Schutz von Computerdaten: eine große Herausforderung für Unternehmen

Unternehmen auf der ganzen Welt speichern riesige Mengen an Computerdaten über ihre Kunden, Partner und Dienstleister.

Manchmal kann es schwierig sein zu verstehen, wie all diese Informationen, von denen einige sehr sensibel sind, verwendet werden können.

Und es kann einen großen Unterschied machen, ob Sie sich in Europa oder in den USA befinden, wenn es um den rechtlichen Rahmen und die Verpflichtungen in Bezug auf diese Daten geht.

Computerdaten: Was sind sie wirklich?

163 Zettabyte (163 Milliarden Terabyte) ist die Menge an Computerdaten, die bis zum Jahr 2025 weltweit gespeichert werden. Es gibt verschiedene Arten von Computerdaten, z. B. personenbezogene Daten.

Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen, die direkt oder indirekt durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Merkmalen identifiziert werden kann.

Eine Person kann z. B. identifiziert werden, wenn die Datei Informationen enthält, die es ermöglichen, diese Person wiederzuerkennen (z. B. Name, Vorname, Telefonnummer, Foto, Kfz-Kennzeichen, IP-Adresse, biometrische Merkmale wie Fingerabdrücke, usw.).

Innerhalb eines Unternehmens unterliegt die Erstellung und Verarbeitung solcher Daten theoretisch den Verpflichtungen zum Schutz der Privatsphäre und der individuellen Freiheiten.

Datenschutz: ein zentrales Thema in den Kundenbeziehungen

Die massive Entwicklung der digitalen Technologien hat diese Frage noch komplexer gemacht. Die Informations- und Kommunikationstechnologien sind die Quelle einer großen Menge persönlicher und sensibler Daten sowie von "Computerspuren", die dank der Entwicklung von Software, insbesondere von Suchmaschinen, ausgewertet werden können. Die Unternehmen müssen sich darüber im Klaren sein, dass Datendiebstahl schwer zu vermeiden ist.

Viele Bürger haben das Gefühl, dass mit ihren persönlichen Daten nicht richtig umgegangen wird.

Die Markentreue hängt heute zum Teil von der Fähigkeit ab, die digitalen Daten der Kunden zu schützen. Es ist absolut notwendig, dass Unternehmen Strategien entwickeln, die das Eindringen in ihre Systeme begrenzen.

Strengere Datenschutzgesetze in Europa

Das Europäische Parlament hat eine Reihe von Dokumenten angenommen, darunter die Datenschutzverordnung.

Dieses Dokument, das auch für Unternehmen gilt, die außerhalb der Europäischen Union ansässig sind, sich aber an europäische Verbraucher wenden, legt ein Mindestmaß an Rechten und Pflichten fest, die bei der Verarbeitung personenbezogener Daten, insbesondere online, gelten.

Zu den wichtigsten Maßnahmen, von denen die meisten bereits im französischen Recht vorgesehen sind, gehören:

•  Die Verpflichtung, vor jeder Verarbeitung personenbezogener Daten eine "klare und ausdrückliche" Zustimmung einzuholen;
•  Das Recht auf Datenübertragbarkeit. Diese Maßnahme ermöglicht es den Nutzern von Online-Diensten, ihre Daten abzurufen und sie in einen konkurrierenden Dienst zu importieren;
•  das Recht, im Falle von Datenpiraterie informiert zu werden;
•  Geldstrafen von bis zu 4 Prozent des weltweiten Umsatzes eines Unternehmens bei Verstößen gegen Datenschutzrechte;
•  Strengere Verpflichtungen für Unternehmen.

Die Sicherheit sensibler Daten wird zunehmend reguliert. Die Verordnung über personenbezogene Daten, die im Amtsblatt der Europäischen Union veröffentlicht wurde, enthält Elemente wie die Verpflichtung zum Datenschutz durch Technik und die Verpflichtung zum Datenschutz durch Voreinstellungen.

Die Unternehmen sind nun verpflichtet, Produkte und Dienstleistungen anzubieten, bei denen so wenig personenbezogene Daten wie möglich erfasst werden, und zwar sowohl bei der Konzeption als auch bei der Voreinstellung. Sie müssen ihren Kunden das höchstmögliche Schutzniveau für ihre personenbezogenen Daten bieten.

Intern muss der für die Datenverarbeitung Verantwortliche die erforderlichen Maßnahmen ergreifen, um ein Höchstmaß an Sicherheit für die erhobenen Daten zu gewährleisten.

Außerdem müssen sie Folgenabschätzungen durchführen, wenn der Einsatz neuer Technologien ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.

Die neuen Dokumente verpflichten die Unternehmen auch zur Führung interner Register, in denen die Verarbeitung personenbezogener Daten festgehalten wird.

Darüber hinaus kann die CNIL unangekündigte Inspektionen bei Datenverarbeitern durchführen, um sicherzustellen, dass diese die erforderlichen Sicherheitsmaßnahmen ergreifen.

Die Wahl eines Datenschutzdienstleisters

Wenn ein Unternehmen beschließt, alle oder einen Teil seiner (zum Teil sensiblen und vertraulichen) Daten bei einem Dritten zu hosten, muss es die Auswirkungen dieser Entscheidung sorgfältig abwägen. Die Wahl des Dienstanbieters ist von entscheidender Bedeutung.

Bis Ende 2015 erlaubte das Safe-Harbor-Abkommen zwischen dem US-Handelsministerium und der Europäischen Kommission US-Unternehmen, personenbezogene Daten europäischer Bürger in die Vereinigten Staaten zu exportieren, auch wenn dies nach europäischem Recht verboten war.

Ein Unternehmen, das einen amerikanischen Dienstleister wählte, selbst wenn seine Daten in Europa gehostet wurden, riskierte, dass alle seine sensiblen Informationen im Ausland landeten, ohne dass es etwas dagegen tun konnte.

Dieses Abkommen wurde vom Gerichtshof der Europäischen Union für ungültig erklärt und durch einen neuen Text mit der Bezeichnung Privacy Shield ersetzt. Dieses Abkommen hat jedoch gewisse Einschränkungen. So kann es beispielsweise nicht garantieren, was mit Daten geschieht, die US-Unternehmen anvertraut werden.

In den USA wurde im Juni 2015 der Freedom Act verabschiedet, der die US-Regierung ermächtigt, auf alle von US-Unternehmen verarbeiteten Daten zuzugreifen, unabhängig davon, ob diese in den USA ansässig sind oder nicht.

Wenn ein amerikanischer Cloud-Anbieter Büros und Server in Europa hat, unterliegt er diesem Gesetz. Deshalb ist es für europäische Unternehmen so wichtig, lokale Dienstleister zu wählen.  

In Europa sind die Gesetze viel strenger. Das Sammeln von personenbezogenen Daten ist streng geregelt. Es ist notwendig, die Zustimmung der betroffenen Person einzuholen, den Zweck der Datenerhebung anzugeben und ihr die Möglichkeit zu geben, die Daten zu ändern oder zu löschen. Darüber hinaus ist es formell verboten, diese Daten außerhalb des europäischen Hoheitsgebiets zu verwenden.