Europäischer Datenschutztag 2023 Datenschutz hat viele Facetten

Von Peter Schmitz Lesedauer: 7 min |

Anbieter zum Thema

Der Schutz von Daten ist für viele Unternehmen immer noch eine Herausforderung, bedenkt man, wie viele Vorfälle und Verstöße es innerhalb der letzten Monate gab. Der europäische Datenschutztag am 28.01.2023 soll Menschen ins Bewusstsein rufen, welche Risiken im Zusammenhang mit ihren personenbezogenen Daten und ihre diesbezüglichen Rechte existieren. Organisationen ermahnt er, personenbezogene Informationen gewissenhaft und konform zur Datenschutzgrundverordnung zu verarbeiten.

Die Relevanz eines durchdachten Datenschutzes hat sich weltweit herumgesprochen und der strenge europäische Datenschutz dient als Vorbild.
Die Relevanz eines durchdachten Datenschutzes hat sich weltweit herumgesprochen und der strenge europäische Datenschutz dient als Vorbild.
(Bild: mixmagic - stock.adobe.com)

Im Zuge der Digitalisierung steigt die Menge verarbeiteter Daten. Doch wie gehen Unternehmen mit kritischen Informationen um? Welche Standards haben sie etabliert und wie DSGVO-konform werden Daten behandelt? Zum Anlass des europäischen Datenschutztags geben verschiedene Unternehmen Einschätzungen und Ratschläge zum Thema Datenschutz und DGVO-Compliance.

Datenschutz bedingt Cybersicherheit

Nicht nur beim Datenschutz lauern einige Herausforderungen für Unternehmen: Die zahlreichen Sicherheitsvorfälle der letzten Jahre zeigen, welchen Wert Daten für Cyberkriminelle haben. Der richtige Schutz ist daher von entscheidender Bedeutung, weiß Al Lakhani, Gründer und CEO der IDEE GmbH: „Die DSGVO schützt zwar die Rechte von Verbraucher:innen, aber nicht zwangsläufig ihre Daten: Cyberkriminelle werden auch dieses Jahr wieder Unternehmen mit immer raffinierteren Phishing-Attacken bombardieren, um an Kunden- und Unternehmensdaten zu gelangen. In vielen Fällen wird ihnen das auch gelingen. Und das, obwohl Unternehmen nach der DSGVO verpflichtet sind, angemessene technische Maßnahmen zu ergreifen, um personenbezogene Daten vor unbefugtem Zugriff zu schützen.

Wäre es nicht schön, wenn die Regulierungsbehörden den Unternehmen auch konkret erklären würden, wie sie durch Datenklau verursachte DSGVO-Verstöße – und damit verbundene Bußgelder – vermeiden können? Wenn wir Datenschutzverletzungen und den Diebstahl personenbezogener Daten der Bürger:innen wirklich verhindern wollen, sollten die EU-Regulierungsbehörden eine Phishing-sichere Multi-Faktor-Authentifizierung für alle Organisationen vorschreiben. Dies würde IT-Entscheidern beim Thema DSGVO-Compliance einiges an Kopfzerbrechen ersparen, weil es den Datenklau durch Phishing de facto unterbindet.“

Doch Cybersicherheit und Datenschutz dürfen nicht zulasten älterer Personengruppen gehen, die mit modernen Sicherheitsmaßnahmen überfordert sein könnten, ergänzt Jan Wolter, General Manager EU bei Applause: „Wir leben in einer immer digitaleren Welt, in der Datenschutz wichtig ist. Doch er trägt dazu bei, dass bestimmte Schritte komplizierter werden. Zwei-Faktor-Authentifizierung und andere Maßnahmen, die uns schützen, erschweren es vor allem älteren Leuten, die sich digital noch nicht so gut zurechtfinden, am digitalen Leben teilzuhaben. Bei allem Fortschritt und dem nachvollziehbaren Wunsch nach Schutz müssen wir auch immer mitdenken, dass Digitalisierung gleichzeitig für alle in unserer Gesellschaft umsetzbar sein muss. Dabei hilft es, Anwendungen testen zu lassen, auch von Personen, die nicht Digital Natives sind.”

Von Wolken und Silos: Die Speicherung von Daten ist entscheidend für den Datenschutz

Ein DSGVO-Verstoß kann schon vorliegen, wenn Unternehmen sich für den falschen Cloud-Provider entscheiden: Handelt es sich um einen internationalen Hyperscaler, ist die Speicherung personenbezogener Informationen in seinen Rechenzentren nicht rechtens. Henrik Hasenkamp, CEO von Gridscale, plädiert deshalb: „Der Datenschutz wird auch 2023 entscheidende Bedeutung für Menschen und Unternehmen haben: Laut aktuellen Umfragen sieht jedes fünfte Unternehmen den Datenschutz als größte Herausforderung. Um sich vor Datenschutzverletzungen – und ihren Folgen – zu schützen, müssen Unternehmen auf Cloud-Anbieter aus Europa und besser noch Deutschland zurückgreifen, die dem strengen Regelwerk der DSGVO unterliegen.”

Abteilungen in Organisationen bauen häufig ihre eigenen Datensätze auf, um schnell auf die richtigen Informationen zugreifen zu können. Dies ist laut Daniel Kluge, Managing Consultant Data Security bei Valantic, hochproblematisch: „Eine der größten Herausforderungen in den Unternehmen sind auch heute noch die Datensilos: Jede Abteilung hat eigene Datensätze aufgebaut, die sie in der täglichen Arbeit nutzt. Dadurch entstehen nicht nur unnötige Duplikate und Mehrarbeit bei der Pflege der Informationen, leider erschweren Datensilos auch den Datenschutz. Die datenschutzrechtliche Verantwortung ist bei solch einer Konstellation oft unklar. Daher sollten Unternehmen in diesem Jahr die Zusammenführung der Datensilos forcieren. Das stärkt die Datensicherheit, verringert das Risiko von Datendiebstahl und hebt den vielbeschworenen Datenschatz, den Unternehmen mit Hilfe von KI optimal einsetzen können.”

Datenschutz ist in erster Linie Aufgabe desjenigen, der personenbezogene Daten erhebt und verarbeitet. Das bedeutet auch, sich um die datenschutzgerechte Speicherung in entsprechenden Rechenzentren zu kümmern, erklärt Fin Glowick, Chief Revenue Officer von WISO MeinBüro: „Daten bekommen mit dem Fortschreiten der Digitalisierung einen immer größeren Stellenwert. Es werden immer mehr Daten online gespeichert und sind Ziel von Cyberkriminellen. Deshalb muss jedes Unternehmen den Schutz der personenbezogenen Daten der Kunden als oberste Priorität ansehen. Dabei ist es essentiell, dass Unternehmen den Datenschutz selbst in die Hand nehmen. Für Daten, insbesondere sensible Finanz- und Unternehmensdaten, muss das Speichern nach deutschem Datenschutzrecht in nach VdS-10.000-zertifizierten deutschen Rechenzentren absoluter Standard sein. Verbraucherinnen und Verbraucher sollten darauf achten, dass die genutzten Dienste ihre Kundendaten in entsprechenden Rechenzentren speichern. Unternehmen müssen zum Speicherungsort Auskunft geben. Wichtig ist zudem der Einsatz von Datenschutzbeauftragten. Diese fungieren als erste Anlaufstelle für Sicherheit – für die Unternehmen intern und die Kundschaft gleichermaßen.”

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Personalbeschaffung datenschutzgerecht regeln

Im Bereich der Talentakquise und Personalbeschaffung, wo Unternehmen sensible personenbezogene Daten von Bewerbern sammeln, ist es besonders wichtig, verantwortungsvoll mit Bewerberdaten umzugehen. Vor allem, wenn verschiedene Teams am Einstellungsprozess involviert sind, und dies möglicherweise über Landesgrenzen hinweg. Laut DSVGO gibt es für Talentakquise-Teams hauptsächlich zwei Rechtsgrundlagen, um Daten von Bewerbenden zu erfassen, mit denen keine vertragliche Beziehung besteht: das berechtigte Interesse und die Einwilligung.

Dazu erklärt Robby Perdue, Group Product Manager, Greenhouse Software: „Softwarelösungen im Bereich der Personalbeschaffung werden immer wichtiger. Nicht zuletzt, um Recruiting-Teams zu entlasten, sondern auch, um eine optimale Candidate Journey zu ermöglichen und Absprungsraten im Bewerbungsprozess so gering wie möglich zu halten. Gerade in Zeiten des Fachkräftemangels ist dies ein klarer Wettbewerbsvorteil. Um die großen Datenmengen zu verwalten und zu schützen, sollte der interne Prozess der Datenerfassung jedoch gut definiert sein. Man sollte genau festlegen, welche Personen beteiligt sind, welche Zugriffsrechte sie benötigen und welche Daten nicht zugänglich sind. Ein strukturierter Einstellungsprozess berücksichtigt dies und beugt zudem Voreingenommenheiten vor, indem nur Daten einbezogen werden, die für die Stelle relevant sind. Bei der Auswahl eines Bewerber:innen-Managementsystems ist die ISO-Zertifizierung ein guter Indikator dafür, ob der Schutz personenbezogener Daten tatsächlich ernst genommen wird. Denn es ist eine Sache, zu sagen, dass sich ein Unternehmen um den Datenschutz kümmert, aber es ist noch besser, einen Prüfbericht und ein Zertifikat von einer dritten Partei zu haben.”

Auf die richtige Schulung kommt es an

Datenschutz kann kompliziert sein und der DSGVO-konforme Umgang mit Informationen muss mit Bedacht erfolgen. Damit Mitarbeiter wissen, wann sie welche Daten verarbeiten dürfen, müssen sie vorher nachhaltig geschult werden. Philipp von Bülow, CEO von Lawpilots, dazu: „Verstöße gegen die DSGVO gehören leider immer noch zum Alltag. Verwunderlich ist dies allerdings nicht, können doch schon kleine Fehler oder Unachtsamkeiten eine Datenschutzverletzung darstellen, die wiederum Strafzahlungen und nicht zu unterschätzenden Reputationsverlust für Unternehmen bedeuten können. Laut einer aktuellen Untersuchung von IBM sind die durchschnittlichen Kosten einer Datenschutzverletzung um 2,6 Prozent gestiegen, von 4,24 Millionen US-Dollar im Jahr 2021 auf 4,35 Millionen US-Dollar im Jahr 2022. Der Schutz personenbezogener Daten ist daher eine Aufgabe, die alle Mitarbeitenden unabhängig von ihrer Position und Abteilung im Unternehmen erfüllen müssen. Dabei geht es vor allem darum, Menschen für den Umgang mit Daten zu sensibilisieren. Besonders Online-Schulungen helfen dabei, Mitarbeitenden den sicheren und rechtskonformen Umgang mit sensiblen Daten auf leicht verständliche Art und spielerische Weise näherzubringen sowie freiheitliche Werte in konkrete Rechtsprechung zu übersetzen.”

Datenschutz in der echten Welt: Nachholbedarf im Einzelhandel

Wer bei Datenschutz und DSGVO nur an die Online-Welt denkt, irrt. Auch in unseren physischen Sphären sind Daten inzwischen ein wichtiger Faktor für Unternehmen. Beispielhaft steht hier der stationäre Handel, in dem Bewegungsmuster, Verweildauern, Produktpräferenzen und vieles mehr durch Sensortechnologie getrackt werden. Omar Tello, Co-Founder & CEO Sensalytics, weiß, dass diese Daten – wenn sie datenschutzkonform erhoben werden, wertvoll sind: „Die Analyse im Einzelhandel ist für die Optimierung von Sortimenten, Ladenflächen, Personalplanung und der Customer Journey insgesamt von enormer Wichtigkeit. Leider haben vor allem die Fälle, bei denen nicht DSGVO-konform getrackt wurde, eine Skepsis gegenüber der Technologie geweckt, es wird von ‘gläsernen Kunden’ gesprochen. Die Wahrheit ist: personenbezogene Daten sind für den Einzelhandel gar nicht sinnvoll. Was es braucht, sind datenschutzkonforme Metadaten, die für strategische und operative Entscheidungen nutzbar sind. Die Einhaltung der DSGVO und der Schutz persönlicher Daten sind kein USP, sondern das absolute Minimum für Unternehmen, die mit sensiblen Daten arbeiten.”

Europa als Leader im Datenschutz

Die Relevanz eines durchdachten Datenschutzes hat sich weltweit herumgesprochen und der strenge europäische Datenschutz dient als Vorbild. Unternehmen, die heute schon DSGVO-konform sind, werden auch Datenschutzregeln in anderen Regionen gelassen entgegenblicken können.

Marian Gläser, Geschäftsführer und Gründer von brighter AI, dazu: „In Europa sind wir in einer privilegierten Lage, wenn es um Datenschutz und Technologie zum Datenschutz geht. Dank der starken Regulierungen in der Europäischen Union mussten wir früh gute Lösungen finden, um Daten nutzbar zu machen und dennoch Persönlichkeitsrechte zu schützen. Anforderungen, die in anderen Ländern erst langsam aufkommen. Daher sind wir in Europa führend, wenn es um die Entwicklung guter Datenschutzlösungen geht. Um diesen Status zu behalten, bedarf es allerdings gezielter Investitionen in innovative Technologien und eine Stärkung der Tech- und Start-Up-Szene.”

(ID:49034485)