Zum 5-jährigen Jubiläum der DSGVO bietet KI-gestützte Datensicherheit einen Weg zur Compliance

Gibt es ein Datenschutzgesetz, das mehr Bewusstsein für Datenschutz geschaffen hat als die DSGVO? Die Datenschutz-Grundverordnung gilt für alle Mitgliedstaaten der Europäischen Union (EU). Sie hat das Ziel, einen hohen Standard für den Datenschutz zu setzen und einheitliche Datenschutzregeln für die gesamte EU bereitzustellen.

Die 99 Artikel der DSGVO legen mehrere grundlegende Datenschutzrechte fest, darunter:

• Recht auf Information
• Auskunftsrecht
• Recht auf Berichtigung
• Recht auf Löschung/auf Vergessenwerden
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit
• Widerspruchsrecht
• Rechte in Bezug auf automatisierte Entscheidungsfindung und Profiling
  

Die DSGVO hat keine grundlegend neuen Regeln eingeführt. Sie hat die Prinzipien der EU-Datenschutzrichtlinie von 1995 modernisiert. In den letzten fünf Jahren haben Androhungen strenger Durchsetzung für Schlagzeilen gesorgt. Unternehmen, die gegen die DSGVO verstoßen, riskieren Geldbußen von bis zu 20 Millionen Euro oder 4 % ihres weltweiten Jahresumsatzes. Die irische Datenschutzkommission (DPC) verhängte gegen Meta die bisher höchste DSGVO-Strafe. Die illegale Übermittlung personenbezogener Daten in die USA führte zu einer Geldstrafe von 1,2 Mrd. € (1 Mrd. £).

Wir haben eine zunehmende Anzahl von Durchsetzungsmaßnahmen beobachtet. Das ist nicht überraschend. Die Einhaltung zentraler Aspekte der Verordnung bleibt ein operativer Albtraum. Unternehmen kämpfen damit, die Compliance aufrechtzuerhalten und gleichzeitig Innovationen zu ermöglichen. Das größte Hindernis ist Kapitel 5, das den Transfer von personenbezogenen Daten aus der EU in Drittländer regelt.

Warum ist dieser Aspekt der DSGVO für US-Unternehmen so kompliziert? Das Management von Datenübertragungen ist nichts Neues. Aber es ist für das Empfängerland USA nahezu unmöglich, EU-Bürgern angemessene Datenschutzrechte zu garantieren. Außerdem gibt es in den USA ein wenig bekanntes Gesetz namens Foreign Intelligence Surveillance Act von 1978 (FISA). Dieses erlaubt der Regierung, gezielte Überwachungsmaßnahmen gegen Nicht-US-Bürger außerhalb der USA durchzuführen. „FISA-Anfragen“ können US-Unternehmen dazu zwingen, Informationen über ihre Nutzer bereitzustellen. Dies hat dazu geführt, dass EU-Gerichte entschieden haben, dass die US-Regierung EU-Bürgern keinen ausreichenden Datenschutz bietet.

Das Privacy Shield oder die Standardvertragsklauseln („SCCs“) wurden verwendet, um Datenanfragen zu vereinfachen. Diese Verträge sollten ein hohes Schutzniveau für personenbezogene Daten gewährleisten. Allerdings fehlten ihnen detaillierte Angaben zu technischen Kontrollen. Es ist daher nicht überraschend, dass die Regierung Unternehmen dazu verpflichtet, personenbezogene Daten offenzulegen.

Heute stehen US-Unternehmen an einem Wendepunkt. Die Datenschutzbehörden der EU haben bekräftigt, dass Datenübermittlungen in die USA ein Risiko für die Privatsphäre von EU-Bürgern darstellen. SCCs allein reichen nicht aus, um den Datenschutz zu gewährleisten. Die Aufsichtsbehörden haben den US-Unternehmen einen neuen EU-US Data Privacy Framework in Aussicht gestellt. Dieser soll rechtssichere Datenübermittlungen zwischen den beiden Ländern erleichtern. Es bleibt jedoch unklar, ob dieses Framework akzeptiert wird. Ebenso ist unklar, welche operativen Datenschutzmaßnahmen weiterhin in der Verantwortung des Unternehmens liegen könnten.

Das wirft eine Frage auf. Wie kann ein US-Unternehmen geeignete Kontrollen einführen, um das Risiko von Übermittlungen personenbezogener Daten zwischen der EU und den USA zu verringern?

Cyera bietet Transparenz und Kontrolle darüber, wo und wie Unternehmen Daten verwalten

Cyera entdeckt, klassifiziert und schützt Daten automatisch in Ihrer Multi-Cloud-Datenlandschaft.

Dies geht weit über die grundlegende Erkennung und Klassifizierung hinaus. Große Sprachmodelle (LLMs) erkennen und unterscheiden zwischen personenbezogenen und nicht-personenbezogenen Informationen. Sie heben außerdem hervor, wenn eine oder mehrere Klassen identifizierbar sind. Die Themenextraktion ermöglicht es uns zudem, den Ursprungsort der Daten zu bestimmen. Dadurch können Kunden nachvollziehen, welche Daten unter die DSGVO fallen. Es wird auch ersichtlich, wie diese Daten verwaltet werden, wer darauf zugreifen kann und welche Verstöße gegen Sicherheits- und Compliance-Richtlinien bestehen. Das erleichtert die Behebung – sowohl für ruhende Daten als auch für Daten, die in Echtzeit verarbeitet werden.

Die Policy Engine erkennt und validiert Verschlüsselung, Maskierung, Data Zoning, Zugriffe und mehr. Zum Beispiel stellen Zoning-Regeln sicher, dass Daten von EU-Bürgern nur in genehmigten Datenspeichern oder Regionen verbleiben. Data Security Posture Management (DSPM) hebt hervor, wo ruhende Daten gegen die Vorgaben der DSGVO verstoßen. Data Detection and Response (DDR) kennzeichnet, wenn Daten in Echtzeit abweichen.

Dutzende sofort einsatzbereite Richtlinien erkennen und beheben die Offenlegung von Daten von EU-Bürgern. Diese ermöglichen es Kunden, Sicherheits- und Datenschutzkontrollen einfach zu messen und zu bestätigen. So können Sie gegenüber Aufsichtsbehörden nachweisen, dass Sie den Datenschutz von EU-Bürgern ernst nehmen.

Wenn Sie nach einer Sicherheitslösung suchen, die speziell für die Komplexität moderner Architekturen entwickelt wurde, sind Sie hier genau richtig. Melden Sie sich für eine kostenlose Datenrisikobewertung an und lassen Sie uns gemeinsam die Grundlage für einen ganzheitlichen Datenschutz schaffen. Wir helfen Dutzenden von Unternehmen dabei, GDPR-Risiken zu beheben, die Millionen von Datensätzen betreffen. Anlässlich des 5-jährigen Jubiläums der GDPR-Durchsetzung stehen wir auch Ihnen gerne zur Seite.