Leider wissen heutzutage immer noch nicht genug Menschen wie ihre persönlichen Daten verwendet, gesammelt, weitergegeben, usw. werden. Das ist einigermaßen erschreckend. Jetzt ist die Welt eine einzige globale, digitale Gesellschaft.
Der Data Privacy Day oder Datenschutztag ist gedacht, sich mit dem Thema Datenschutz auseinanderzusetzen. Das gilt für jeden Einzelnen und gleichermaßen für Unternehmen, Firmen und Nationen, denn nur wenige sind sich der Tragweite des Themas wirklich bewusst.
Unternehmen und Regierungsverantwortliche weltweit versuchen, das komplexe Thema Datenschutz ausreichend zu durchdringen. Wenn es um Privatsphäre geht, gibt es kein „one-size-fits-all“ – zumindest nicht was die Gesetzeslage betrifft. In der Praxis gehen verschiedene Staaten, Ländern und Provinzen anders mit dem Datenschutz um.
NIST 1.0 – Datenschutz in der Praxis
In diesem Monat feiert das NIST-Datenschutz-Framework Version 1.0 seinen ersten Geburtstag, eine Checkliste und Praxishandbuch für Unternehmen und Regierungsbehörden. Das Rahmenwerk hilft dabei, Aktivitäten zu qualifizieren und zu quantifizieren sowie Vorfallsreaktionen und Risiken zu katalogisieren. Damit haben Organisationen einen Leitfaden an der Hand, der ihnen hilft, Fragen bei internen und externen Audits zu beantworten und Glaubwürdigkeit bei Kunden und Mitarbeitern aufzubauen. Der Prozess ist viel weniger kompliziert als oft angenommen. Das von der NIST veröffentlichte Framework unterstützt Unternehmen dabei, ein umfassendes Datenschutzprogramm zu entwickeln. Es ist kein Allheilmittel, das alle Datenschutzherausforderungen aus der Welt schafft, aber zumindest ist es ein Schritt in die richtige Richtung.
Das Gute daran: dieses Framework erlaubt es Firmen und Organisationen weltweit mit einem Datenschutzprogramm zu beginnen. Wieso? Es ist nicht neu, dass Unternehmen und Organisationen erst dann ein wahres Verständnis von Datenschutz entwickeln, wenn sie sich mit der Umsetzung beschäftigen. Sie wissen einfach nicht, was genau sie nicht oder noch nicht wissen. Das Rahmenwerk ist eine empfehlenswerte Checkliste, mit der sich beginnen lässt. Eine Art „Easy Button“. Kombiniert mit einem soliden Sicherheitsprogramm ist es ein guter Anfang für den Schutz der Privatsphäre, ganz egal wo.
Hier haben wir also ein Hilfsmittel, das seit mindestens einem Jahr im Einsatz ist. Vielleicht sollten sich einige Leute etwas Zeit nehmen und Gedanken darüber machen, was für ein Datenschutzprogramm nötig ist. Es bleibt zu hoffen, dass sich mehr Leute genau darauf konzentrieren, und unsere Daten und
unser gesamtes digitales Leben sicherer werden.
Datenschutztag – wer oder was ist eigentlich schutzbedürftig?
Der Europäische Datenschutztag, der seit 2008 auch in den USA und Canada begangen wird, ist wie immer ein Anlass zum Nachdenken. Ein ganzer Tag, an dem wir uns darauf konzentrieren, den Datenschutz zu verbessern. Die Daten selbst brauchen allerdings keine Privatsphäre – es ist die Privatsphäre einer Person, die schützenswert ist. Sollten wir diesen Tag dementsprechend umbenennen? Menschen brauchen ihre Privatsphäre, um all das zu schützen, was ihnen wichtig ist: ihre Identität, ihr Leben, ihre Informationen. Das ist es, was Datenschutz im Kern ausmacht – aber wie passt das zum Data Privacy Day?
Dieses Jahr gibt es in Sachen Datenschutz (wie auch immer er richtig oder falsch verstanden wird) drei wichtige Dinge zu beachten: den Brexit, Datenschutzverletzungen und das NIST Privacy Framework Version 1.0. In derselben Reihenfolge: Unsicherheit, Befürchtungen und Hoffnung auf Veränderung. Eine nicht ganz uninteressante Wendung zu Beginn dieses neuen Jahres. Und dennoch wird das Jahr 2021 genau so in Erinnerung bleiben.
Der Brexit hinterlässt ein Dilemma: Wie wird die EU-Datenschutz-Grundverordnung (DSGVO oder General Data Protection Regulation/GDPR) mit einem Land umgehen, das die EU verlassen hat? Nicht wenige sehen hier ein Problem. Etliche Datenschutzexperten stellen sich die nicht unberechtigte Frage, ob nun für die EU die gleichen Regeln gelten wie für andere ausländische Nationen, etwa die USA. Hier haben wir das Vereinigte Königreich, eine Nation, welche die EU verlässt, aber den gleichen Datenschutzgesetzen unterliegt. In diesem Jahr werden wir sehen wie Europa mit einer Nation umgeht, die Teil der Europäischen Union war – und es nicht mehr ist. Dies wird den Weg für zukünftige Verträge ebnen, welche die Privatsphäre aller Menschen ausreichend schützen. Das zumindest hoffen viele von uns. Trotzdem bleibt ein Gefühl der Unsicherheit.
Die Zahl der schwerwiegenden Datenschutzverletzungen im Jahr 2020 war erschreckend. Aber war das vielleicht nur die Spitze des Eisbergs? Wieviele wurden tatsächlich aufgedeckt und wieviele nicht? Trotz der gravierenden gesellschaftlichen Veränderungen im letzten Jahr, fehlt es bei vielen Unternehmen immer noch an den Grundlagen: dem Schutz von priviligierten Konten (Privileged Account Management) oder dem Grundsatz der minimalen Rechtevergabe (Least Privilege Management) – anders ausgedrückt, eine Datenschutzverletzung ist nur möglich, wo jemand auch auf Daten zugreifen kann. CISOs und CIOs sind beunruhigt über Datenschutzverletzungen, von denen sie vielleicht nichts wissen, schlicht, weil die verantwortlichen Mitarbeiter:innen nicht vor Ort sind – genauso wenig wie der Rest der Belegschaft. In Irland wurde bereits ein neues Gesetz hinsichtlich Remote Working verabschiedet. Aber etliche Unternehmen haben noch deutlichen Nachholbedarf, und das Wissen darum, verunsichert die Branche.
Fazit
Aber die Hoffnung stirbt zuletzt. Eines der Probleme mit Datenschutzprogrammen ist, ganz im sokratischen Sinne, dass man nicht weiß, was man nicht weiß – bis man es tut. Das NIST Privacy Framework Version 1.0 ist ein Anfang. Unternehmen können einfach anfangen die wirklich hilfreiche Checkliste durchzugehen, um ein praktikables, ehrliches Datenschutzprogramm auf die Beine zu stellen. Ich bin die Liste selbst schon mit einigen durchgegangen, und kann bestätigen, dass sie wirklich leicht verständlich ist. Und sie regt dazu an, in die richtige Richtung zu denken. Das lässt hoffen.
Wir beginnen das neue Jahr also in der Hoffnung, dass all den Unternehmen, die Argumente ausgehen, die behaupten nicht genügend Budget für ein Datenschutzprogramm zu haben oder die Tatsache ignorieren, dass eine Strafverfolgung nicht nur schlecht für die Optik ist.
Für ein Datenschutzprogramm muss man sich Zeit nehmen. Trotzdem muss man nicht sofort einen externen Experten beauftragen. Fangen Sie intern an, auch damit werden Sie bereits Fortschritte erzielen.
Konzentrieren wir uns auf diese nicht unbegründete Hoffnung und den Schutz von Menschen und ihren persönlichen Daten.