ccpa-data-privacy
(Lesedauer: 9 Min.)

CCPA und die sich entwickelnde Rolle der Datenschutzgesetze

Anstatt auf jede einzelne Rechtsvorschrift bei ihrer Verabschiedung zu reagieren, sollten Organisationen die Implementierung von Data...

Subroto Mukerji

Mitwirkende: Jimma Elliott-Stevens, Christopher EvansStephen NolanNirmal Ranganathan

Die Bemühungen um den Schutz von Verbraucherdaten sind mit der Verabschiedung des kalifornischen Verbraucherschutzgesetzes (The California Consumer Privacy Act, CCPA) am 1. Januar einen großen Schritt vorangekommen. Kalifornien, als eine der größten Volkswirtschaften der Welt, ist offiziell der erste Staat, der umfassende Gesetze zum Schutz von Verbraucherdaten verabschiedet hat. Der CCPA folgt dabei der bekannten europäischen Datenschutz-Grundverordnung (DSGVO), wobei noch kein anderer Staat eine ähnliche Gesetzgebung erlassen hat.

Auch wenn der CCPA in den Vereinigten Staaten vorerst eine Besonderheit darstellt, wird allgemein angenommen, dass er und andere Gesetze wie dieses zu einer noch stärker regionalisierten Gesetzgebung im Bereich des Verbraucherdatenschutzes führen werden. Die Verbraucher verlangen zunehmend, darüber informiert zu werden, wer über ihre Daten verfügt und wie sie verwendet werden. Langsam beginnen Unternehmen, die Auswirkungen von Strafen und Bußgeldern im Zusammenhang mit der Nichteinhaltung der DSGVO zu realisieren. Wenn Sie sich parallel dazu klarmachen, welche Gesetzgebung sich am Horizont abzeichnet, ist es klug zu überlegen, was dies für Ihr Unternehmen bedeutet.

Unternehmen können dazu beitragen, die Herausforderungen durch zukünftige Rechtsvorschriften zu bewältigen, indem sie sicherstellen, dass sämtliche Datenstrategien auf Sicherheit ausgerichtet sind. Anstatt auf jede einzelne Rechtsvorschrift bei ihrer Verabschiedung zu reagieren, sollten Unternehmen stattdessen den Datenschutz und die Datenverwaltung in jedem Aspekt ihres Unternehmens berücksichtigen und wichtige Entscheidungen stets unter Berücksichtigung des Datenschutzes treffen.

Was ist der Grund für neue Gesetze?

Ein Großteil der neuen Rechtsvorschriften sind auf das Chaos von immer größeren und häufigeren Datenschutzverletzungen zurückzuführen – und auf die daraus resultierenden Sorgen und Bedenken der Kunden im Zusammenhang mit diesen Verstößen.

Große Datenverstöße wie die bei Facebook und Equifax haben die personenbezogenen Daten vieler Tausender Menschen in Mitleidenschaft gezogen. Sie sind nun beunruhigt und besorgt, dass ihre sensiblen Daten weltweit für jedermann zugänglich sind und zu Geld gemacht werden können. Ein Gesetz wie der CCPA versucht, Daten zu regulieren, damit Verbraucher über ihre Rechte informiert sind, wo sich ihre Daten befinden, ihr Recht auf Vergessenwerden, wie ihre Daten verwendet und gespeichert werden und mit wem sie geteilt werden.

Verstöße sind finanziell kostspielig und führen häufig zu einer Schädigung der Marke und des Rufs des Unternehmens, das sie begangen hat. Zudem nimmt die Zahl der Verstöße zu, da Hacker immer raffinierter werden. Aus diesem Grund benötigen Unternehmen einen soliden Plan für den Datenschutz, einschließlich einer kontinuierlichen Sicherheitsüberwachung durch qualifizierte Sicherheitsexperten.

Während mehrere Branchen, insbesondere das Gesundheitswesen und Finanzdienstleistungsunternehmen, schon vor langer Zeit Maßnahmen zum Schutz personenbezogener Daten ergriffen haben, sind Data Governance und der Schutz von Verbraucherdaten für viele andere Branchen relativ neue Überlegungen. Dementsprechend sind Rechtsvorschriften wie die DSGVO und der CCPA häufig der Anstoß für Veränderungen.

Bewegen wir uns in Richtung eines globalen Standards?

Obwohl Datenschutzgesetze in den kommenden Jahren wahrscheinlich weiterhin in neuen Regionen umgesetzt werden, ist es zweifelhaft, ob es jemals einen weltweiten Standard für Datenschutz und -verwaltung geben wird. Die Realität ist, dass Länder in unterschiedlichen geografischen Regionen wahrscheinlich nie das Maß an Einheitlichkeit erreichen werden, das für die Vereinbarung und Verabschiedung einer einheitlichen Gesetzgebung erforderlich ist. Zum Beispiel gibt es im asiatisch-pazifischen Raum eine Gesetzgebung, die noch strenger als die DSGVO und der CCPA ist. Daneben haben Länder wie Russland und China Gesetze, die es illegal machen, dass Daten physisch das Land verlassen. Es ist schwer vorstellbar, in welchem Szenario sich diese Länder auf genau das einigen könnten, was in einer einzigen Rechtsvorschrift enthalten sein muss.

Eine weitere Hürde auf dem Weg zu einem globalen Datenschutzstandard ist die Durchsetzung der Compliance. Bei so vielen unterschiedlichen Anforderungen, die derzeit von einem Land zum anderen gelten, und bei den immensen regionalen Unterschieden zwischen Regierungsorganisation und Aufsicht ist es unwahrscheinlich, dass es jemals eine einheitliche Durchsetzung der Compliance geben wird.

Ein wahrscheinlicheres Szenario ist, dass Datenschutzgesetze weiterhin lokal formuliert und durchgesetzt werden, wodurch die Skalierbarkeit von Daten über verschiedene Regionen hinweg schwieriger wird. Vor diesem Hintergrund werden einige Unternehmen schließlich erkennen, dass die Bedienung einiger Regionen bzw. Märkte weniger rentabel ist als die Bedienung anderer.

Für entsprechende Datenschutzmandate werden die Länder weiterhin zu konservativeren, regionalisierten Ansätzen tendieren, was Unternehmen vor Herausforderungen stellen kann. Hier kann Data Security by Design helfen.

Implementieren von Data Security by Design

Das Prinzip von „Data Security by Design“ ist die Annahme, dass Ihr Unternehmen von einer kommenden Gesetzgebung betroffen sein wird.

Im Allgemeinen ist es am sinnvollsten, Praktiken für die Datensicherheit zu implementieren, mit denen Sie neue Gesetze einhalten können. Möglicherweise müssen Sie sich in Zukunft an eine neue Rechtsvorschrift anpassen. Wenn Sie jedoch die richtigen Grundprinzipien einführen, haben Sie bessere Chancen, bereits vor dem Erlass nahe der Einhaltung zu sein.

Nachfolgend einige Möglichkeiten für die Implementierung von „Data Security by Design“:

Ein Drei-Säulen-Ansatz

Es ist am besten, wenn Sicherheit und Datenschutz von der Geschäftsleitung als Prioritäten betrachtet werden. Es handelt sich hier um eine Initiative auf Führungsebene, die vom CEO und der Rechtsabteilung als Grundvoraussetzung für Ihr Unternehmen anerkannt werden muss. Es gibt keine Ausnahme von dieser Regel: Sicherheit und Datenschutz müssen auf Ihrer Roadmap stehen und unternehmensweit priorisiert werden.

Das Datenschutzmanagement muss Teil Ihrer Unternehmenssatzung sein, in Ihre KPIs integriert und in wiederkehrenden Betriebsprüfungen dokumentiert werden. Darüber hinaus befürworten wir einen Drei-Säulen-Ansatz zur Datensicherheit. Damit Ihre Praktiken erfolgreich sind, benötigen Sie die folgenden Teams:

  • Recht: Sie benötigen Anwälte, die die Anforderungen für Sie übersetzen und Ihnen helfen, genau zu verstehen, was die verschiedenen Gesetze für Ihr Unternehmen bedeuten.
  • Experten und Architekten für Technologie und Sicherheit: Dieses Team wird die zur Erfüllung der Anforderungen erforderlichen Lösungen entwickeln und umsetzen.
  • Compliance- und Risiko-Team: Dieses Team wird die richtigen Prozesse und Audits implementieren, um eine kontinuierliche Compliance zu gewährleisten.

Das technische Fachwissen, das jedes Team mitbringt, sollte fundiert sein, um sicherzustellen, dass Sie die für Ihre Branche und Ihr Unternehmen spezifischen datenbezogenen Belange angemessen berücksichtigen.

Ernennung eines Chief Data Officers und Etablierung einer Abteilung für Data Governance

Erwägen Sie, einen Chief Data Officer (CDO) einzustellen oder zu ernennen und eine Abteilung für Data Governance zu schaffen. Diese Abteilung wird sich dem Thema Datensicherheit annehmen und die alltäglichen Aufgaben in diesem Bereich übernehmen. Ihr Zweck (und der des CDOs) ist es, Ihrem Unternehmen genau definierte Einblicke in die von Ihnen verwalteten Daten zu ermöglichen und Ihnen die Möglichkeit zu geben, strategische, datengesteuerte Entscheidungen auf der Grundlage Ihres Datenbestands zu treffen.

Die Rolle des CDO ist eine Kombination aus CTO, CIO und CISO. Jede dieser Personen hat verwandte Verantwortlichkeiten. Die Schnittstelle dieser Verantwortlichkeiten ist genau der Bereich, in dem der CDO ins Spiel kommen würde. Wenn Sie der Meinung sind, dass der Business Case für eine eigenständige CDO-Position noch nicht überzeugend genug ist, gibt es auch die Möglichkeit, einen bestehenden CIO oder CISO für die Erfüllung dieser Rolle einzusetzen.

Beginnen Sie mit dem Ziel vor Augen

Auch wenn Sie derzeit nicht von einer aktuellen Datenschutzgesetzgebung betroffen sind, sollten Sie davon ausgehen, dass dies früher oder später der Fall sein wird. Beginnen Sie also bereits jetzt mit der Planung. Wenn Sie eine neue Initiative oder ein neues Projekt anstoßen und dabei die Compliance und Sicherheit im Auge behalten, können Sie sich bei Inkrafttreten neuer Gesetze viel Ärger ersparen. Selbst wenn Sie die aktuell geltenden Gesetze nicht vollständig einhalten, wird Sie die Berücksichtigung der Compliance bei der Entwicklung einer Architektur um ein neues Projekt herum in eine vorteilhaftere Position bringen, als es sonst der Fall sein würde.

Wählen Sie einen Ansatz, den Sie in vernünftiger Weise beibehalten können

Es gibt verschiedene Möglichkeiten, um mit der Ausarbeitung Ihres Datenschutzplans zu beginnen. Wie Sie letztlich Ihren Plan gestalten, hängt ganz von Ihrem Unternehmen ab.

Viele Organisationen entscheiden sich für einen konservativen Ansatz: Sie nehmen die strengsten Vorschriften und wenden sie auf globaler Ebene an. Dies ist oft der effizienteste und effektivste Weg, um der Datenschutzgesetzgebung einen Schritt voraus zu sein. Wahrscheinlich wird es auch dazu führen, dass die gesetzlichen Anforderungen in einigen Bereichen übertroffen werden. Außerdem müssen Sie sich keine Sorgen über die Handhabung verschiedener Arten von Systemimplementierungen für unterschiedliche Vorschriften machen.

Die Kehrseite des konservativen Ansatzes ist, dass Sie möglicherweise den Zugang zu bestimmten Kunden verlieren. Wenn Sie sich zum Beispiel für die DSGVO statt CAN-SPAM entscheiden, weil es der strengste Ansatz in Sachen Datenschutz ist, können Sie aufgrund der zusätzlichen Opt-in-Anforderungen der DSGVO einen Teil Ihrer Zielgruppe verlieren.

Wenn der Verlust dieser Leads ein großer Hinderungsgrund für Ihr Unternehmen ist, können Sie sich stattdessen entscheiden, verschiedene Stufen der Stringenz in verschiedenen Bereichen Ihres Unternehmens zu verfolgen. Beachten Sie jedoch, dass Sie bei diesem Ansatz über entsprechende Management-Ressourcen verfügen müssen, um die Durchsetzung mehrerer Richtlinien in den verschiedenen Bereichen Ihres Unternehmens zu gewährleisten.

Je nachdem, wo sich die Assets befinden, müssen Sie zur Gewährleistung der Datenhoheit eventuell Ihre Daten regionalisieren. Für viele Unternehmen ist es billiger (oder möglicherweise durch die Sicherheitsanforderungen ihres Landes vorgeschrieben), wenn die Daten in der Region bleiben. Regionalisierte Daten unterliegen eigenen Überlegungen, einschließlich regionalisierter Datenarchitektur bzw. Aufteilung, Anforderung an Multi-Cloud-Speicher und Datenverarbeitung und die damit verbundenen Kostenerwägungen.

Wenn Sie sich für einen Ansatz entscheiden, müssen Sie bestimmen, welche Methode für Ihr Unternehmen den größten Nutzen bringt. Dabei müssen Sie die Grenzen dessen abwägen, was Sie konsequent beibehalten können. Wenn Sie verschiedene Arten der Datenverwaltung nicht abbilden können, sollten Sie einen unternehmensweiten Standard einführen. Die Implementierung einer neuen Strategie mag überwältigend erscheinen – es ist jedoch die Pflege Ihres Programms, die letztlich über die Einhaltung der Vorschriften entscheidet.

Planen Sie regelmäßige Audits, um Sicherheits- und Compliance-Ziele zu überwachen

Datenschutzgesetze sind selten statisch, sodass noch viel Arbeit über die Definition Ihres Ansatzes hinaus zu leisten ist. Compliance ist ein kontinuierliches Bemühen. Dementsprechend müssen Sie regelmäßige Audits durchführen, um sicherzustellen, dass Sie auf Kurs bleiben. Im Rahmen bestimmter Rechtsvorschriften könnten häufigere Audits erforderlich sein. Im Allgemeinen reicht es jedoch aus, mindestens einmal pro Jahr eine Prüfung durchzuführen. Nutzen Sie diese Audits als Gelegenheit, um die geltenden Vorschriften zu überprüfen und Informationen darüber zu sammeln, wie gut Ihre Compliance-Praktiken funktionieren.

Fazit: Data Security by Design kommt allen zugute

Jetzt, wo Kunden mehr Kontrolle darüber gewinnen, wo ihre Daten aufbewahrt werden und wie sie verwendet werden, müssen Unternehmen über sinnvolle Wege nachdenken, wie sie sich dem Thema Datenschutzmanagement nähern können.

Die Entwicklung des Datenschutzes wird sich weiterhin durch stärkere Regulierung auszeichnen und den Umfang und die Anforderungen erhöhen. Eine wahrscheinliche Entwicklung wird Anforderungen an die Sicherheitsüberwachung geschützter Daten beinhalten, ähnlich wie die derzeit geltenden DSGVO-Anforderungen. Wenn Sie dies von Anfang berücksichtigen, stellen Sie sicher, dass Ihre Assets und Ihr Unternehmen für die nächste Regulierung bereit sind. Unternehmen, die nicht im Voraus planen, werden damit kämpfen, jede neue Hürde einzeln zu überwinden.

Während die Implementierung von Data Security by Design im Vorfeld einige Kosten verursacht, werden Sie sich damit langfristig vor Umsatz- und Reputationsverlusten im Falle eines Datenverstoßes schützen. Proaktiv zu sein, ist das Beste, was Sie für Ihre Kunden und Ihr Unternehmen tun können.

Über den Verfasser

Chief Operating OfficerSubroto Mukerji

Subroto ist Chief Operating Officer bei Rackspace und leitet die globalen Betriebs- und Technologiefunktionen des Unternehmens. Als internationale Führungskraft mit mehr als 25 Jahren Erfahrung in der Technologieservicebranche und der Leitung...

Erfahren Sie mehr