Archiv Datenschutz

    Erfüllung der nächsten Welle von US-Datenschutzvorschriften

    Nächstes Jahr treten mehrere Datenschutzgesetze der einzelnen Bundesstaaten in Kraft - und möglicherweise kommt noch ein nationales Datenschutzgesetz hinzu. Für Unternehmen ist es jetzt an der Zeit, den Datenschutz zu verstärken.

    by Emily Wojcik
    gettyimages-1302475655.png

    Wichtige Punkte

    • US-Unternehmen sehen sich mit einer wachsenden Zahl von Datenschutzvorschriften konfrontiert - möglicherweise auch mit einem nationalen Datenschutzgesetz.
    • Zu den wichtigen Sofortmaßnahmen zur Gewährleistung der Einhaltung der Vorschriften gehören die Verbesserung der Aufdeckung personenbezogener Daten und die Klärung der Frage, wer die Aufsicht hat.
    • Langfristig brauchen Unternehmen die Werkzeuge und Richtlinien, die es allen ermöglichen, den Datenschutz ernster zu nehmen.

    Ein Gesetzentwurf, an dem seit Jahrzehnten gearbeitet wird, würde einen nationalen Standard für die Datenschutzbestimmungen in den Vereinigten Staaten setzen. Der Gesetzentwurf würde die Sammlung und Weitergabe von persönlichen Informationen einschränken, da er auch Mindeststandards für die Datensicherheit und den Datenschutz, Grenzen für die Aufbewahrung und Entsorgung von Informationen sowie Schulungspflichten festlegt.[1]

    Bislang gibt es in den Vereinigten Staaten ein Flickwerk von Datenschutzgesetzen. Der Privacy Act von 1974 legt die Anforderungen für Bundesbehörden fest, die personenbezogene Daten erheben und verbreiten,[2] , während verschiedene Branchen ihren eigenen Vorschriften unterliegen. Die Federal Trade Commission empfahl erstmals im Mai 2000 ein grundlegendes Datenschutzgesetz, doch der Kongress blieb untätig.[3] In der Zwischenzeit hat Kalifornien sein eigenes Gesetz zum Schutz der Privatsphäre von Verbrauchern (CCPA) verabschiedet, während vier weitere Staaten Gesetze haben, die 2023 in Kraft treten, und fast drei Dutzend weitere Staaten haben Datenschutzgesetze in irgendeiner Form eingeführt.[4]

    Umgang mit einem Flickenteppich von Datenschutzvorschriften

    Infolgedessen haben sich die Unternehmen daran gewöhnt, verschiedene Vorschriften gleichzeitig zu befolgen. Laut einem aktuellen White Paper von Osterman Research, Privacy Compliance in the United States: Status and Progress in 2022 , unterliegen zwei Drittel der US-amerikanischen Unternehmen drei oder mehr Datenschutzvorschriften.

    Selbst wenn ein umfassendes nationales Gesetz in Kraft ist, wird diese Komplexität wahrscheinlich nicht verschwinden. US-Organisationen mit ausländischen Kunden unterliegen weiterhin internationalen Gesetzen wie der europäischen Datenschutz-Grundverordnung (GDPR) und dem kanadischen Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente (PIPEDA). In der Zwischenzeit berichtet Politico , dass bestehende staatliche Gesetze, namentlich CCPA, durch ein neues Bundesgesetz nicht außer Kraft gesetzt werden würden. Außerdem bleiben branchenspezifische Vorschriften wie der Health Insurance Portability and Accountability Act (HIPAA) und der Gramm-Leach-Bliley Act (GLBA) für Finanzinstitute in Kraft.

    Der Bericht von Osterman Research, der von Mimecast gesponsert wurde, zeigt, dass Unternehmen Gefahr laufen, ins Hintertreffen zu geraten. Nur 47 % halten die bestehenden Datenschutzvorschriften vollständig ein, und nur 38 % bezeichnen ihren Umgang mit den Vorschriften, die 2023 in Kraft treten, als "ausgereift" oder "vollständig ausgereift" (zu diesen Vorschriften gehören der California Privacy Rights Act (CPRA) sowie ähnliche Gesetze in Colorado, Connecticut, Virginia und Utah). Es ist nicht hilfreich, dass die Einzelheiten von Vorschriften wie CPRA noch nicht endgültig festgelegt sind.

    Diese Unausgereiftheit unterstreicht die Notwendigkeit für Unternehmen, einen Datenschutzrahmen zu entwickeln, der sie in die Lage versetzt, bestehende und künftige Anforderungen zu erfüllen und gleichzeitig bewährte Praktiken für den Datenschutz in die Geschäftsentscheidungen einzubeziehen. Da Unternehmen ihren Ansatz für Datenschutz verstärken, bietet der Osterman Research-Bericht fünf kurzfristige To-Dos und identifiziert fünf Strategien zur Verbesserung von Governance, Datenmanagement und allgemeinen Geschäftspraktiken.

    5 Quick Wins für die Einhaltung von Datenschutzbestimmungen

    Kurzfristig rät Osterman Research den Unternehmen, die folgenden Schritte zu unternehmen:

    • Bestimmen Sie Ihre Motivation. Die Folgen eines mangelnden Schutzes personenbezogener Daten sind sehr unterschiedlich. Eine behördlich verhängte Geldstrafe hat zwar ihren Preis, aber die Schädigung des eigenen Rufs oder der Verlust des Vertrauens der Kunden kann noch mehr Schaden anrichten und jahrzehntelange harte Arbeit in einem kurzen Augenblick zunichte machen.
    • Aufspüren sensibler persönlicher Daten. Nur 55 % der Unternehmen haben ein Datenaudit durchgeführt und wissen, wo sich sensible personenbezogene Daten befinden. Dies ist ein entscheidender Schritt - vor allem, da bei Fernarbeit die Wahrscheinlichkeit steigt, dass Daten in nicht genehmigten Cloud-Diensten, mobilen Apps oder sogar auf persönlichen Geräten gespeichert werden. Und vergessen Sie nicht, dass E-Mail-Systeme Schätze an persönlichen Daten enthalten, die geschützt werden müssen.
    • Verbessern Sie die Suche nach persönlichen Daten. Geht man noch einen Schritt weiter, so können weniger als 40 % der Unternehmen personenbezogene Daten ausfindig machen, die in Chat-Tools, Personalcomputern oder Tabellenkalkulationen gespeichert sind. Weniger als 25 % können persönliche Daten in Cloud-Anwendungen entdecken. Dies macht Organisationen besonders verwundbar.
    • Klassifizierung unternehmenseigener Daten. Mithilfe der Klassifizierung können Unternehmen feststellen, welche Datenquellen den Datenschutzbestimmungen unterliegen und daher zusätzlich geschützt werden müssen. Leider haben nur 16 % der Unternehmen 100 % ihrer Daten klassifiziert, während die Hälfte 76 % der Daten klassifiziert hat.
    • Definieren Sie die Aufsicht über die Einhaltung des Datenschutzes. In zu vielen Unternehmen ist unklar, wer für die Einhaltung des Datenschutzes verantwortlich ist. In 18 % der Organisationen ist niemand offiziell mit dieser Aufgabe betraut worden. Andererseits verlassen sich 47 % der Organisationen auf zwei oder mehr Aufsichtsgruppen, was zu Unsicherheiten führen und den Fortschritt bremsen kann.

    5 Strategien zur langfristigen Verbesserung der Einhaltung des Datenschutzes

    Längerfristig wird den Unternehmen Folgendes empfohlen:

    Implementierung von Datenzugriffskontrollen im gesamten Unternehmen. Mehr als 50 % der Unternehmen sind nicht davon überzeugt, dass sie in der Lage sind, den Zugriff auf personenbezogene Daten zu verfolgen und zu kontrollieren. Da dies nicht möglich ist, sind selbst die strengsten Datenverwaltungs- und Zugriffsrichtlinien weitgehend unwirksam, da es keine Möglichkeit gibt, zu überprüfen, ob die Person, die ihre Zugriffsrechte ausübt, auch tatsächlich die Person ist, die diese Rechte hat.

    Um dieses Problem zu lösen, müssen unternehmensweite Kontrollen für das Identitäts- und Zugriffsmanagement eingeführt werden. Praktiken wie Multi-Faktor-Authentifizierung, Aufgabentrennung und rollenbasierter Zugang tragen dazu bei, dass nur die Personen, die für ihre Arbeit Zugang zu persönlichen Informationen benötigen, auf die Anwendungen oder Datenbanken mit diesen Informationen zugreifen können.

    Nutzung von Echtzeit-Datenschutzkontrollen. Es gibt drei technologiegestützte Kontrollen zum Schutz sensibler personenbezogener Daten:

    • Entdeckung von Datenbeständen zum Zeitpunkt der Erstellung.
    • Laufende Überwachung und Management von Datenschutzrisiken.
    • Kartierung von Datenbeständen in Echtzeit oder nahezu in Echtzeit.

    Mit diesen Fähigkeiten sind Unternehmen besser in der Lage, Datenschutzrisiken zu erkennen und zu entschärfen, bevor sie zu großen Problemen werden. Die Mehrheit der Unternehmen nutzt diese Tools noch nicht und verlässt sich stattdessen auf manuelle Prozesse, die aufgrund des damit verbundenen Zeit- und Arbeitsaufwands nur partielle und retrospektive Erkenntnisse liefern.

    Beteiligen Sie mehr Geschäftsbereiche an den Bemühungen um die Einhaltung der Vorschriften. Traditionell sind Mitarbeiter und Führungskräfte aus fünf zentralen Geschäftsbereichen für die Einhaltung der Vorschriften zuständig: Informationssicherheit, Datenschutz und Sicherheit, IT, Compliance und Risikomanagement. Da die Datenschutzbestimmungen weitere Bereiche des Unternehmens betreffen, ist es für Organisationen wichtig, zusätzliche Gruppen einzubeziehen. Hier sind nur einige Beispiele:

    • Die Prüfer müssen ihre Verfahren zur Bewertung der Einhaltung der Vorschriften aktualisieren.
    • Die Personalabteilung sollte bei Einstellungs- und Beförderungsentscheidungen das Fachwissen über den Datenschutz berücksichtigen.
    • Das Beschaffungswesen sollte Dienstleistungsverträge mit Dritten auf Datenschutzaspekte hin überprüfen.
    • Marketing-Teams müssen alles überprüfen, von der Datenerfassung bis hin zur Formulierung von Opt-outs und Abmeldungen in ausgehenden E-Mails.

    Stärkung des Schutzes vor Datenschutzverletzungen. Die Unternehmen haben kein Vertrauen in ihre Fähigkeit, Datenschutzverletzungen zu erkennen und sicherzustellen, dass personenbezogene Daten in sicheren Händen bleiben.

    • Nur 36 % der Unternehmen konnten eine Datenschutzverletzung in Echtzeit erkennen und verhindern.
    • Nur 38 % konnten einen Verstoß erkennen, sobald er erfolgreich war. Insgesamt konnten weniger als zwei Drittel der Befragten eine Sicherheitsverletzung innerhalb einer Woche erkennen.
    • Nur 32 % der Unternehmen gaben an, dass die verletzten Daten für den Angreifer, der auf sie zugreifen konnte, unlesbar wären.

    Dies erfordert einen deutlich stärkeren Schutz vor Datenschutzverletzungen. Die Erkennung von Eindringlingen in Echtzeit in Verbindung mit der Schulung von Mitarbeitern kann beispielsweise den Versuch eines Datenverstoßes im Keim ersticken - und einem Unternehmen die Zeit, Energie und Mühe ersparen, die erforderlich sind, um Aufsichtsbehörden und Kunden über einen Verstoß zu informieren. Datenmaskierungstechniken wie Verschlüsselung, Tokenisierung und Pseudonymisierung schützen personenbezogene Daten in Systemen und Anwendungen während der Übertragung, im Ruhezustand und während der Nutzung.

    Einsatz einer Reihe von Lösungen zur Einhaltung der Datenschutzbestimmungen. Angreifer stellen eine Vielzahl von Bedrohungen dar. Daher ist es unerlässlich, dass Unternehmen so viele Maßnahmen wie möglich ergreifen, um personenbezogene Daten zu schützen und die Einhaltung des Datenschutzes zu gewährleisten. Wichtige Lösungen, die in Betracht gezogen werden sollten, sind Datenschutz- und Sicherheitsschulungen, Strategien für Governance, Risiko und Compliance (GRC), Datenermittlung und Datenmanagement.

    Gemeinsam helfen diese Lösungen Unternehmen zu verstehen, wo personenbezogene Daten erstellt und gespeichert werden. Je besser dieser Einblick verfügbar ist, desto robuster sind die Richtlinien einer Organisation für Information Governance, Datenaufbewahrung und rollenbasierten Zugriff. Nur die Hälfte der Unternehmen verfügt über dieses vollständige Instrumentarium, was die Durchführung grundlegender Datenschutzaufgaben schwierig und zeitaufwändig macht.

    Die Quintessenz

    Insgesamt schätzt Gartner, dass bis Ende 2023 fast zwei Drittel der Weltbevölkerung von Datenschutzbestimmungen betroffen sein werden.[5] Eine Reihe von einzelstaatlichen Gesetzen - und möglicherweise auch ein neues Bundesgesetz - werden bis Ende nächsten Jahres auch für Organisationen mit Sitz in den Vereinigten Staaten gelten. Es ist daher unerlässlich, dass Unternehmen den Schutz personenbezogener Daten weiterhin ernst nehmen und kritische Lücken in ihren Datenschutzstrategien und -werkzeugen schließen. Die Mimecast-Produktsuite umfasst eine Reihe von Lösungen, die Unternehmen dabei helfen, ihre Daten, ihre Mitarbeiter und ihre Marken vor Angriffen zu schützen, die auf persönliche Daten abzielen.


    [1] Zweiparteien-Gesetzentwurf durchbricht den Stillstand bei den Verhandlungen über den Datenschutz auf Bundesebene, Politico

    [2] "Privacy Act of 1974," U.S. Department of Justice

    [3] Nach 20 Jahren der Debatte ist es an der Zeit, dass der Kongress endlich ein grundlegendes Datenschutzgesetz verabschiedet, Brookings

    [4] 2022 Gesetzgebung zum Verbraucherschutz, National Conference of State Legislatures

    [5] Gartner sagt, dass bis 2023 65 % der Weltbevölkerung ihre persönlichen Daten unter moderne Datenschutzbestimmungen fallen werden, Gartner

     

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang