Datenschutz und Vorschriften sicher einhalten
Machen Sie sich Gedanken über Datenschutzvorschriften wie NIS2, DSGVO, CCPA/CPRA oder HIPAA (um nur einige zu nennen)? Dazu gibt es keinen Grund. Erfahren Sie, wie Best Practices und die Zusammenarbeit mit den richtigen Partnern einen entscheidenden Unterschied bewirken können.
Unternehmen erfassen und verwalten mehr Daten als je zuvor. Mit zunehmendem Technologieeinsatz in allen Funktionen eines Unternehmens steigt auch die Datenmenge weiter an.
Regierungen und Unternehmen erlassen und entwickeln immer wieder neue Rahmenbedingungen für Datenschutz und Privatsphäre. Darunter sind Gesetze, die erhebliche Geldstrafen bei Compliance-Verstößen vorsehen, aber auch einfache Richtlinien, die eingehalten werden sollten. Die meisten dieser Gesetze und Richtlinien haben jedoch den gleichen Zweck: Sie sollen Unternehmen dazu veranlassen, Best Practices beim Erfassen, Speichern, Verwalten und Sichern von Daten anzuwenden.
Auch wenn es überwältigend erscheinen mag, mit all den Datenverordnungen Schritt zu halten, muss es das nicht sein. Es gibt viele Überschneidungen zwischen verschiedenen Datenschutzgesetzen und -richtlinien. Erfahren Sie, wie Sie neue und bereits geltende Vorschriften einhalten können.
E-BOOK
Übersicht über die wichtigsten Vorschriften zu Datenschutz und Privatsphäre
Ein wesentlicher Überlastungsfaktor sind die zahlreichen verschiedenen Vorschriften zu Datenschutz und Privatsphäre. Es ist schon schwer genug, sich die ganzen Akronyme und Abkürzungen zu merken. Noch komplexer wird es, wenn Sie sich die Details, Anforderungen und Folgen der einzelnen Vorschriften einprägen wollen.
Dabei sollten Sie sich bewusst machen, dass alle Vorschriften auf ähnlichen Datenschutzgrundsätzen und -anforderungen basieren. In vielerlei Hinsicht ergänzen sie einander. Bevor wir uns mit den Gemeinsamkeiten befassen, sehen wir uns einige unterschiedliche Vorschriften aus verschiedenen Teilen der Welt an:
Datenschutz-Grundverordnung |
Die Datenschutz-Grundverordnung (DSGVO) ist eines der wichtigsten Regelwerke zu Datenschutz und Privatsphäre in Europa. Sie regelt, wie Unternehmen und Organisationen personenbezogene Daten von Bürgern der Europäischen Union (EU) erfassen, nutzen und weitergeben dürfen. Die DSGVO ist weltweit bekannt, insbesondere da sie international für alle Unternehmen und Organisationen gilt, die Daten von EU-Bürgern verarbeiten. Zudem gibt sie einen Richtwert für Strafzahlungen bei Verstößen vor – bis 4 % des Jahresumsatzes oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist.
WHITEPAPER
Richtlinie zu Netzwerk- und Informationssystemen |
Die Richtlinie zu Netz- und Informationssystemen (NIS2) stellt eine Erweiterung der früheren EU-Richtlinie zur Cybersicherheit (NIS1) dar. Sie stellt sicher, dass alle Unternehmen und Organisationen, die ihre Dienste oder Aktivitäten innerhalb der EU anbieten und als Teil der kritischen Infrastruktur gelten, strenge Praktiken im Bereich der Cybersicherheit einführen und konsequent anwenden. Sie berührt auch Aspekte wie Perimeterschutz, Gebäudezutritt, Besucherverwaltung und Disaster Recovery. Sie können Ihr aktuelles System anhand dieser Checkliste bewerten.
WHITEPAPER
ISO 27001 |
ISO 27001 ist der führende internationale Standard für das Management der Informationssicherheit. Er gibt einen Rahmen mit spezifischen Anforderungen vor, der Unternehmen dabei helfen soll, Risiken im Zusammenhang mit Informationssicherheit effektiv zu managen und abzusichern. Diese ISO-Anforderungen sind zwar nicht bindend, doch viele Unternehmen lassen sich freiwillig zertifizieren, damit sie Risiken besser managen sowie ihren Geschäftspartnern und Kunden zeigen können, dass sie die Datensicherheit ernst nehmen.
Gesetz über künstliche Intelligenz der Europäischen Union |
Das Gesetz über künstliche Intelligenz der Europäischen Union (EU-KI-Gesetz) regelt die Entwicklung und Nutzung von KI-Systemen. Mit dem Gesetz soll sichergestellt werden, dass die in der EU vorhandenen KI-Systeme sicher, transparent, nachvollziehbar, frei von Diskriminierung und ökologisch nachhaltig sind. Das EU-KI-Gesetz reguliert KI-Anwendungen basierend auf Risikokategorien und sieht bei Verstößen Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes vor.
Weitere Beispiele für internationale Vorschriften in Bezug auf Datenschutz und Privatsphäre |
- Data Protection Act, Vereinigtes Königreich
- Personal Information Protection and Electronic Documents Act (PIPEDA), Kanada
- Bundesdatenschutzgesetz (BDSG), Deutschland
- Lei Geral de Proteção de Dados (LGPD), Brasilien
- Bundesgesetz über den Datenschutz (DSG), Schweiz
- California Privacy Rights Act (CPRA), Kalifornien, USA
- Health Insurance Portability and Accountability Act (HIPAA), USA
BLOG
Die grundlegenden Prinzipien der Datenschutzvorschriften
Jedes Gesetz, jede Verordnung und jede Richtlinie enthält in der Regel spezifische Anforderungen, die für Ihr Unternehmen und Ihre Betriebsabläufe möglicherweise relevant oder aber irrelevant sind. Wenn Sie in Ihrem Unternehmen jedoch schon proaktiv an Datenschutz und Privatsphäre denken oder in diesen Bereich investieren, sind Sie in puncto Compliance wahrscheinlich auf dem richtigen Weg.
Verantwortungsbewusste Unternehmen handeln richtig. Denn ihnen ist bewusst, wie wichtig und dringlich es ist, alle Daten in ihrem Besitz sicher aufzubewahren – ganz gleich, ob es ihre eigenen sind oder die ihrer Lieferanten, Partner oder Kunden. Sie sind bestrebt, Bewertungen durchzuführen, in Tools zu investieren und Prozesse einzuführen, die den Hauptprinzipien der Vorschriften zu Datenschutz und Privatsphäre entsprechen. Nicht etwa, weil sie dazu verpflichtet sind, sondern weil sie wissen, dass dies die Geschäftskontinuität sowie das Vertrauen ihrer Partner und Kunden aufrechterhält.
Welche Hauptprinzipien liegen den meisten Datenschutzvorschriften zugrunde? Dazu eine kurze Übersicht:
Erlaubnis zur Datenerhebung und -nutzung |
Sie müssen über die entsprechenden Berechtigungen zur Datenerhebung und -nutzung verfügen, die einem legitimen Zweck oder Ziel dient.
Einschränkung der Speicherung und Nutzung |
Sie müssen die von Ihnen aufbewahrten Daten beschränken und dürfen nur die Daten nutzen oder speichern, die zur Erfüllung bestimmter Anforderungen oder Ziele erforderlich sind.
Transparenz und Richtigkeit |
Sie müssen beim Umgang mit Daten Transparenz wahren und die Richtigkeit der Informationen sicherstellen, damit Sie diese ordnungsgemäß nutzen können.
Schutz und Sicherheit |
Sie müssen geeignete Maßnahmen zum Schutz und zur Sicherung Ihrer Daten ergreifen und sicherstellen, dass nur Personen mit berechtigtem Interesse auf die Daten zugreifen können.
Individuelle Rechte |
Sie müssen die Rechte einzelner Personen in Bezug auf ihre eigenen Daten respektieren, z. B. das Recht auf Zugriff, Berichtigung und Löschung.
Rechenschaftspflicht |
Sie müssen Verantwortung für Ihren Umgang mit den Daten übernehmen. Das bedeutet auch, dass Sie über entsprechende Maßnahmen und Aufzeichnungen verfügen müssen, die Auskunft darüber geben, wie Sie mit den Daten umgehen und was Sie unternehmen, um die Grundsätze des Datenschutzes und der Privatsphäre einzuhalten.
LESEZEICHEN-EMPFEHLUNG
3 häufige Missverständnisse in Bezug auf Datenschutzvorschriften
Sie sind auf dem richtigen Weg, wenn Sie Best Practices umsetzen und die Feinheiten der Datenschutzvorschriften kennen. Aber selbst dann kann immer noch Unsicherheit herrschen. Häufig werden Fragen gestellt wie „Ist das ein Datenschutzgesetz oder eine Richtlinie?“, „Müssen die Daten in unserem Land gespeichert werden?“ oder „Ist diese Datenschutzbestimmung für uns relevant?“.
Unterschiede zwischen Vorschriften, Verordnungen, Richtlinien und Leitlinien kennen |
Die neueste NIS2-Richtlinie ist zurzeit in aller Munde. Für ähnliche Aufregung sorgte vor einigen Jahren die DSGVO. Und in den nächsten Jahren wird es wahrscheinlich weitere neue Rahmenbedingungen geben, die Aufmerksamkeit erregen werden.
WEBINAR
Natürlich ist es wichtig, auf dem Laufenden zu bleiben, aber nichts wird so heiß gegessen, wie es gekocht wird. Das gilt insbesondere, wenn Sie bereits Best Practices für Datensicherheit und -schutz anwenden und dabei auf vertrauenswürdige Partner setzen. Mit einem praktischen und umfassenden Konzept zum Schutz Ihrer Daten sind Sie besser in der Lage, die Vorschriften einzuhalten.
Außerdem sollten Sie bedenken, dass nicht alle Rahmenbedingungen gleich Gesetze sind. Die DSGVO beispielsweise ist eine rechtsverbindliche Verordnung in allen EU-Mitgliedstaaten. Hingegen ist NIS2 eine Richtlinie. Das bedeutet, sie enthält Anforderungen, die erfüllt werden müssen. Voraussetzung ist jedoch, dass die Mitgliedstaaten diese Verpflichtungen auch tatsächlich in nationale Gesetze umsetzen. Die Umsetzung und Durchsetzung von NIS2 kann sich von Mitgliedstaat zu Mitgliedstaat unterscheiden.
Viele nationale Zertifizierungsstellen in ganz Europa – etwa ANSSI in Frankreich, das BSI in Deutschland, GovPass im Vereinigten Königreich und Rijkspas in den Niederlanden – NIS2-Anforderungen in irgendeiner Form übernommen. Insgesamt folgen diese Länder der NIS2-Richtlinie, passen sie aber unterschiedlich an ihr Land an. Und auch wenn überall umfassende Cybersicherheitsmaßnahmen vorgesehen sind, liegt ein besonderes Augenmerk auf der Zertifizierung der Robustheit physischer Zutrittskontrollsysteme.
Durch die Implementierung eines hochgradig sicheren Zutrittskontrollsystems mit sicheren, unterstützten E/A-Modulen können Sie diese strengen europäischen Cybersicherheitsvorschriften leichter einhalten. Ein hochgradig sicheres Zutrittskontrollsystem bietet vollständig verschlüsselte Protokolle und erweiterte Cybersicherheitsfunktionen – vom Berechtigungsnachweis und dem Lesegerät bis hin zum Controller und der Software. Diese Maßnahmen ermöglichen eine sichere Türsteuerung und sorgen gleichzeitig dafür, dass vertrauliche Informationen innerhalb des gesicherten Perimeters bleiben. Somit können Sie das Risiko des Abgreifens von Daten oder des Klonens von Berechtigungsnachweisen reduzieren.
PRODUKT
Zum Schluss dieses Abschnitts kommen wir zu ISO 27001. Dabei handelt es sich um einen Standard und eine Zertifizierung. ISO 27001 ist zwar nicht gesetzlich vorgeschrieben, kann Unternehmen aber bei der Einhaltung von Vorschriften helfen, da die Empfehlungen mit DSGVO, NIS2 und sonstigen Verordnungen und Richtlinien weitgehend in Einklang stehen.
Mit diesem Wissen können Sie die Erwartungen und Anforderungen bei der Einführung neuer Gesetze oder Richtlinien besser einschätzen.
KOSTENLOSER LEITFADEN
Die Wahrheit über Data Governance und Geografie |
Inzwischen stellen immer mehr Unternehmen auf Cloud-Lösungen oder Hybrid-Cloud-Bereitstellungen um. Dabei kommt die Frage auf, ob sie die Daten in ihren eigenen Ländern aufbewahren müssen, um die geltenden Vorschriften einzuhalten. Die kurze Antwort lautet: Die meisten Daten unterliegen Datenresidenz-Embargos und können daher rechtmäßig in andere Länder exportiert und dort verarbeitet werden. Allerdings müssen dabei bestimmte Datenschutz- und Sicherheitsmaßnahmen getroffen werden.
Es gibt jedoch Ausnahmen. So können etwa für bestimmte Arten von Daten, die von Akteuren in stark regulierten Branchen (z. B. Banken, Behörden und kritische Infrastrukturen) mit hoher Vertraulichkeit verarbeitet werden, Beschränkungen bei der Datenaufbewahrung gelten. In anderen Fällen halten sich Unternehmen einfach an die Richtlinie, Daten innerhalb bestimmter geografischer Grenzen aufzubewahren, auch wenn dies nicht vorgeschrieben ist.
Eine weitere große Ausnahme scheint für personenbezogene Daten zu gelten. Tatsächlich jedoch müssen die meisten Unternehmen jedoch keine gesetzlichen Anforderungen für personenbezogene Daten erfüllen, die in Ihrem Land gespeichert sind. Der eigentlich wichtige Aspekt ist, dass die Daten so behandelt und geschützt werden, wie es den geltenden Vorschriften des Heimatlandes entspricht.
Daher ist die Zusammenarbeit mit einem vertrauenswürdigen Anbieter von entscheidender Bedeutung. Gut informierte und kompetente Anbieter sollten zudem in der Lage sein, mehrere Optionen für Rechenzentrumsstandorte bereitzustellen, die Ihren Anforderungen und Präferenzen gerecht werden. Zudem sollte der Anbieter Ihnen bei der Feststellung helfen, welche Option angesichts der geschäftlichen und behördlichen Anforderungen an Ihr Unternehmen am besten ist.
Bewusstsein für Rollen und Verantwortlichkeiten |
In Ihrer Lieferkette haben wahrscheinlich viele verschiedene Akteure mit unterschiedlichen Rollen die Aufgabe, Ihre Daten zu verarbeiten. Wer auf welche Daten zugreifen darf, ist letztlich Ihre Entscheidung. Doch auch Ihre Partner tragen Verantwortung dafür, dass Ihre Daten ordnungsgemäß verwaltet und gesichert werden.
Als Datenverantwortlicher sind Sie beispielsweise dafür zuständig, Ihre Vertriebspartner und Lieferanten sorgfältig zu prüfen. Außerdem müssen Sie sich bei Ihren Partnern erkundigen, auf welche Daten sie zugreifen können und wie sie diese verwalten, speichern und sichern wollen. Sie haben auch die Verantwortung, die Praktiken der Partner kontinuierlich dahingehend zu überprüfen, ob sie sich an Best Practices halten und ihren Verpflichtungen nachkommen.
Aber Sie tragen nicht die gesamte Verantwortung. Ihre Technologiepartner und Anbieter agieren im Allgemeinen als Ihre Datenverarbeiter. Somit sind sie für die technische Komponente verantwortlich und müssen stets Transparenz im Umgang mit Ihren Daten und bei deren Schutz wahren. Darüber hinaus müssen sie die Verantwortung für ihre eigenen Handlungen (einschließlich der Handlungen ihrer Lieferanten) übernehmen, die sich auf Ihr Unternehmen auswirken oder von den Zusagen abweichen, die sie Ihnen gegenüber tätigen.
Vorschriften leichter einhalten – mit guten Lösungen
Nicht alle physischen Sicherheitslösungen auf dem Markt sind so konzipiert, dass sie Best Practices für Cybersicherheit und Datenschutz unterstützen. Einige ältere, dezentrale Systeme wurden nicht dafür entwickelt, die unterschiedlichen gesetzlichen Anforderungen und Rahmenbedingungen zu erfüllen.
Wenn kontinuierliche Compliance höchste Priorität hat, hilft eine vereinheitlichte physische Sicherheitsplattform, die für Cybersicherheit und Datenschutz entwickelt wurde. Weitere Faktoren wie Bereitstellungsmodelle und verantwortungsvolle KI können dazu beitragen, dass auf dem Weg zu Ihren Compliance-Zielen besser vorankommen:
Integrierte Tools für Datenschutz und Privatsphäre
Physische Sicherheitslösungen, die mit Blick auf Cybersicherheit und Datenschutz entwickelt wurden, enthalten zahlreiche Tools, mit denen Sie die Resilienz erhöhen und für durchgängige Datensicherheit sorgen können. Schützen Sie Ihre Daten durch Verschlüsselung, Autorisierung und Authentifizierung und verhindern Sie, dass sensible Informationen in falsche Hände geraten.
Mit fortschrittlichen Tools und Services werden Sie über potenzielle Schwachstellen informiert und können Updates einfacher abwickeln. Anhand von zusätzlichen Funktionen können Sie den Zugriff und Nutzerrechte einschränken sowie Sicherheitsauswertungen bereitstellen, um eine umfassende Systemresilienz zu gewährleisten.
HUB
Konzept für vereinheitlichte physische Sicherheit
Eine vereinheitlichte physische Sicherheitsplattform hilft Ihnen beim Implementieren einer globalen Strategie für Datenschutz und Privatsphäre. Eine zentrale Plattform erleichtert die Standardisierung von Cybersicherheitsmaßnahmen für alle Ihre physischen Sicherheitssysteme.
Eine vereinheitlichte Plattform spart Zeit bei der Suche nach optimalen Lösungsansätzen, bei der Gewährleistung bestmöglicher Cyberhygiene, der Überprüfung der Systemintegrität oder bei der Kontrolle des Datenschutzes. Die eingesparte Zeit können Sie nutzen, um Ihre gesamten Sicherheits- und damit verbundenen Datenschutz- und Privatsphäreeinstellungen für Ihre Systeme von einer einzigen Oberfläche aus zu verwalten.
E-BOOK
Cloud- und Hybrid-Cloud-Implementierungen
Cloudbasierte Lösungen entlasten Ihre IT- und Sicherheitsteams von der ständigen Wartung und Absicherung. Ganz gleich, ob Sie auf eine Cloud- oder eine Hybrid-Cloud-Implementierung setzen – Sie können Ihre Systemintegritätsprüfungen und Datenschutzkontrollen von überall aus beaufsichtigen. Darüber hinaus profitieren Sie von einer stärkeren Automatisierung zur Sicherstellung Ihrer Cyberresilienz.
Wenn Sie sich für eine physische Sicherheit-as-a-Service-Lösung (PSaaS) entscheiden, können Sie die neuesten Versionen und Korrekturen automatisch auf Ihr System übertragen lassen. Zudem können Sie auf die neuesten Cybersicherheits- und Datenschutzfunktionen zugreifen, sobald diese verfügbar sind. So sind physische Sicherheitssysteme stets aktuell und vor der Ausnutzung von Schwachstellen geschützt.
PRODUKT
Warum verantwortungsvolle KI so wichtig ist
Mit künstlicher Intelligenz (KI) lassen sich große Datenmengen sehr schnell verarbeiten. Daher hat das Interesse an KI in der physischen Sicherheitsbranche zugenommen. Doch wenn KI-basierte Technologien nicht verantwortungsvoll eingesetzt werden, kann ihre Entwicklung oder Nutzung gegen den Datenschutz verstoßen. Von Voreingenommenheit und Diskriminierung bis hin zu verzerrten Ergebnissen und Entscheidungen ist alles denkbar.
Deshalb stehen KI-gestützte Innovationen mehr im Fokus von Gesetzgebern und Aufsichtsbehörden – und deshalb muss sich jedes Unternehmen gut überlegen, welche Lösungen es wählt und implementiert. Wer sicher sein will, dass er die gesetzlichen Vorschriften einhält, muss sich für Anbieter entscheiden, die großen Wert auf verantwortungsvolle KI legen.
Für Genetec bedeutet verantwortungsvolle KI, dass wir uns bei der Entwicklung unserer KI-Technologien an bestimmten Grundsätzen orientieren:
- Datenschutz und Data Governance: Wir übernehmen Verantwortung dafür, wie wir KI bei der Entwicklung unserer Lösungen einsetzen. Wir verwenden nur Datensätze, die den einschlägigen Datenschutzbestimmungen entsprechen. Datenschutz und Privatsphäre haben bei uns stets oberste Priorität.
- Vertrauenswürdigkeit und Sicherheit: Wir überlegen uns, wie wir bei der Entwicklung von KI-Modellen die Voreingenommenheit weitgehend verhindern und die Genauigkeit verbessern können. Wir sind stets bestrebt, die Ergebnisse der KI nachvollziehbar zu machen.
- Menschen einbeziehen: Bei Entscheidungen steht für uns der Mensch im Mittelpunkt und wir stellen sicher, dass KI-Modelle keine wichtigen Entscheidungen allein treffen können.
BLOG
Einhaltung von Vorschriften: So wählen Sie den richtigen Anbieter aus
Daten sind überall. An ihnen führt kein Weg vorbei. Wir leben in einer vernetzten Welt voller Daten. Vorschriften in Bezug auf Datenschutz und Privatsphäre können erdrückend sein, sollten aber niemanden erschrecken.
Verantwortungsbewusste Unternehmen wissen, dass regulatorische Rahmenbedingungen und Standards mit kritischen Geschäftspraktiken in Einklang stehen. Dabei ist es wichtig zu verstehen, was die Einhaltung von Vorschriften tatsächlich erfordert: ein pragmatisches und umfassendes Konzept für den Datenschutz und die Wahrung der Privatsphäre sowie die Zusammenarbeit mit vertrauenswürdigen Anbietern.
BLOG
Um die Einhaltung der dynamischen regulatorischen Rahmenbedingungen sicherzustellen, müssen Sie nicht nur eine geeignete Technologie auswählen, sondern auch die richtigen Partner. Für diese Partner muss die Einhaltung der Gesetze und Vorschriften oberste Priorität haben.
So sollten sie über die Ressourcen, Technologien, Rechtskompetenz, Verträge und Partnerschaften verfügen, die Ihnen bei der Sicherstellung der Compliance helfen – ganz gleich, wie sich die Regelungen entwickeln. Außerdem sind die Partner in der Lage, Ihnen eine Liste mit Zertifizierungen von Leitungsorganen und Aufsichtsbehörden für ihre Produkte ihren Betrieb bereitzustellen. Diese Zertifizierungen spielen eine entscheidende Rolle, wenn Sie das Engagement der Anbieter für Compliance und Datenschutz beurteilen möchten.