wird mehr Freiheit gew\u00e4hrt.<\/p>\n Artikel 5(1)(c): \u201ePersonenbezogene Daten m\u00fcssen dem Zweck angemessen und erheblich sowie auf das f\u00fcr die Zwecke der Verarbeitung notwendige Ma\u00df beschr\u00e4nkt sein (Datenminimierung).\u201c<\/p>\n Unternehmen sollten nur die kleinste Menge an Daten aufbewahren, die sie f\u00fcr ihre Anforderungen ben\u00f6tigen. Das Sammeln von \u201ezus\u00e4tzlichen\u201c Daten in der Hoffnung, dass sie sp\u00e4ter n\u00fctzlich sein werden, ist nicht erlaubt.<\/p>\n Artikel 5(1)(d): \u201ePersonenbezogene Daten m\u00fcssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Ma\u00dfnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverz\u00fcglich gel\u00f6scht oder berichtigt werden (Richtigkeit).\u201c<\/p>\n Die erhobenen personenbezogenen Daten sollten f\u00fcr den angegebenen Zweck geeignet sowie korrekt und aktuell sein. Pers\u00f6nlich identifizierbare Informationen m\u00fcssen regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden, und unrichtige Informationen m\u00fcssen korrigiert oder gel\u00f6scht werden.<\/p>\n Artikel 5 Absatz 1 Buchstabe e): \u201ePersonenbezogene Daten werden n einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange erm\u00f6glicht, wie es f\u00fcr die Zwecke, f\u00fcr die sie verarbeitet werden, erforderlich ist; personenbezogene Daten d\u00fcrfen l\u00e4nger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchf\u00fchrung geeigneter technischer und organisatorischer Ma\u00dfnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschlie\u00dflich f\u00fcr im \u00f6ffentlichen Interesse liegende Archivzwecke oder f\u00fcr wissenschaftliche und historische Forschungszwecke oder f\u00fcr statistische Zwecke gem\u00e4\u00df Artikel 89 Absatz 1 verarbeitet werden (Speicherbegrenzung)\u201c<\/p>\n Wenn das Ziel der Datenerhebung erreicht ist, sollten diese Daten gel\u00f6scht werden. Wenn es einen akzeptablen Grund f\u00fcr die Aufbewahrung der Informationen gibt, zum Beispiel, dass sie f\u00fcr das \u00f6ffentliche Interesse oder f\u00fcr historische Forschungen verwendet werden k\u00f6nnen, m\u00fcssen Unternehmen eine Aufbewahrungsfrist festlegen und begr\u00fcnden.<\/p>\n Artikel 5 Absatz 1 Buchstabe f): \u201ePersonenbezogene Daten m\u00fcssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gew\u00e4hrleistet, einschlie\u00dflich Schutz vor unbefugter oder unrechtm\u00e4\u00dfiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerst\u00f6rung oder unbeabsichtigter Sch\u00e4digung durch geeignete technische und organisatorische Ma\u00dfnahmen (Integrit\u00e4t und Vertraulichkeit).\u201c<\/p>\n Alle aufbewahrten Informationen m\u00fcssen sicher aufbewahrt werden. Ihr Unternehmen sollte daf\u00fcr sorgen, dass angemessene Datenschutzma\u00dfnahmen zum Schutz personenbezogener Daten getroffen werden. Die Gew\u00e4hrleistung von Cybersicherheit ist unerl\u00e4sslich.<\/p>\n Artikel 5 Absatz 2: \u201eDer Verantwortliche ist f\u00fcr die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen k\u00f6nnen (Rechenschaftspflicht). [the other data protection principles]“<\/p>\n Dies bedeutet, dass Unternehmen die Verantwortung f\u00fcr die von ihnen aufbewahrten Daten \u00fcbernehmen und die Einhaltung aller anderen Grunds\u00e4tze nachweisen k\u00f6nnen. Das Unternehmen sollte in der Lage sein, die Einhaltung dieser Praktiken zu dokumentieren und nachzuweisen.<\/p>\n Dies kann Folgendes beinhalten:<\/p>\n \u00dcber die Datenschutzpraktiken auf dem Laufenden bleiben<\/p>\n\n
Was ist Datenschutz?<\/h2>\n
Der erste Grundsatz des Datenschutzes<\/strong><\/h3>\n
Grunds\u00e4tze des Datenschutzes in den USA<\/strong><\/h2>\n
HIPAA<\/strong><\/h3>\n
FCRA<\/strong><\/h3>\n
GLBA<\/strong><\/h3>\n
COPPA<\/strong><\/h3>\n
FERPA<\/strong><\/h3>\n
TCPA<\/strong><\/h3>\n
Privacy Act<\/strong><\/h3>\n
Grunds\u00e4tze des Datenschutzes in Kanada<\/strong><\/h2>\n
\n
Grunds\u00e4tze des Datenschutzes in der Europ\u00e4ischen Union<\/strong><\/h2>\n
Die 7 Grunds\u00e4tze des Datenschutzes (DSGVO)<\/strong><\/h2>\n
\n
Rechtm\u00e4\u00dfigkeit, Verarbeitung nach Treu und Glauben und Transparenz<\/h3>\n<\/li>\n<\/ol>\n
\n
Zweckbindung<\/h3>\n<\/li>\n<\/ol>\n
\n
Datenminimierung<\/h3>\n<\/li>\n<\/ol>\n
\n
Richtigkeit<\/h3>\n<\/li>\n<\/ol>\n
\n
Speicherbegrenzung<\/h3>\n<\/li>\n<\/ol>\n
\n
Integrit\u00e4t und Vertraulichkeit<\/h3>\n<\/li>\n<\/ol>\n
\n
Rechenschaftspflicht<\/h3>\n<\/li>\n<\/ol>\n