Was ist Datenschutz?
Erfahren Sie, wie Sie Ihre Daten an jedem Ort schützen sowie vertrauliche und unternehmenskritische Daten in Ihrer gesamten Umgebung verwalten können.
Einfach erklärt: Datenschutz
Datenschutz bezieht sich auf Sicherheitsstrategien und -prozesse, mit denen Sie vertrauliche Daten vor Manipulation, Betrug und Verlust schützen können. Zu den Risiken für vertrauliche Daten gehören Datenpannen und Datenverluste.
Eine Datenpanne ist die Folge eines unbefugten Zugriffs auf die Informationen, das Netzwerk oder die Geräte Ihres Unternehmens, beispielsweise durch einen Cyberangriff, Insiderbedrohungen oder menschliches Versagen. Zusätzlich zum Datenverlust drohen Ihrem Unternehmen Geldstrafen wegen der Nichteinhaltung von Datenschutzbestimmungen, rechtliche Konsequenzen aufgrund der Offenlegung personenbezogener Daten und die dauerhafte Schädigung Ihres Markennamens.
Ein Datenverlust ist eine absichtliche oder versehentliche Unterbrechung Ihrer normalen Unternehmensabläufe, die z. B. durch Verlust oder Diebstahl eines Laptops, fehlerhafte Software oder Computerviren im Netzwerk entsteht. Für die Wirksamkeit Ihrer Datenschutzstrategie ist es wichtig, dass Sie über eine Sicherheitsrichtlinie verfügen und Beschäftigten vermitteln, wie sie Bedrohungen erkennen bzw. wie und ob sie darauf reagieren sollen.
Wichtige Grundsätze für den Datenschutz
Die beiden wichtigsten Datenschutzprinzipien sind Datenverfügbarkeit und Datenverwaltung.
Die Datenverfügbarkeit ermöglicht Mitarbeitenden Zugriff auf die Daten, die sie für ihre tägliche Arbeit benötigen. Eine konsequente Datenverfügbarkeit unterstützt den Business Continuity & Disaster Recovery-Plan Ihres Unternehmens, der ein wichtiger Bestandteil Ihres Datenschutzplans ist. Dieser sieht vor, dass Sicherungskopien an einem separaten Ort gespeichert werden müssen. Der Zugriff auf diese Kopien minimiert Ausfallzeiten für Beschäftigte und sorgt für einen reibungslosen Arbeitsablauf.
Die Datenverwaltung umfasst die Datenlebenszyklus- und Informationslebenszyklusverwaltung.
- Datenlebenszyklusverwaltung bezieht sich auf die Erstellung, Speicherung, Nutzung, Analyse, Archivierung oder Löschung von Daten. Bei diesem Lebenszyklus wird sichergestellt, dass Unternehmen einschlägige Vorschriften einhalten und Daten nicht länger als nötig aufbewahren.
- Informationslebenszyklusverwaltung ist eine Strategie zur Katalogisierung und Aufbewahrung der Informationen, die aus firmeneigenen Datasets stammen. Dadurch soll ermittelt werden, wie relevant und präzise die Informationen sind.
Warum ist Datenschutz wichtig?
Datenschutz ist wichtig, um Unternehmen vor Datendiebstahl, Datenlecks und Datenverlust zu schützen. Dabei geht es um die Umsetzung von Datenschutzrichtlinien, die den Compliancevorschriften entsprechen und eine Schädigung des Firmenrufs verhindern.
Zur Datenschutzstrategie gehören die Überwachung und der Schutz von Daten in Ihrer Umgebung sowie ständige Kontrolle, um die Sichtbarkeit und den Zugriff auf Daten sicherzustellen.
Durch die Umsetzung einer Datenschutzrichtlinie kann Ihr Unternehmen die Risikotoleranz für jede Datenkategorie ermitteln und geltende Vorschriften einhalten. Außerdem unterstützt diese Richtlinie die Authentifizierung und Autorisierung, indem festgelegt wird, wer aus welchem Grund auf welche Informationen zugreifen darf.
Die verschiedenen Datenschutzlösungen
Datenschutzlösungen helfen Ihnen, interne und externe Aktivitäten zu überwachen, verdächtige oder riskante Datenfreigaben zu kennzeichnen und den Zugriff auf vertrauliche Daten zu steuern.
-
Verhinderung von Datenverlust
Verhinderung von Datenverlust ist eine Sicherheitslösung, mit der Ihr Unternehmen die Freigabe, Übertragung oder Nutzung vertraulicher Daten verhindern kann, indem vertrauliche Informationen im gesamten Datenbestand überwacht werden. Aber auch die Einhaltung gesetzlicher Vorschriften wie dem Health Insurance Portability and Accountability Act (HIPAA) und der Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU) werden sichergestellt. -
Replikation
Bei der Replikation werden laufend Daten zwischen verschiedenen Standorten kopiert, um eine aktuelle Datenkopie zu erstellen und zu speichern. Wenn Ihr primäres System ausfällt, stehen diese Daten für ein Failover zur Verfügung. Die Replikation schützt nicht nur vor Datenverlusten, sondern stellt die Daten auch auf dem nächstgelegenen Server bereit, sodass autorisierte Benutzer schneller darauf zugreifen können. Steht eine vollständige Kopie aller Unternehmensdaten bereit, dann können Teams Analysen durchführen, ohne tägliche Datenanforderungen zu verzögern.
-
Speicherung mit integriertem Schutz
Eine Speicherlösung sollte nicht nur Datenschutz bieten, sondern auch die Wiederherstellung gelöschter oder veränderter Daten ermöglichen. Mehrere Redundanzebenen tragen beispielsweise dazu bei, Daten vor Dienstausfällen, Hardwareproblemen und Naturkatastrophen zu schützen. Durch die Versionsverwaltung bleiben Vorgängerversionen erhalten, wenn durch Überschreibung neue Versionen erstellt werden. Konfigurieren Sie für Ihre Speicherkonten eine Sperre wie "Nur lesen" oder "Nicht löschen", um sie vor versehentlichen oder böswilligen Löschvorgängen zu schützen.
-
Firewalls
Durch eine Firewall wird sichergestellt, dass nur autorisierte Benutzer Zugriff auf Unternehmensdaten erhalten. Sie überwacht und filtert den Netzwerkdatenverkehr gemäß Ihren Sicherheitsregeln und hilft, Bedrohungen wie Viren und Ransomware-Versuche zu blockieren. Die Firewalleinstellungen umfassen meist Optionen zum Festlegen von Regeln für ein- und ausgehende Daten sowie für die Verbindungssicherheit, zur Einsicht in Überwachungsprotokolle und zum Empfang von Benachrichtigungen, falls ein Zugriff durch die Firewall blockiert wurde.
-
Datenerkennung
Bei der Datenerkennung wird ermittelt, über welche Datasets Ihr Unternehmen in Rechenzentren sowie auf Laptops, Desktopcomputern, verschiedenen Mobilgeräten und Cloudplattformen verfügt. Der nächste Schritt besteht in der Kategorisierung von Daten (z. B. als eingeschränkt, privat oder öffentlich) und der Prüfung auf Einhaltung gesetzlicher Vorschriften.
-
Authentifizierung und Autorisierung
Durch Authentifizierungs- und Autorisierungskontrollen werden Benutzeranmeldeinformationen bestätigt. Außerdem wird sichergestellt, dass Zugriffsrechte ordnungsgemäß zugewiesen und angewendet werden. Die rollenbasierte Zugriffssteuerung ist ein Beispiel dafür, dass Zugriff nur denjenigen Personen gewährt wird, die für ihre Arbeit darauf angewiesen sind. In Verbindung mit der Identitäts- und Zugriffsverwaltung kann auch gesteuert werden, worauf Beschäftigte zugreifen dürfen und worauf nicht, um die Sicherheit von Unternehmensressourcen wie Apps, Dateien und Daten zu stärken.
-
Sicherung
Sicherungskopien fallen in die Kategorie der Datenverwaltung. Sie können so oft wie nötig erstellt werden (z. B. vollständige Sicherungen jede Nacht und inkrementelle Sicherungen tagsüber) und ermöglichen die schnelle Wiederherstellung verlorener oder beschädigter Daten, um Ausfallzeiten zu minimieren. Eine typische Sicherungsstrategie umfasst das Speichern mehrerer Datenkopien, wobei eine vollständige Kopie auf einem separaten Server und eine weitere an einem externen Ort gespeichert wird. Die Sicherungsstrategie wird auf den Notfallwiederherstellungsplan abgestimmt.
-
Verschlüsselung
Die Verschlüsselung gewährleistet die Sicherheit, Vertraulichkeit und Integrität Ihrer Daten. Dadurch werden ruhende oder übertragene Daten davor geschützt, dass unbefugte Benutzer Dateiinhalte einsehen können, selbst wenn sie Zugang zu deren Speicherort haben. Klartext wird in unlesbaren Chiffretext umgewandelt (einfacher ausgedrückt: Daten werden in Code umgewandelt), der einen Entschlüsselungsschlüssel zum Lesen oder Verarbeiten der Daten erfordert.
-
Notfallwiederherstellung
Notfallwiederherstellung ist ein Teilbereich der Informationssicherheit (InfoSec), der sich damit befasst, wie Unternehmen Daten mithilfe von Sicherungskopien wiederherstellen und nach einer Katastrophe (z. B. einer Naturkatastrophe, einem großen Systemausfall oder einem Cyberangriff) zu normalen Betriebsbedingungen zurückkehren. Es handelt sich um einen proaktiven Ansatz, der Ihrem Unternehmen hilft, die Auswirkungen unvorhersehbarer Ereignisse zu reduzieren und schneller auf geplante oder ungeplante Unterbrechungen zu reagieren.
-
Endpunktschutz
Endpunkte sind physische Geräte, die sich mit einem Netzwerk aus Mobilgeräten, Desktopcomputern, virtuellen Computern, eingebetteten Geräten und Servern verbinden. Durch den Endpunktschutz können Unternehmen diese Geräte überwachen und sich gegen Bedrohungsakteure schützen, die nach Sicherheitsrisiken oder menschlichen Fehlern suchen, um Sicherheitslücken auszunutzen.
-
Momentaufnahmen
Eine Momentaufnahme ist eine Darstellung Ihres Dateisystems zu einem bestimmten Zeitpunkt. Diese Darstellung wird aufbewahrt, um alle nach diesem Zeitpunkt vorgenommenen Änderungen zu verfolgen. Eine solche Datenschutzlösung basiert auf Speicherarrays, die anstelle von Servern eine Gruppe von Laufwerken verwenden. Arrays generieren in der Regel einen Katalog, der auf den Speicherort der Daten verweist. Bei einer Momentaufnahme wird ein Array kopiert, und die Daten werden als schreibgeschützt gekennzeichnet. Neue Einträge werden dem Katalog hinzugefügt, während alte Kataloge beibehalten werden. Momentaufnahmen enthalten darüber hinaus Systemkonfigurationen zur Serverwiederherstellung.
-
Datenlöschung
Bei der Löschung werden gespeicherte Daten entfernt, die vom Unternehmen nicht mehr benötigt werden. Dieser Vorgang wird auch als Datenbereinigung bezeichnet und ist häufig behördlich vorgeschrieben. Im Rahmen der DSGVO haben Personen das Recht, ihre personenbezogenen Daten auf Antrag löschen zu lassen. Das Recht auf Löschung wird auch als "Recht auf Vergessenwerden" bezeichnet.
Datenschutz, Sicherheit und Schutz der Privatsphäre
Diese Begriffe erscheinen austauschbar, aber Datenschutz, Datensicherheit und Schutz der Privatsphäre folgen jeweils einem anderen Zweck. Datenschutz bezieht sich auf Strategien und Prozesse, mit denen Unternehmen vertrauliche Daten vor Manipulation, Betrug und Verlust schützen können. Die Datensicherheit befasst sich mit der Integrität von Daten und schützt sie vor Manipulation durch unbefugte Benutzer oder Insiderbedrohungen. Der Schutz der Privatsphäre regelt, wer Zugriff auf Ihre Daten hat und welche Daten an Dritte weitergegeben werden dürfen.
Best Practices für Datenschutz
Best Practices für den Datenschutz umfassen Pläne, Richtlinien und Strategien, mit denen Sie den Zugriff auf Ihre Daten steuern, Netzwerk- und Nutzungsaktivitäten überwachen sowie auf interne und externe Bedrohungen reagieren können.
-
Anforderungen zeitnah erfüllen
Ein umfassender Governanceplan zeigt auf, welche rechtlichen Anforderungen gelten und wie sich diese auf Ihre Unternehmensdaten auswirken. Stellen Sie sicher, dass Sie alle Ihre Daten im Blick behalten und die richtige Klassifizierung anwenden. Außerdem müssen Sie die Datenschutzbestimmungen Ihrer Branche erfüllen.
-
Zugriff einschränken
Die Zugriffssteuerung prüft anhand der Authentifizierung, ob ein Benutzer die Person ist, für die er sich ausgibt, und anhand der Autorisierung, welche Informationen Benutzer einsehen und nutzen dürfen. Im Falle einer Datenpanne ist die Zugriffssteuerung eine der ersten Richtlinien, die auf ordnungsgemäße Implementierung und Anwendung überprüft wird.
-
Cybersicherheitsrichtlinie festlegen
Durch eine Richtlinie für die Cybersicherheit werden IT-Aktivitäten innerhalb eines Unternehmens definiert und gesteuert. Dadurch sensibilisieren Sie Beschäftigte für häufige Datenbedrohungen und schärfen deren Sicherheitsbewusstsein. Außerdem können Sie Datenschutzstrategien erläutern und den verantwortungsvollen Umgang mit Daten fördern.
-
Aktivitäten überwachen
Durch laufende Überwachungen und Tests lassen sich potenzielle Risikobereiche erkennen. Nutzen Sie KI, und automatisieren Sie Ihre Datenüberwachungsaufgaben, um Bedrohungen schnell und effektiv zu erkennen. Dieses Frühwarnsystem macht Sie auf potenzielle Daten- und Sicherheitsprobleme aufmerksam, bevor diese Schaden anrichten können.
-
Incident-Response-Plan entwickeln
Wenn Sie einen Incident-Response-Plan haben, bevor es zu einer Datenpanne kommt, können Sie gezielt Maßnahmen ergreifen. Ein solcher Plan hilft dem Notfallteam (z. B. IT-, InfoSec- oder Kommunikationsverantwortlichen), die Systemintegrität zu wahren und die Arbeit im Unternehmen schnellstmöglich wiederaufzunehmen.
-
Risiken identifizieren
Mitarbeitende, Lieferanten, Auftragnehmer oder Partner sind mit Ihren Daten, Computersystemen und Sicherheitspraktiken vertraut. Um unbefugte Datenzugriffe zu erkennen und Daten vor Missbrauch zu schützen, müssen Sie Ihren Datenbestand kennen und wissen, wie Daten in Ihrer digitalen Umgebung verwendet werden.
-
Sicherheit bei der Datenspeicherung optimieren
Die Sicherheit der Datenspeicherung basiert auf Methoden wie Zugriffssteuerung, Verschlüsselung und Endpunktsicherheit, um die Integrität und Vertraulichkeit gespeicherter Daten zu gewährleisten. Außerdem sinkt das Risiko absichtlich oder unabsichtlich herbeigeführter Schäden, und Daten bleiben ständig verfügbar.
-
Beschäftigte schulen
Ob absichtlich oder nicht, Insider-Risiken sind eine der Hauptursachen für Datenpannen. Vermitteln Sie Datenpräventionsrichtlinien deutlich auf allen Ebenen, damit sie von Mitarbeitenden eingehalten werden können. Frischen Sie Kenntnisse regelmäßig durch Nachschulungen auf, oder beantworten Sie spezielle Fragen.
Datenschutzbestimmungen und -gesetze
Jedes Unternehmen muss die geltenden Datenschutzstandards, Gesetze und Vorschriften einhalten. Zu den gesetzlichen Verpflichtungen gehört unter anderem, dass nur benötigte Daten von Kunden oder Beschäftigten erfasst werden dürfen. Außerdem müssen Daten sicher aufbewahrt und fristgemäß gelöscht werden. Im Folgenden stellen wir einige Datenschutzgesetze vor.
Die DSGVO ist das strengste Rechtsinstrument zum Datenschutz und zur Datensicherheit. Sie wurde von der EU erarbeitet und verabschiedet, ist jedoch für Organisationen auf der ganzen Welt verpflichtend, wenn sie personenbezogene Daten von EU-Bürgern oder in der EU wohnhaften Personen erfassen bzw. ihnen Waren und Dienstleistungen anbieten.
Der California Consumer Privacy Act (CCPA) schützt die Rechte von Verbrauchern in Kalifornien. Dazu zählt das Recht zu erfahren, welche personenbezogenen Daten ein Unternehmen erfasst und wie diese verwendet und weitergegeben werden. Hinzu kommt das Recht auf Löschung der erfassten personenbezogenen Daten und das Recht, dem Verkauf personenbezogener Daten zu widersprechen.
Der HIPAA schützt Patienten davor, dass Gesundheitsinformationen ohne deren Wissen oder Zustimmung weitergegeben werden. Die HIPAA-Datenschutzbestimmungen schützen personenbezogene Gesundheitsinformationen und wurden zur Umsetzung der HIPAA-Anforderungen erlassen. Die HIPAA-Sicherheitsregel dient dem Schutz identifizierbarer Gesundheitsdaten, die von Gesundheitsdienstleistern erstellt, empfangen, aufbewahrt oder elektronisch übertragen werden.
Der Gramm-Leach-Bliley Act (GLBA) – auch bekannt als Financial Services Modernization Act von 1999 – verpflichtet Finanzinstitute dazu, ihre Methoden zur Weitergabe von Informationen gegenüber Kunden offenzulegen und vertrauliche Daten zu schützen.
Die Federal Trade Commission ist die wichtigste Verbraucherschutzbehörde in den Vereinigten Staaten. Der Federal Trade Commission Act untersagt alle unlauteren Wettbewerbsmethoden sowie unfaire oder irreführende Handlungen oder Praktiken im Geschäftsverkehr.
Trends beim Datenschutz
Während sich Strategien und Prozesse weiterentwickeln, gibt es einige Datenschutztrends, die Ihr Unternehmen beachten sollte. Dazu gehören die Einhaltung von Vorschriften, das Risikomanagement und die Datenübertragbarkeit.
-
Weitere Datenschutzbestimmungen
Die DSGVO ist der neue Maßstab dafür, wie Länder personenbezogene Daten erfassen, offenlegen und speichern. Seit Einführung der DSGVO sind der CCPA in den Vereinigten Staaten (Kalifornien) und das allgemeine Datenschutzgesetz in Brasilien in Kraft getreten, um auf die wachsende Online-Konsumkultur sowie personalisierte Produkte und Dienstleistungen vorbereitet zu sein.
-
Sichere mobile Daten
Um den Zugriff unbefugter Benutzer auf Ihr Netzwerk zu verhindern, müssen Sie auch vertrauliche Daten auf tragbaren Geräten wie Laptops, Tablets und Smartphones schützen. Die Sicherheitssoftware nutzt die Identitätsüberprüfung, um zu verhindern, dass Geräte kompromittiert werden.
-
Beschränkter Zugriff für Dritte
Datenschutzverletzungen lassen sich häufig auf Dritte (z. B. Lieferanten, Partner und Dienstanbieter) zurückführen, die weitreichenden Zugriff auf das Netzwerk und die Daten eines Unternehmens haben. Das Risikomanagement für Drittunternehmen wird inzwischen auch in den Compliancevorschriften berücksichtigt, um den Zugriff auf und die Nutzung von Daten durch Dritte einzuschränken.
-
Verwaltung von Datenkopien
Durch die Verwaltung von Datenkopien werden doppelte Daten erkannt, ähnliche Daten verglichen und Unternehmen in die Lage versetzt, ungenutzte Datenkopien zu löschen. Diese Lösung minimiert Inkonsistenzen aufgrund doppelter Daten, senkt die Speicherkosten und unterstützt die Sicherheit und Compliance.
-
Datenübertragbarkeit
In den Anfängen des Cloud Computing war es sehr schwierig, Daten zu übertragen und große Datasets in andere Umgebungen zu migrieren. Heute sind Daten dank der Cloudtechnologie leichter übertragbar. Unternehmen können Daten zwischen verschiedenen Umgebungen verschieben, z. B. von lokalen Rechenzentren in Public Clouds oder zwischen Cloudanbietern.
-
Notfallwiederherstellung as a Service
Mit Notfallwiederherstellung as a Service können Unternehmen jeder Größe kosteneffiziente Clouddienste nutzen, um ihre Systeme zu replizieren und den Betrieb nach einer Katastrophe wiederaufzunehmen. Die Lösung bietet die Flexibilität und Skalierbarkeit cloudbasierter Technologie und gilt als effektive Lösung zur Vermeidung von Dienstausfällen.
Datenerkennung und -klassifizierung
Datenerkennung und -klassifizierung sind separate Prozesse, die gemeinsam Einblicke in die Daten Ihres Unternehmens bieten. Ein Tool zur Datenerkennung prüft Ihre gesamte digitale Umgebung auf strukturierte und unstrukturierte Daten, was für Ihre Datenschutzstrategie sehr wichtig ist. Die Datenklassifizierung organisiert Daten aus dem Datenerkennungsprozess nach Dateityp, Inhalt und weiteren Metadaten, beseitigt Datenduplikate und erleichtert das Auffinden und Abrufen von Daten.
Ungeschützte Daten sind leicht angreifbar. Wenn Sie wissen, über welche Daten Sie verfügen und wo diese gespeichert sind, können Sie diese schützen und gleichzeitig die gesetzlichen Anforderungen für Datenprozesse und -kontrollen einhalten.
Datenschutzlösungen
Datenschutzlösungen schützen vor Datenverlusten und sorgen für Sicherheit, Datensicherung und -wiederherstellung, was direkt den Notfallwiederherstellungsplan Ihres Unternehmens unterstützt.
Ermöglichen Sie Ihrem Unternehmen den einfachen Umgang mit vertraulichen Daten. Behalten Sie mit Microsoft Security-Lösungen alle Ihre Daten im Blick, profitieren Sie vom leistungsfähigeren Schutz Ihrer Apps, Clouds und Geräte, und erfüllen Sie gesetzliche Anforderungen.
Weiterführende Informationen zu Microsoft Security
Microsoft Purview
Erkunden Sie Governance-, Datenschutz- und Compliancelösungen für Ihre Unternehmensdaten.
Verhinderung von Datenverlust
Erkennen Sie die unangemessene Freigabe, Übertragung oder Nutzung vertraulicher Daten an Endpunkten sowie in Apps und Diensten.
Informationsschutz
Schützen und kontrollieren Sie Ihre Daten mithilfe integrierter, intelligenter, einheitlicher und erweiterbarer Lösungen.
Kommunikationscompliance
Erkennen Sie mithilfe von Machine Learning Verstöße gegen Regeln für gute Kommunikation.
Häufig gestellte Fragen
-
Zum Datenschutz gehören die Verhinderung böswilliger oder versehentlicher Schäden, eine Notfallwiederherstellungsstrategie und die Beschränkung des Zugriffs auf Personen, die die Daten benötigen.
-
Der Zweck des Datenschutzes besteht darin, Unternehmensdaten vor Kompromittierung, Beschädigung und Verlust zu schützen.
-
Die DSGVO legt fest, dass Personen grundlegende Rechte und Freiheiten haben, wenn es um den Schutz ihrer personenbezogenen Daten geht. Jede Organisation, die personenbezogene Daten erfasst, muss die ausdrückliche Zustimmung des Einzelnen einholen und darlegen, wie diese Daten verwendet werden.
-
Zu den Datenschutztools gehören Datenerkennung und -inventarisierung, Verschlüsselung, Datenlöschung, Zugriffsverwaltung und Endpunktsicherheit.
-
Um Daten zu schützen, können Unternehmen zunächst eine Sicherheitsrichtlinie aufstellen, in der die Nutzungserlaubnis und Meldung von Vorfällen festgelegt sind. Weitere wichtige Maßnahmen sind die Sicherung wichtiger Daten, die Aktualisierung der Software und Mitarbeiterschulungen zum Thema Datenschutz.
Microsoft 365 folgen