29. Januar 2020

Verantwortungsvoller Umgang mit Daten im Zeitalter des IoT (Internet der Dinge)

Das europäische Datenschutzrecht gewährt dem Einzelnen Rechte auf den Schutz seiner persönlichen Daten, wie z.B. das Recht auf Information, das Recht auf Zugang, Berichtigung oder Löschung. Die Organisationen, die für die Verarbeitung personenbezogener Daten verantwortlich sind, haben Verpflichtungen gegenüber den Betroffenen, dass sie ihre Rechte ausüben, auch die Sicherheit ihrer Daten immer gewährleisten.

Nun haben die Personen mehr Macht und Kontrolle über ihre persönlichen Daten, und sie treffen fundierte Entscheidungen, bevor sie persönliche Daten an die Organisationen weitergeben. Das bedeutet eine enorme Verantwortung für die Organisationen, die personenbezogene Daten sammeln und verarbeiten.

Fairness, Transparenz und Sicherheit ist ein zentrales Thema der heutigen Geschäftswelt und muss in jeden Prozess, jede Strategie und jede Anwendung eingebettet sein. Organisationen sollten sich fragen, bevor sie eine Software entwickeln, ein Projekt starten, ein Werkzeug oder einen Dienstleister auswählen:

– Werden die Grundsätze des Datenschutzes respektiert?

– Entspricht sie den Anforderungen von Gesetzen und Vorschriften?

– Stellt es ein Rechts- und Compliance-Risiko dar?

Jüngste Fortschritte in Technologie und Innovation haben grosse Auswirkungen auf die Datensicherheit und den Datenschutz. Die breite Nutzung von Software als Service und die zunehmende Verbreitung des Internet der Dinge (IoT), des Cloud Computing und der agilen Softwareverbesserungen haben dazu geführt, dass sich die Art und Weise und das Ausmass der Erfassung und Verarbeitung von personenbezogenen Daten über mehrere Einheiten hinweg erheblich verändert hat. Diese technologischen Entwicklungen schaffen jedoch neue Möglichkeiten für die Verletzung von Daten und Persönlichkeitsrechten.

Von den Herstellern von IoT-Geräten wird erwartet, dass sie die neuen Gesetze einhalten und die Anwendung des „Privacy by Design“ sicherstellen. Dieser Prozess kann jedoch finanzielle und technologische Probleme mit sich bringen, die nicht jeder Hersteller lösen kann – was bedeutet, dass die Daten der Nutzer nicht immer sicher sind.

Laut einer Infographik von CISCO Systems wird geschätzt, dass bis 2020 etwa 50 Milliarden physische Geräte an das IoT angeschlossen sein werden, von Handheld-Geräten bis hin zu Herzmonitoren.

Tatsache ist, dass jegliche Schwachstellen in Geräten, die mit dem Internet der Dinge verbunden sind, potenziell durchbrochen und ausgenutzt werden könnten, so dass gezielte Geräte für kriminelle Aktivitäten und mögliche physische Manipulationen offen bleiben.

In den letzten Jahren sind Datenverstösse immer häufiger und gravierender geworden. Das Weltwirtschaftsforum (WEF) hat in seinem Global Risks Report für 2019 Datendiebstahl und Datenbetrug auf Platz 4 und Cyberattacken auf Platz 5 der Top 10 der Risiken, die in der globalen Risikolandschaft am wahrscheinlichsten auftreten, eingestuft.

In den letzten Jahren sind zahlreiche Fragen aufgetaucht, wie Unternehmen die persönlichen Daten verarbeiten und schützen. Wie im Cambridge-Analytica-Skandal geschehen, werden personenbezogene Daten aus politischen und wirtschaftlichen Gründen ohne die Zustimmung der Bürger verarbeitet. IBM gibt an, dass die Kosten einer Datenverletzung, die über 50 Millionen Datensätze betrifft, 350 Millionen Dollar betragen.

Trotz der strengen Bussgelder, die nach GDPR verhängt werden, entscheiden sich die meisten Unternehmen, insbesondere in Europa, dafür, Datenverletzungen nicht öffentlich zu machen. Ein neuer Studienbericht zeigt, dass weniger als ein Fünftel der Unternehmen offizielle Informationen über die Verletzungen, die sie in den letzten 5 Jahren erlitten haben, weitergegeben haben.

Executive School Studiengang:
Law & Management

Data Protection Officer

The new European data protection legislation (General Data Protection Regulation - GDRP) has been in force since 25 May 2018. It aims to make companies and public administrations genuinely responsible for protecting the personal data of individuals.

Diese Stärkung des Datenschutzes erfordert von den Verantwortlichen verstärkte Massnahmen zur transparenten Verwaltung der Daten, zur Verstärkung der Mechanismen für die Erfassung der eingewilligten Daten und zur Anwendung von Sicherheitsmassnahmen je nach dem Risiko, das von jedem Prozess ausgeht.

Die Organisationen müssen auch verstehen, dass die Informationen in ihren Datenbanken nicht ihnen gehören und dass sie diese nur mit der ihnen von ihren Eigentümern erteilten Genehmigung nutzen können.

Die Einhaltung komplexer Gesetze und Vorschriften erfordert eine gründliche Kenntnis des gesamten Lebenszyklus der Privatsphäre und deren Schutz zu jedem Zeitpunkt, von der ersten Erfassung bis zur Löschung.