Da die Welt immer stärker reguliert wird und die Liste der Vorschriften immer komplexer wird, wird die Einrichtung eines Datenverwaltungssystems, des Datenschutzes, der Datensicherung und der Archivierung immer komplexer. Welche Datenschutzbestimmungen gelten und worauf sollten Sie bei der Gestaltung der Systeme Ihres Unternehmens achten?
41 % der kleinen Unternehmen haben keine umfassende Datenverwaltungsrichtlinie. Für diese Organisationen ist es ein guter Anfang, eine Liste der wichtigsten relevanten Vorschriften zu erstellen, was sie beinhalten und welche sie beim Aufbau ihrer Datenverwaltungsstrategie berücksichtigen müssen.
Hier eine Auflistung der wichtigsten Regelungen, ihrer Inhalte und der betroffenen Regionen:
Datenschutz-Grundverordnung
Dieses Gesetz, das 2018 in Kraft trat, gibt Verbrauchern Rechte in Bezug auf ihre eigenen personenbezogenen Daten. Die Datenschutz-Grundverordnung (DSGVO) ist ein europäisches Regelwerk und eine der strengsten Vorschriften der Welt.
Die DSGVO schützt personenbezogene Daten von Kunden und Mitarbeitern. Dies ist eine breite Kategorie, die alles umfassen kann, was eine Person identifizieren könnte, wie:
- Namen.
- Biometrische Daten wie Fingerabdrücke und Gesichtserkennung.
- Identifikationsnummern wie Passnummern, Steuernummern und nationale Identifikationsnummern.
- IP-Adressen.
- Standorte.
- Telefonnummern.
Da es sich um eine der strengsten Verordnungen handelt, ist es im Allgemeinen ein guter Schritt, sich ihr anzupassen, selbst wenn Ihre Hauptkunden nicht in der EU ansässig sind. Dies gilt vor allem, wenn man bedenkt, dass sich mehrere nationale Vorschriften in Zukunft zunehmend an der DSGVO orientieren werden.
Gesetz zur Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen
Der Health Insurance Portability and Accountability Act (HIPAA) ist eine amerikanische Bundesvorschrift zum Schutz der persönlichen Daten der Amerikaner – in diesem Fall der Krankenakten und persönlichen Gesundheitsinformationen.
Im Gegensatz zur DSGVO ist sie zwar enger gefasst, bleibt aber dennoch ein aktuelles Thema. Datenschutzverletzungen im Gesundheitswesen gehören nach wie vor zu den häufigsten Cyberangriffen der letzten Jahre, und Daten aus dem Gesundheitswesen enthalten in der Regel eine große Menge wichtiger persönlicher Daten wie Sozialversicherungsnummern, Adressen und Namen.
Gramm-Leach-Bliley-Gesetz
Der Gramm-Leach-Bliley Gesetz (GLB) ist, ähnlich wie der HIPAA, sehr viel enger gefasst. Dieses amerikanische Bundesdatenschutzgesetz gilt für Finanzinstitute und Finanzdienstleister in den USA – Banken, Kreditgeber, Maklerfirmen, Inkassobüros und Anlageberater.
Gesetz zur digitalen Betriebsresilienz
Der Digital Operational Resilience Act (DORA) ist ein europäisches Äquivalent zum GLB und konzentriert sich ebenfalls stark auf die Belastbarkeit im Finanzsektor. Im Gegensatz zum GLB Act geht es hier jedoch nicht um Datenschutz – vielmehr harmonisiert DORA die Regeln zur operativen Belastbarkeit des Finanzsektors und gilt für 20 verschiedene Arten von Finanzunternehmen und IKT-Drittanbietern. Die wichtigsten Punkte, die es regelt, sind:
- Risikomanagementsoftware.
- Resilienztests.
- Meldung von Vorfällen.
- Informationsaustausch.
- Überwachung von Drittanbietern.
Richtlinie zur Netzwerk- und Informationssicherheit.
Die Richtlinie über Netz- und Informationssicherheit (NIS2) ist eine Fortsetzung und Erweiterung der früheren EU-Cybersicherheitsrichtlinien. Sie berührt zwar nicht die Datenverwaltung (dies ist der Bereich der DSGVO), verlangt aber bestimmte Maßnahmen in Bezug auf die Cybersicherheit, darunter das Vorhandensein von Datensicherungssystemen wie Backups oder Archiven.
Bei den Überlegungen zur Systemwiederherstellung muss unbedingt berücksichtigt werden, dass die internen Systeme so konzipiert werden müssen, dass sie nach Vorfällen, die zu Datenverlust oder Verschlüsselung geführt haben, leichter wiederhergestellt werden können. Darüber hinaus schreibt die NIS2 auch eine Multifaktor-Authentifizierung, Berichterstattung, Schulung und andere Verbesserungen der Cybersicherheit vor.
Kalifornisches Gesetz zum Verbraucherschutz
Das kalifornische Gesetz zum Schutz der Privatsphäre der Verbraucher (California Consumer Privacy Act, CCPA) ist eine kalifornienspezifische Garantie der Rechte an personenbezogenen Daten. Es gibt den Einwohnern Kaliforniens das Recht auf:
- Wissen, welche Informationen ein Unternehmen sammelt und wie sie verwendet werden.
- Dem Verkauf ihrer Daten zustimmen oder ihn ablehnen .
- Die gesammelten Informationen zu löschen.
- Nicht-Diskriminierung.
- Ungenaue Aufzeichnungen korrigieren.
- Die Verwendung ihrer Daten einschränken.
- Ein Unternehmen wegen eines Datenschutzverstoßes verklagen.
Unternehmen, die nicht in Kalifornien ansässig sind, können sich aus denselben Gründen, aus denen sie die GDPR-Standards übernehmen, für die Einhaltung der CCPA-Vorschriften entscheiden: Dieses Gesetz wird wahrscheinlich zu einer Vorlage für andere Bundesstaaten werden, die die Privatsphäre der Einwohner schützen wollen, und es ist einfacher, sich zu sehr vorzubereiten, als zu reagieren, falls Sie Kunden haben, die von der Verordnung betroffen sind.
Welche sind für uns von Bedeutung?
Es mag den Anschein haben, dass die Liste der zu befolgenden Vorschriften überschaubar ist – ermitteln Sie, welche Vorschriften für Ihr Region oder Ihren Wirtschaftszweig relevant sind, und halten Sie diese ein. Es gibt jedoch einige Nuancen, die zu beachten sind. Bei der Ermittlung der Datenvorschriften, die Sie befolgen sollten, ist es wichtig zu verstehen, dass diese Vorschriften manchmal ins Spiel kommen, wenn Ihre Kunden aus einer betroffenen Region kommen, auch wenn Ihr Unternehmen nicht unbedingt dort ansässig oder auf diese Region ausgerichtet ist.
Ein gutes Beispiel dafür ist Microsofts juristisches Gerangel mit der EU in Bezug auf die europäischen Vorschriften. Während sich die europäischen Niederlassungen von Microsoft in der Regel an das europäische Recht hielten, stellte sich heraus, dass nicht alle Datenströme durch die Nutzung von Microsoft 365 ausschließlich über europäische Rechenzentren liefen, so dass die Daten europäischer Kunden gelegentlich im Ausland landeten und damit gegen die Vorschriften verstießen.
Folglich ist es in gewisser Weise einfacher, dafür zu sorgen, dass Ihr Datenmanagement weitgehend konform ist, auch wenn Sie nicht in vollem Umfang davon betroffen sind, einfach um sich für die Zukunft abzusichern. Dies könnte zwar einfacher werden, wenn sich die USA und die EU auf ein Abkommen zur Harmonisierung ihrer Datenvorschriften einigen, aber das chinesische Gesetz zum Schutz personenbezogener Daten und andere ähnliche Gesetze werden auch weiterhin ein komplexes Netz sich überschneidender Gesetze darstellen, in dem man sich zurechtfinden muss.
Sicherstellung der Einhaltung der ordnungsgemäßen Systeme
Angesichts der verwirrenden Vielzahl von Vorschriften stellen sich Organisationen, die die Frage, „welche Datenverordnung soll ich befolgen“, sofort die Frage, „wie stelle ich überhaupt die Einhaltung der Vorschriften sicher?“
Ein wesentlicher Bestandteil der Einhaltung von Vorschriften ist die Einrichtung interner Datensysteme – Schutzmaßnahmen wie Backups, Aufbewahrung durch Archive und ergänzende Datenverwaltungssysteme, die dazu beitragen, die Einhaltung der einschlägigen Gesetze zu gewährleisten. Eine gut vorbereitete, speziell entwickelte Software macht die Einhaltung der Vorschriften einfacher und weniger aufwändig für Ihr Team und stellt sicher, dass Sie die Vorschriften auch in Zukunft einhalten können.
TECH-ARROW blickt auf eine langjährige Erfahrung im Bereich Archivierung und Datensicherung zurück und ist bereit, Ihnen bei der Erfüllung aller Anforderungen und Bedürfnisse zu helfen. Wenn Sie bereit sind, Ihr Unternehmen in die Zukunft zu führen, kontaktieren Sie uns und vereinbaren Sie einen kostenlosen Beratungstermin mit unserem Team.
Schlauer archivieren – mit TECH-ARROW