Best Practices für den Schutz personenbezogener Daten

Der Schutz personenbezogener Daten bezieht sich auf den Prozess des Schutzes wichtiger, sensibler Daten vor Kompromittierung, Beschädigung oder Verlust.

Herkömmliche Datenschutzregeln konzentrieren sich darauf, sicherzustellen, dass Daten nach einem Datenverlust wiederhergestellt werden können. Anders verhält es sich jedoch mit dem Schutz personenbezogener Daten. Warum ist das so? Nun, wenn eine identifizierbare, natürliche Person eine Verletzung des Schutzes personenbezogener Daten erfährt, kann jeder, der auf die kompromittierten Daten zugreift, diese verwenden, um sie zu erpressen oder sich als sie auszugeben. Hier wird die Datenwiederherstellung nicht viel bewirken; Stattdessen sollte der Nutzer die Behörden alarmieren und sicherstellen, dass alle kompromittierten Zahlungsmittel gelöscht werden.

Datenschutz und Privatsphäre zielt darauf ab, die sensiblen Daten in der Datensammlung eines Benutzers zu beschreiben und eine erstklassige Datensicherheit anzuwenden, damit kein unbefugter Akteur oder Software von Drittanbietern auf die Informationen zugreifen kann.

Alle Benutzer- und Standortdaten auf verschiedenen Geräten - PCs, Laptops, Smartphones, Tablets usw. - können verwendet werden, um Personen von Bedrohungsakteuren zu identifizieren. IP-Adressen sind beispielsweise eine Online-Kennung, da sie die virtuellen (und, wenn sie eingehend untersucht werden, physischen) Standortdaten Ihrer Geräte enthalten. Die Nutzer müssen geeignete Sicherheitsvorkehrungen treffen, um Online-Identifikatoren und Kontextinformationen zu schützen.

Personenbezogene Daten (PII) oder einfach nur "personenbezogene Daten" können alle Informationen sein, die eine bestimmte Person direkt oder durch Kombination mit anderen Identifikatoren identifizieren. Der Schutz personenbezogener Daten ist ein Hauptanliegen von Datenschutzstrategien.

Ihr Name, Ihr Geburtstag und Ihre Adresse sind die wichtigsten Beispiele für personenbezogene Daten. Sie verwenden sie, um Konten im Internet zu erstellen, Formulare auszufüllen oder online einzukaufen. Eine nationale Identifikationsnummer (Reisepass) oder eine Führerscheinnummer werden seltener verwendet, sind aber eine einfache Möglichkeit, Personen zu identifizieren. Dann kommt die ethnische oder rassische Herkunft, die Religion, die medizinische, finanzielle oder kriminelle Vergangenheit. Zusammen mit Ihrer IP-Adresse (sofern rückverfolgbar) reichen diese aus, um ein soziales Identitätsprofil zu erstellen.

Biometrische Daten - DNA, Sprachaufzeichnungen und Fingerabdrücke - können auch von Dritten zur Identifizierung ihres Inhabers verwendet werden.

Videoüberwachungsaufnahmen enthalten oft Bilder von verschiedenen Personen. Wenn das Filmmaterial verwendet werden kann, um die Identität einer Person zu bestimmen, dann gilt das Filmmaterial auch als "persönliche Information".

Die britische DSGVO beschreibt auch eine "Online-Identifikator"-Klasse. Beispielsweise können Cookie-Identifikatoren unter bestimmten Umständen personenbezogene Daten enthalten. Wenn Sie sich auf einer bestimmten Website anmelden, beinhaltet das Benutzerauthentifizierungs-Cookie die Verarbeitung personenbezogener Daten, um die Anmeldung bei Ihrem Konto zu ermöglichen.

Datenschutz umfasst personenbezogene Daten, die in unterschiedlicher Form erhoben werden. Die Informationen müssen nicht schriftlich festgehalten werden. Es kann auch darauf hinweisen, wie betroffene Personen aussehen oder klingen - Fotos, Audio- und Videoaufnahmen. In solchen Fällen gelten die Datenschutz-Grundverordnung und das Datenschutzrecht nur, wenn die Informationen "automatisiert" (elektronisch) oder manuell als Teil eines anderen Dateisystems verarbeitet werden.

Personenbezogene Daten können auf eine direkt identifizierbare natürliche Person hinweisen - "Mikes Lieblingsessen ist Lasagne" - oder verwendet werden, um die betroffene Person indirekt zu identifizieren - "Mikes Bruder liebt diese bestimmte Pizzamarke". (Im letzteren Beispiel kennen Sie die Identität von Mikes Bruder nicht direkt, können ihn aber indirekt über Kontext und weitere Informationen identifizieren)

Auch wenn natürliche Personen Pseudonyme verwenden oder ihre personenbezogenen Daten anonymisieren, kann die Informationsverarbeitung rückgängig gemacht werden, wenn die natürlichen Personen oder Betroffenen über zusätzliche Informationen identifiziert werden können. In solchen Fällen können diese Daten immer noch als "personenbezogen" angesehen werden. Wenn die Daten irreversibel anonymisiert sind und nicht verwendet werden können, um eine natürliche Person auf transparente Weise zu identifizieren, gelten sie nicht als "personenbezogene Daten".

Heutzutage sind die meisten von uns in Online-Aktivitäten versunken. Wir nutzen das Internet, um zu arbeiten, in sozialen Medien zu surfen, Waren in Online-Shops zu kaufen, unsere alltäglichen Probleme in Foren zu diskutieren und vieles mehr.

Es ist zur Gewohnheit geworden, Ihren Namen und Ihr Alter einzugeben, wenn Sie ein Online-Konto erstellen, oder Ihre Kreditkarteninformationen beim Kauf von Speisen zum Mitnehmen einzugeben. Während viele Dienste auf Verschlüsselung und zusätzliche Sicherheit angewiesen sind, können die Informationen, die wir online teilen, absichtlich und unabsichtlich, in die Hände unbefugter Dritter gelangen. In diesem Fall können Sicherheitsverletzungen Ihre Online-Konten und realen Interaktionen gefährden. Darüber hinaus können Cyberakteure die gesammelten Daten an den Meistbietenden verkaufen.

Um Identitäts- oder Finanzdiebstahl zu vermeiden, sollten sich Benutzer der Risiken bewusst sein, die mit der Weitergabe personenbezogener Daten verbunden sind, und solche Informationen nur an vertrauenswürdige Empfänger weitergeben, wobei die besten Datenschutzpraktiken befolgt werden.

Das Datenschutzrecht regelt, welche Szenarien als "Verarbeitung personenbezogener Daten" angesehen werden können.

Die Verarbeitung von Daten bezieht sich im Wesentlichen auf die Anwendung des Schutzes personenbezogener Daten in jeglicher Form - das Sammeln, Speichern, Abfragen, Abrufen, Offenlegen oder Teilen von Daten mit einer anderen Person, deren Vernichtung oder Löschung. Das Datenschutzrecht gilt jedoch nicht, wenn die Datenverarbeitung ausschließlich für persönliche oder häusliche Aktivitäten erfolgt.

Datenschutzgesetze (wie die DSGVO) zielen darauf ab, den Schutz personenbezogener Daten und die Privatsphäre, die Datenübertragbarkeit und die Sicherheit personenbezogener Daten in einem bestimmten Kommunikationstechnologiesystem zu gewährleisten, das Organisationen und Unternehmen auf der einen Seite und Einzelpersonen und Benutzer auf der anderen Seite umfasst. Die Datenschutzrichtlinien stellen zudem sicher, dass für alle Betroffenen die gleichen Regeln gelten.

Die DSGVO ist die Datenschutzgesetzgebung der Europäischen Union, die festlegt, wie Unternehmen und Organisationen personenbezogene Daten sinnvoll und sicher verarbeiten müssen. Die DSGVO wird vom Europäischen Datenschutzausschuss (EDSA) geregelt - einer unabhängigen EU-Stelle, die sicherstellt, dass einheitliche Datenschutzvorschriften in der gesamten EU angewendet werden. Der EDSA setzt sich aus Vertretern der Datenschutzbehörden der EU-/EWR-Staaten und des Europäischen Datenschutzbeauftragten zusammen. Die Europäische Kommission nimmt an den Sitzungen und Aktivitäten des Verwaltungsrats ohne Stimmrecht teil.

Die DSGVO zielt darauf ab, Einzelpersonen in allen Mitgliedstaaten der Europäischen Union durch strenge Datenschutzrichtlinien sowohl für Unternehmen als auch für Bürger vor Datenschutzrisiken zu schützen.

• Die Verarbeitung personenbezogener Daten muss einen definierten Zweck haben.
• Personenbezogene Daten werden nur so lange in einem System gespeichert, wie es notwendig ist.
• Die Datenverarbeitung muss in einem sicheren System erfolgen.
• Die Verwendung personenbezogener Daten muss rechtmäßig sein.
• Bei der Verwendung personenbezogener Daten müssen die Rechte des Einzelnen respektiert werden.
• Verletzungen des Schutzes personenbezogener Daten müssen den Behörden und jeder betroffenen identifizierbaren Person innerhalb von 72 Stunden gemeldet werden.
• Unternehmen sind für die Einhaltung der DSGVO durch ihre Lieferanten verantwortlich.
• Die Höhe der Sanktionen ist erheblich.

HIPAA wurde 1996 unter Präsident Bill Clinton erlassen und legt fest, wie Gesundheitsdienstleister die persönlichen Gesundheitsdaten ihrer Patienten verarbeiten und nutzen können. Die HIPAA-Vorschriften gelten jedoch nur für sogenannte "Covered Entities" - Anbieter (Ärzte, Krankenschwestern, Zahnärzte, Psychologen), Gesundheitsplandaten (Krankenversicherungen, staatliche Pläne) und Clearingstellen im Gesundheitswesen, die medizinische Informationen verarbeiten.

Die HIPAA-Richtlinien besagen, dass abgedeckte Unternehmen:

• Muss das Recht der Person auf Zugang zu ihren Gesundheitsdaten einhalten.
• Gesundheitsinformationen dürfen nicht ohne den expliziten Inhalt der Person verwendet oder weitergegeben werden.

HIPAA deckt alle Gesundheitsdaten des Subjekts ab, die mit einer betroffenen Einrichtung geteilt werden. Wenn jedoch eine identifizierbare natürliche Person Gesundheitsdaten mit Software von Drittanbietern teilt - einer Kommunikationstechnologieanwendung (Ernährungs-App), einer Plattform für den Informationsaustausch (soziale Medien) oder einem anderen Kommunikationstechnologiesystem, das nicht von einer betroffenen Einrichtung betrieben wird, gelten die HIPAA-Vorschriften nicht.

Im Folgenden werden wir die sieben Grundsätze für die Verarbeitung personenbezogener Daten gemäß Artikel 5 der DSGVO untersuchen.

Das erste Prinzip ist ein "System von Prinzipien", das drei Hauptanliegen der Datenerhebung umfasst: Rechtmäßigkeit, Fairness und Transparenz.

• Rechtmäßigkeit

Die Datenverarbeitung ist rechtmäßig, wenn sie auf einem der in Artikel 6 der DSGVO aufgeführten Gründe beruht. Die Einwilligung des Nutzers ist der wichtigste Grund für die Rechtsgrundlage bei der Beschaffung und Verarbeitung personenbezogener Daten. Weitere Gründe sind das "berechtigte Interesse" (berechtigte Zwecke). Alle Grundstücke können Sie hier genauer erkunden.

• Fairness

Fairness bezieht sich auf die Verarbeitung personenbezogener Daten, die im besten Interesse des Nutzers erfolgt; Es wird auch dargelegt, dass die Verarbeitung von der identifizierbaren Person vernünftigerweise erwartet werden sollte.

• Transparenz

Transparenz bezieht sich auf die klare Kommunikation darüber, was, warum und wie Organisationen Daten verarbeiten, an Personen, deren Daten sie verarbeiten, zu kommunizieren. Dies sollte in einer Weise geschehen, die es den Nutzern, deren Daten verarbeitet werden, ermöglicht, die Methoden und den Umfang der Verarbeitung klar zu verstehen.

Die Zweckbindung besagt, dass Organisationen und Unternehmen personenbezogene Daten nur für den ursprünglich beabsichtigten (und umrissenen) Zweck verarbeiten sollten. Im Wesentlichen besagt dieser Grundsatz, dass Unternehmen gesammelte personenbezogene Daten nicht für andere als die in ihrer Datenschutzrichtlinie genannten Zwecke wiederverwenden sollten.

Die Datenminimierung beschreibt, dass Unternehmen keine Daten auf ihrem System "herumliegen" lassen sollten, wenn sie sie nicht für die beabsichtigten Zwecke benötigen. Das Prinzip besagt, dass Unternehmen nur genau die Menge an personenbezogenen Daten sammeln sollten, die erforderlich ist, um eine bestimmte Dienstleistung zu erbringen. (aber nicht mehr)

Genauigkeit konzentriert sich darauf, möglichst genaue Daten über eine Person zu haben. Organisationen müssen "angemessene Maßnahmen" ergreifen, um sicherzustellen, dass die verarbeiteten personenbezogenen Daten nicht sachlich falsch und aktuell sind.

Dieser Grundsatz ist nur dann relevant, wenn die Richtigkeit der personenbezogenen Daten für das Subjekt, auf das sich die Daten beziehen, von Bedeutung ist.

Die Speicherbegrenzung ähnelt dem Prinzip der Datenminimierung. Darin wird dargelegt, dass personenbezogene Daten gelöscht werden sollten, wenn eine Organisation sie für die beabsichtigten Zwecke nicht mehr benötigt.

Organisationen und Unternehmen sollten auch einen umfassenden Prozess implementieren, um "Daten auf sichere Weise zu vernichten", um sicherzustellen, dass entfernte Daten nicht mehr auf ihrem Speichersystem (Geräte, Cloud) gespeichert werden, wo sie ein potenzielles Sicherheitsrisiko darstellen könnten.

In der Cybersicherheit gibt es einen Begriff, der als "CIA-Dreieck" bezeichnet wird. es steht für "Vertraulichkeit, Integrität und Verfügbarkeit". Das sechste Prinzip betrifft zwei der drei Kanten des CIA-Dreiecks.

Integrität stellt sicher, dass die gesammelten Daten korrekt sind und nicht von anderen manipuliert werden können. (Beispielsweise sollte sich jeder Benutzer, jedes Unternehmen oder jede Organisation dafür entscheiden, sein System vor Cyber-Angreifern zu schützen.)

Die Vertraulichkeit stellt sicher, dass nur Personen mit autorisiertem Zugriff auf personenbezogene Daten diese verarbeiten.

Rechenschaftspflicht bedeutet, dass Datenverarbeiter (oder "Datenverantwortliche") die Verantwortung für ihre Verarbeitungshandlungen übernehmen. Der Grundsatz stellt sicher, dass alle für die Verarbeitung Verantwortlichen für die ordnungsgemäße Verarbeitung sensibler personenbezogener Daten verantwortlich sind und die DSGVO-Richtlinien einhalten.

Wenn es um Rechenschaftspflicht geht, verlangt das Prinzip nicht nur, dass Unternehmen die verschiedenen Anforderungen der DSGVO erfüllen. Es verpflichtet die Datenverarbeiter auch, ihre Handlungen zu dokumentieren und sie zu Prüfungszwecken vorlegen zu können.

So komplex die Datenschutzgesetze auch sein mögen, sie können Ihre personenbezogenen Daten nicht schützen, wenn Sie sie versehentlich (oder absichtlich) an Unbefugte weitergeben oder wenn es einem Cyber-Angreifer gelingt, in Ihr Sicherheitssystem einzudringen. Aus diesem Grund haben wir unsere bevorzugten Datenschutzpraktiken zusammengestellt.

Lassen Sie uns sie gemeinsam durchgehen, um zu verstehen, wie wir unsere persönlichen Daten vor neugierigen Blicken und bösartiger Software schützen können.

Phishing ist die häufigste Form böswilliger Angriffe im Internet. Phishing erfolgt in der Regel über Social-Engineering-Kampagnen und E-Mails. Wenn Sie eine infizierte Datei herunterladen oder auf einen bösartigen Link klicken, der in die E-Mail eingebettet ist, können Angreifer Zugriff auf Ihr Gerät erhalten, Ihre Daten stehlen oder Malware installieren, um Ihre Daten gegen Lösegeld zu halten.

Sie müssen einen vernünftigen Ansatz in Bezug auf Datenschutz und Privatsphäre verfolgen, um Phishing-Versuchen entgegenzuwirken.

Viele Menschen sind erfahren darin, Spam oder betrügerische E-Mails zu erkennen. Die Standardreaktion nach der Identifizierung besteht jedoch darin, die E-Mail zu ignorieren und weiterzumachen. Es ist jedoch besser, die Betrugs-E-Mail zu melden.

Unabhängig davon, ob Sie den Betrug der IT-Abteilung Ihres Unternehmens, dem Internetdienstanbieter oder der Cybersicherheitsbehörde Ihres Unternehmens melden, hilft das Melden der E-Mail anderen, zu vermeiden, dass sie um ihre sensiblen Informationen betrogen werden.

Moderne E-Mail-Lösungen (z. B. Gmail, Outlook, Yahoo) bieten Benutzern integrierte Optionen, um identifizierte E-Mail-Betrügereien zu melden. Darüber hinaus haben die meisten Länder bereits Anti-Phishing-Boards eingerichtet, die Online-Betrug bekämpfen.

In den USA können Sie sich an die Cyber Security and Infrastructure Agency wenden. in Kanada gibt es das Canadian Anti-Fraud Centre; und im Vereinigten Königreich können Sie sich an das National Fraud and Cyber Crime Reporting Centre wenden.

Wenn Sie sich nicht sicher sind, wie und an wen Sie sich wenden sollen, können Sie einen IT-Spezialisten oder die örtlichen Strafverfolgungsbehörden bitten, sich beraten zu lassen.

E-Commerce-Websites sind ein wichtiger Bestandteil des Alltags vieler Menschen. Aber so bequem sie auch sein mögen, Online-Shops sind ein Hauptziel für Cyberkriminelle. Die meisten Plattformen verwenden Drittanbieter für Transaktionen, daher ist es von entscheidender Bedeutung, Ihr Online-Shopping zu sichern, um Finanzbetrugsversuchen entgegenzuwirken.

Hier sind einige Richtlinien, um Ihren Online-Einkauf sicherer zu machen.

Die Überprüfung der Legitimität eines neuen Online-Shops ist von entscheidender Bedeutung. Sie können die URL überprüfen, um festzustellen, ob sie mit "HTTPS" beginnt. "HTTPS" bedeutet, dass die Website eine verschlüsselte Kommunikation zwischen Ihrem Browser und der Plattform anbietet. Das geschlossene Vorhängeschloss-Symbol neben dem Text zeigt an, dass die Plattform sichere Transaktionen ermöglicht.

Darüber hinaus können Sie auf das Schlosssymbol der Website klicken und "Zertifikat anzeigen" auswählen. Auf diese Weise können Sie das Sicherheitszertifikat einsehen und das Ausstellungs- und Ablaufdatum überprüfen. Schließlich können Sie nach Gütesiegeln von Sicherheitslösungen von Drittanbietern suchen.

In der Regel werden Sie von E-Commerce-Shops aufgefordert, vor dem Bezahlvorgang ein Konto zu erstellen und Zahlungsinformationen einzurichten. Wählen Sie in diesem Fall ein sicheres Passwort, richten Sie eine Zwei-Faktor-Authentifizierung ein und setzen Sie kein Häkchen bei "Meine Daten für zukünftige Zahlungen speichern".

Die Nutzung von öffentlichem WLAN für Online-Einkäufe ist grundsätzlich tabu. Es mag für Impulskäufe praktisch sein, aber es setzt Ihre Daten einem erheblichen Risiko aus. Da öffentliches WLAN selten über starke Abwehrmaßnahmen verfügt, können Hacker in das Netzwerk eindringen und schnell Ihren Namen, Ihre Adresse oder Ihre Kreditkarteninformationen erfahren.

Wenn Sie sich in einem Last-Resort-Szenario befinden und ein öffentliches WLAN zum Surfen verwenden müssen, installieren und verwenden Sie ein VPN, um Daten während der Übertragung zu schützen, damit sie nicht von Angreifern verfolgt, abgefangen oder gestohlen werden können.

Heutzutage kann keine Verteidigung Ihre sensiblen Informationen wirklich schützen, wenn Sie sie in sozialen Medien teilen.

Da die meisten Plattformen für den Informationsaustausch einen öffentlichen Zugang bieten, können Benutzer Ihre Inhalte ohne Konto durchsuchen. Ja, Sie können Ihre Beiträge und Fotos auf "Nur Zugriff für Freunde" einstellen, aber wer sagt denn, dass Sie alle Ihre Facebook-Freunde kennen? Oder wie viele Ihrer Instagram-Follower sind echte Benutzerkonten? Nicht zu vergessen Twitter, ein Paradies für die Datensuche, das Hashtags und geteilte Tweets verwendet.

Standort-Tags, Kontoauszüge, die Grundschule Ihrer Kinder, Ihre E-Mail-Adresse, Telefonnummer und sogar Netflix-Empfehlungen können in gewisser Weise die Sicherheit Ihrer persönlichen Daten gefährden.

Generell gilt: Wenn Sie etwas anderes als ein Urlaubsfoto mit Ihren Liebsten teilen möchten, tun Sie dies persönlich oder per Telefon. Wenn Sie sich dafür entscheiden, es in sozialen Medien zu teilen, sollten Sie sich darüber im Klaren sein, dass jeder auf der Plattform irgendeine Form von Exploit verwenden könnte, um darauf zuzugreifen.

Jede Datenschutzstrategie benötigt ein robustes Antivirenprogramm. Selbst wenn Sie auf Ihre Surfgewohnheiten achten, fügt eine Cybersicherheitslösung zusätzliche Verteidigungsebenen hinzu, um das Ausspähen von Dritten zu vereiteln.

Acronis True Image (ehemals Acronis Cyber Protect Home Office) blockiert alle Angriffe auf bösartige Software in Echtzeit ohne menschliche Aufsicht. Sie können Ihr Gerät auch auf vorhandene Infektionen scannen, Ihr System davon befreien und das Risiko zukünftiger Datenschutzverletzungen und unerwünschter Cyberangriffe verringern.

Acronis True Image bietet eine einzigartige Integration von zuverlässigem Backup und modernsten Anti-Malware-Technologien, die Daten vor allen heutigen Bedrohungen schützen – Festplattenausfall, versehentliches Löschen, Verlust und Diebstahl sowie Sicherheitsverletzungen wie Cyberkriminelle. PCMag beschrieb es in seiner "Editor's Choice"-Rezension als "eine allumfassende Lösung zur Vermeidung von Tragödien".

Mit Acronis Cyber Protect Home Office können Privatpersonen und kleine Unternehmen ihre Daten – einschließlich Betriebssysteme, Anwendungen, Einstellungen, Dateien und Microsoft 365-Konten – auf lokalen Laufwerken, externen Festplatten, NAS und der Acronis Cloud sichern. Darüber hinaus verhindert Acronis True Image, dass sowohl Backup- als auch Gerätedaten durch Cyberangriffe – einschließlich Angriffen, die auf Zero-Day-Schwachstellen zurückzuführen sind, mit Echtzeitschutz, Schwachstellenbewertung, On-Demand-Antivirus-Scans, Web-Filterung, Ransomware-Schutz und einem Cryptomining-Blocker beschädigt werden. Im Falle einer Katastrophe können Daten schnell wiederhergestellt werden.

Erfahren Sie mehr über Acronis Cyber Protect Home Office oder, noch besser, probieren Sie es kostenlos aus.