Willkommen, und keine Angst. Wenn Sie diesen Artikel mit der Befürchtung gelesen haben, dass im Jahr 2021 noch mehr Datensicherheitsprotokolle auf Ihr Unternehmen zukommen werden, haben wir gute Nachrichten. Die Pandemie – obwohl sie natürlich auch in jeder anderen Hinsicht eine schreckliche Nachricht ist – hat dazu geführt, dass die Eile bei der Verabschiedung von Datenschutz- und Sicherheitsgesetzen für einen Großteil des letzten Jahres auf Eis gelegt wurde.
Die gute Nachricht ist, dass dieses Jahr für die meisten Unternehmen in den USA keine neuen Vorschriften gebracht hat. Aber es gibt auch einige schlechte Nachrichten. Erstens entwickelt sich die Welt der Cybersicherheit weiter, und die Trends bei den Cyber-Bedrohungen im Jahr 2021 zeigen, dass Ihre Daten heute stärker bedroht sind als je zuvor und dass die durchschnittlichen Kosten einer Datenschutzverletzung auf etwa 3,86 Millionen Dollar gestiegen sind. Hinzu kommt die Tatsache, dass viele Unternehmen immer noch Schwierigkeiten haben, die bestehenden Datensicherheitsprotokolle zu erreichen und einzuhalten.
Vielleicht können wir also die Zwangspause nutzen, um uns auf den neuesten Stand zu bringen. Hier sind die fünf wichtigsten Datensicherheitsprotokolle im Jahr 2021 und ein paar Informationen darüber, wie Sie sie einhalten können.
1. DSGVO
Die Datenschutz-Grundverordnung (DSGVO) ist für die meisten Unternehmen das mit Abstand strengste Datensicherheitsprotokoll. Sie wurde 2018 von der Europäischen Union in Kraft gesetzt und zielte vor allem darauf ab, den europäischen Bürgern mehr Datenschutzrechte zu gewähren. Neben dem Recht zu erfahren, wie ihre Daten verwendet werden, setzt die DSGVO jedoch auch die Erwartung voraus, dass Unternehmen die von ihnen gespeicherten Daten schützen.
Es mag sich so anhören, als hätte eine europäische Richtlinie wenig mit außereuropäischen Unternehmen zu tun, aber das hat sie. Das liegt daran, dass sie für alle europäischen Bürger gilt – unabhängig davon, ob sie sich in Europa befinden oder nicht, und unabhängig davon, ob sie eine europäische Website besuchen oder nicht. Das bedeutet, dass Sie, wenn Ihre Website in Europa verfügbar ist, die Anforderungen der DSGVO prüfen müssen. Zum Glück haben wir hier einen praktischen Leitfaden für Sie zusammengestellt.
2. CMMC
Die Cybersecurity Maturity Model Certification (CMMC) ist ein viel begrenzteres Datensicherheitsprotokoll als die DSGVO. Es gilt nämlich „nur“ für Unternehmen, die für das US-Verteidigungsministerium tätig sind. Das klingt nach einer kleinen Untergruppe von Unternehmen, bis Sie erkennen, wie groß das Verteidigungsministerium ist und mit wie vielen Unternehmen es Geschäfte macht. Möchten Sie zum Beispiel wissen, warum die jüngste Datenschutzverletzung bei LinkedIn so eine große Sache war? Weil LinkedIn ein Auftragnehmer des Verteidigungsministeriums ist.
Wenn Sie für das Verteidigungsministerium tätig werden wollen, müssen Sie als Erstes die CMMC prüfen und herausfinden, welchen „Reifegrad“ Sie erreichen müssen, um ein Angebot abgeben zu können.
3. HIPAA
Der HIPAA gilt, wie auch die CMMC, nur für eine Teilmenge der US-Unternehmen. In diesem Fall handelt es sich jedoch um eine ziemlich große Gruppe. HIPAA dient dem Schutz personenbezogener Daten, die von US-Gesundheitsdienstleistern erhoben werden. Das Gesetz ist in den letzten Jahren durch die vielen Datenschutzverletzungen im Gesundheitswesen, die durch Cyberangriffe und Ransomware-Angriffe auf Krankenversicherer und -anbieter verursacht wurden, stärker ins Blickfeld gerückt.
HIPAA ist das umfassendste Datensicherheitsprotokoll auf dieser Liste, da es ausdrücklich anerkennt, dass Daten heutzutage auf viele verschiedene Arten weitergegeben werden. Das bedeutet, dass Unternehmen eine Vielzahl von Systemen, von ihren Serverdatenbanken bis hin zu ihren bewährten E-Mail-Sicherheitspraktiken, überprüfen müssen, um die Vorschriften einzuhalten.
4. SEC-Leitlinien
Die Securities and Exchange Commission (SEC) ist die Aufsichtsbehörde für Finanzmärkte und Unternehmen in den USA, und wie ähnliche Behörden in anderen Sektoren veröffentlicht sie ihre eigenen Leitlinien zur Datensicherheit.
Leider ist es schwierig, allgemeine Ratschläge zu den SEC-Leitlinien zu geben, und zwar aus zwei Gründen. Zum einen ist das Spektrum der Unternehmen, für die sie gelten, so vielfältig. Zum anderen werden sie ständig aktualisiert. Umso wichtiger ist es, dass Sie prüfen, welche SEC-Leitlinien für Sie gelten, und sich bei Bedarf professionell (und möglicherweise rechtlich) beraten lassen, um die Einhaltung der Vorschriften zu erreichen.
5. Bundesstaatliche Vorschriften
Zu guter Letzt sollten Sie sich darüber im Klaren sein, dass es bald einen Flickenteppich an bundesstaatlichen Vorschriften geben wird, die die Art und Weise, wie Sie Daten erheben, speichern und verarbeiten, definieren und kontrollieren. Unternehmen in Kalifornien sind sich dessen aufgrund des CCPA bereits bewusst, aber Unternehmen in anderen Bundesstaaten werden sich ihnen bald anschließen. Das liegt daran, dass derzeit eine Reihe von Gesetzen in den Bundesstaaten verabschiedet werden, die sich an den kalifornischen Vorschriften orientieren.
Der California Consumer Privacy Act (CCPA) ist ein Gesetz, das es jedem kalifornischen Verbraucher ermöglicht, Einsicht in alle Informationen zu verlangen, die ein Unternehmen über ihn gespeichert hat, sowie in eine vollständige Liste aller Dritten, an die diese Daten weitergegeben wurden. Darüber hinaus ermöglicht das kalifornische Gesetz den Verbrauchern, Unternehmen zu verklagen, wenn gegen die Datenschutzrichtlinien verstoßen wird, selbst wenn keine Datenschutzverletzung vorliegt.
Um über diese Vorschriften auf dem Laufenden zu bleiben, sollten Sie die Presse Ihres Bundesstaates lesen und sicherstellen, dass Sie sich in der lokalen Geschäftswelt engagieren, damit Sie rechtzeitig über neue Datensicherheitsprotokolle, die möglicherweise in Ihrem Staat verabschiedet werden, informiert sind.
Die Zukunft
Da der Gesetzgebungsprozess in den USA ins Stocken geraten ist, hat dieses Jahr den Unternehmen, die um die Einhaltung der bestehenden Datensicherheitsprotokolle kämpfen, eine Atempause verschafft. Es ist jedoch von größter Wichtigkeit, dass wir diese Chance nicht ungenutzt lassen. Die Einhaltung der in dieser Liste aufgeführten Datensicherheitsprotokolle schützt Sie nicht nur vor rechtlichen Problemen, sondern kann, wie wir in unserem Bericht über die Untersuchung von Datenschutzverletzungen aufzeigen, auch dazu führen, dass Sie mit weitaus geringerer Wahrscheinlichkeit Opfer eines Cyberangriffs werden.