Trace Id is missing
Zu Hauptinhalt springen
Microsoft Security

Was ist Datenschutz?

Erfahren Sie, wie Sie Ihre Daten an jedem Ort schützen sowie vertrauliche und unternehmenskritische Daten in Ihrer gesamten Umgebung verwalten können.

Einfach erklärt: Datenschutz

Datenschutz bezieht sich auf Sicherheitsstrategien und -prozesse, mit denen Sie vertrauliche Daten vor Manipulation, Betrug und Verlust schützen können. Zu den Risiken für vertrauliche Daten gehören Datenpannen und Datenverluste.

Eine Datenpanne ist die Folge eines unbefugten Zugriffs auf die Informationen, das Netzwerk oder die Geräte Ihres Unternehmens, beispielsweise durch einen Cyberangriff, Insiderbedrohungen oder menschliches Versagen. Zusätzlich zum Datenverlust drohen Ihrem Unternehmen Geldstrafen wegen der Nichteinhaltung von Datenschutzbestimmungen, rechtliche Konsequenzen aufgrund der Offenlegung personenbezogener Daten und die dauerhafte Schädigung Ihres Markennamens.

Ein Datenverlust ist eine absichtliche oder versehentliche Unterbrechung Ihrer normalen Unternehmensabläufe, die z. B. durch Verlust oder Diebstahl eines Laptops, fehlerhafte Software oder Computerviren im Netzwerk entsteht. Für die Wirksamkeit Ihrer Datenschutzstrategie ist es wichtig, dass Sie über eine Sicherheitsrichtlinie verfügen und Beschäftigten vermitteln, wie sie Bedrohungen erkennen bzw. wie und ob sie darauf reagieren sollen.

Wichtige Grundsätze für den Datenschutz

Die beiden wichtigsten Datenschutzprinzipien sind Datenverfügbarkeit und Datenverwaltung.

Die Datenverfügbarkeit ermöglicht Mitarbeitenden Zugriff auf die Daten, die sie für ihre tägliche Arbeit benötigen. Eine konsequente Datenverfügbarkeit unterstützt den Business Continuity & Disaster Recovery-Plan Ihres Unternehmens, der ein wichtiger Bestandteil Ihres Datenschutzplans ist. Dieser sieht vor, dass Sicherungskopien an einem separaten Ort verwahrt werden müssen. Der Zugang zu diesen Kopien minimiert Ausfallzeiten für Beschäftigte und sorgt für einen reibungslosen Arbeitsablauf.

Die Datenverwaltung umfasst die Datenlebenszyklus- und Informationslebenszyklusverwaltung.

  • Datenlebenszyklusverwaltung bezieht sich auf die Erstellung, Speicherung, Nutzung, Analyse, Archivierung oder Löschung von Daten. Bei diesem Lebenszyklus wird sichergestellt, dass Unternehmen einschlägige Vorschriften einhalten und Daten nicht länger als nötig aufbewahren.
  • Informationslebenszyklusverwaltung ist eine Strategie zur Katalogisierung und Aufbewahrung der Informationen, die aus firmeneigenen Datasets stammen. Dadurch soll ermittelt werden, wie relevant und präzise die Informationen sind.

Warum ist Datenschutz wichtig?

Datenschutz ist wichtig, um Unternehmen vor Datendiebstahl, Datenlecks und Datenverlust zu schützen. Dabei geht es um die Umsetzung von Datenschutzrichtlinien, die den Compliancevorschriften entsprechen und eine Schädigung des Firmenrufs verhindern.

Zur Datenschutzstrategie gehören die Überwachung und der Schutz von Daten in Ihrer Umgebung sowie ständige Kontrolle über Datentransparenz und -zugriff.

Durch die Umsetzung einer Datenschutzrichtlinie kann Ihr Unternehmen die Risikotoleranz für jede Datenkategorie ermitteln und geltende Vorschriften einhalten. Außerdem unterstützt diese Richtlinie die Authentifizierung und Autorisierung, indem festgelegt wird, wer aus welchem Grund auf welche Informationen zugreifen darf.

Die verschiedenen Datenschutzlösungen

Datenschutzlösungen helfen Ihnen, interne und externe Aktivitäten zu überwachen, verdächtige oder riskante Datenfreigaben zu kennzeichnen und den Zugriff auf vertrauliche Daten zu steuern.

  • Verhinderung von Datenverlust

    Verhinderung von Datenverlust ist eine Sicherheitslösung, mit der Ihr Unternehmen die Freigabe, Übertragung oder Nutzung vertraulicher Daten verhindern kann, indem vertrauliche Informationen im gesamten Datenbestand überwacht werden. Aber auch die Einhaltung gesetzlicher Vorschriften wie dem Health Insurance Portability and Accountability Act (HIPAA) und der Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU) werden sichergestellt.

  • Replikation

    Bei der Replikation werden laufend Daten zwischen verschiedenen Standorten kopiert, um eine aktuelle Datenkopie zu erstellen und zu speichern. Wenn Ihr primäres System ausfällt, stehen diese Daten für ein Failover zur Verfügung. Die Replikation schützt nicht nur vor Datenverlusten, sondern stellt die Daten auch auf dem nächstgelegenen Server bereit, sodass autorisierte Benutzer schneller darauf zugreifen können. Steht eine vollständige Kopie aller Unternehmensdaten bereit, dann können Teams Analysen durchführen, ohne tägliche Datenanforderungen zu verzögern.

  • Speicherung mit integriertem Schutz

    Eine Speicherlösung sollte nicht nur Datenschutz bieten, sondern auch die Wiederherstellung gelöschter oder veränderter Daten ermöglichen. Mehrere Redundanzebenen tragen beispielsweise dazu bei, Daten vor Dienstausfällen, Hardwareproblemen und Naturkatastrophen zu schützen. Durch die Versionsverwaltung bleiben Vorgängerversionen erhalten, wenn durch Überschreibung neue Versionen erstellt werden. Konfigurieren Sie für Ihre Speicherkonten eine Sperre wie "Nur lesen" oder "Nicht löschen", um sie vor versehentlichen oder böswilligen Löschvorgängen zu schützen.

  • Firewalls

    Durch eine Firewall wird sichergestellt, dass nur autorisierte Benutzer Zugriff auf Unternehmensdaten erhalten. Sie überwacht und filtert den Netzwerkdatenverkehr gemäß Ihren Sicherheitsregeln und hilft, Bedrohungen wie Viren und Ransomware-Versuche zu blockieren. Die Firewalleinstellungen umfassen meist Optionen zum Festlegen von Regeln für ein- und ausgehende Daten sowie für die Verbindungssicherheit, zur Einsicht in Überwachungsprotokolle und zum Empfang von Benachrichtigungen, falls ein Zugriff durch die Firewall blockiert wurde.

  • Datenerkennung

    Bei der Datenerkennung wird ermittelt, über welche Datasets Ihr Unternehmen in Rechenzentren sowie auf Laptops, Desktopcomputern, verschiedenen Mobilgeräten und Cloudplattformen verfügt. Der nächste Schritt besteht in der Kategorisierung von Daten (z. B. als eingeschränkt, privat oder öffentlich) und der Prüfung auf Einhaltung gesetzlicher Vorschriften.

  • Authentifizierung und Autorisierung

    Durch Authentifizierungs- und Autorisierungskontrollen werden Benutzeranmeldeinformationen bestätigt. Außerdem wird sichergestellt, dass Zugriffsrechte ordnungsgemäß zugewiesen und angewendet werden. Die rollenbasierte Zugriffssteuerung ist ein Beispiel dafür, dass Zugriff nur denjenigen Personen gewährt wird, die für ihre Arbeit darauf angewiesen sind. In Verbindung mit der Identitäts- und Zugriffsverwaltung kann auch gesteuert werden, worauf Beschäftigte zugreifen dürfen und worauf nicht, um die Sicherheit von Unternehmensressourcen wie Apps, Dateien und Daten zu stärken.

  • Sicherung

    Sicherungskopien fallen in die Kategorie der Datenverwaltung. Sie können so oft wie nötig erstellt werden (z. B. vollständige Sicherungen jede Nacht und inkrementelle Sicherungen tagsüber) und ermöglichen die schnelle Wiederherstellung verlorener oder beschädigter Daten, um Ausfallzeiten zu minimieren. Eine typische Sicherungsstrategie umfasst das Speichern mehrerer Datenkopien, wobei eine vollständige Kopie auf einem separaten Server und eine weitere an einem externen Ort gespeichert wird. Die Sicherungsstrategie wird auf den Notfallwiederherstellungsplan abgestimmt.

  • Verschlüsselung

    Die Verschlüsselung gewährleistet die Sicherheit, Vertraulichkeit und Integrität Ihrer Daten. Dadurch werden ruhende oder übertragene Daten davor geschützt, dass unbefugte Benutzer Dateiinhalte einsehen können, selbst wenn sie Zugang zu deren Speicherort haben. Klartext wird in unlesbaren Chiffretext umgewandelt (einfacher ausgedrückt: Daten werden in Code umgewandelt), der einen Entschlüsselungsschlüssel zum Lesen oder Verarbeiten der Daten erfordert.

  • Notfallwiederherstellung

    Notfallwiederherstellung ist ein Teilbereich der Informationssicherheit (InfoSec), der sich damit befasst, wie Unternehmen Daten mithilfe von Sicherungskopien wiederherstellen und nach einer Katastrophe (z. B. einer Naturkatastrophe, einem großen Systemausfall oder einem Cyberangriff) zu normalen Betriebsbedingungen zurückkehren. Es handelt sich um einen proaktiven Ansatz, der Ihrem Unternehmen hilft, die Auswirkungen unvorhersehbarer Ereignisse zu reduzieren und schneller auf geplante oder ungeplante Unterbrechungen zu reagieren.

  • Endpunktschutz

    Endpunkte sind physische Geräte, die sich mit einem Netzwerk verbinden, wie Mobilgeräte, Desktopcomputer, virtuelle Computer, eingebettete Geräte und Server. Durch den Endpunktschutz können Unternehmen diese Geräte überwachen und sich vor Bedrohungsakteuren schützen, die nach Sicherheitsrisiken oder menschlichen Fehlern suchen, um Schwachstellen auszunutzen.

  • Momentaufnahmen

    Eine Momentaufnahme ist eine Darstellung Ihres Dateisystems zu einem bestimmten Zeitpunkt. Diese Darstellung wird aufbewahrt, um alle nach diesem Zeitpunkt vorgenommenen Änderungen zu verfolgen. Eine solche Datenschutzlösung basiert auf Speicherarrays, die anstelle von Servern eine Gruppe von Laufwerken verwenden. Arrays generieren in der Regel einen Katalog, der auf den Speicherort der Daten verweist. Bei einer Momentaufnahme wird ein Array kopiert, und die Daten werden als schreibgeschützt gekennzeichnet. Neue Einträge werden dem Katalog hinzugefügt, während alte Kataloge beibehalten werden. Momentaufnahmen enthalten darüber hinaus Systemkonfigurationen zur Serverwiederherstellung.

  • Datenlöschung

    Bei der Löschung werden gespeicherte Daten entfernt, die vom Unternehmen nicht mehr benötigt werden. Dieser Vorgang wird auch als Datenbereinigung bezeichnet und ist häufig behördlich vorgeschrieben. Im Rahmen der DSGVO haben Personen das Recht, ihre personenbezogenen Daten auf Antrag löschen zu lassen. Das Recht auf Löschung wird auch als "Recht auf Vergessenwerden" bezeichnet.

Datenschutz, Sicherheit und Schutz der Privatsphäre

Diese Begriffe erscheinen austauschbar, aber Datenschutz, Datensicherheit und Schutz der Privatsphäre folgen jeweils einem anderen Zweck. Datenschutz bezieht sich auf Strategien und Prozesse, mit denen Unternehmen vertrauliche Daten vor Manipulation, Betrug und Verlust schützen können. Die Datensicherheit befasst sich mit der Integrität von Daten und schützt sie vor Manipulation durch unbefugte Benutzer oder Insiderbedrohungen. Der Schutz der Privatsphäre regelt, wer Zugriff auf Ihre Daten hat und welche Daten an Dritte weitergegeben werden dürfen.

Best Practices für Datenschutz

Best Practices für den Datenschutz umfassen Pläne, Richtlinien und Strategien, mit denen Sie den Zugriff auf Ihre Daten steuern, Netzwerk- und Nutzungsaktivitäten überwachen sowie auf interne und externe Bedrohungen reagieren können.

  • Anforderungen zeitnah erfüllen

    Ein umfassender Governanceplan zeigt auf, welche rechtlichen Anforderungen gelten und wie sich diese auf Ihre Unternehmensdaten auswirken. Stellen Sie sicher, dass Sie alle Ihre Daten im Blick behalten und die richtige Klassifizierung anwenden. Außerdem müssen Sie die Datenschutzbestimmungen Ihrer Branche erfüllen.

  • Zugriff einschränken

    Die Zugriffssteuerung prüft anhand der Authentifizierung, ob ein Benutzer die Person ist, für die er sich ausgibt, und anhand der Autorisierung, welche Informationen Benutzer einsehen und nutzen dürfen. Im Falle einer Datenpanne ist die Zugriffssteuerung eine der ersten Richtlinien, die auf ordnungsgemäße Implementierung und Anwendung überprüft wird.

  • Cybersicherheitsrichtlinie festlegen

    Durch eine Richtlinie für die Cybersicherheit werden IT-Aktivitäten innerhalb eines Unternehmens definiert und gesteuert. Dadurch sensibilisieren Sie Beschäftigte für häufige Datenbedrohungen und schärfen deren Sicherheitsbewusstsein. Außerdem können Sie Datenschutzstrategien erläutern und den verantwortungsvollen Umgang mit Daten fördern.

  • Aktivitäten überwachen

    Durch laufende Überwachungen und Tests lassen sich potenzielle Risikobereiche erkennen. Nutzen Sie KI, und automatisieren Sie Ihre Datenüberwachungsaufgaben, um Bedrohungen schnell und effektiv zu erkennen. Dieses Frühwarnsystem macht Sie auf potenzielle Daten- und Sicherheitsprobleme aufmerksam, bevor diese Schaden anrichten können.

  • Incident-Response-Plan entwickeln

    Wenn Sie einen Incident-Response-Plan haben, bevor es zu einer Datenpanne kommt, können Sie gezielt Maßnahmen ergreifen. Ein solcher Plan hilft dem Notfallteam (z. B. IT-, InfoSec- oder Kommunikationsverantwortlichen), die Systemintegrität zu wahren und die Arbeit im Unternehmen schnellstmöglich wiederaufzunehmen.

  • Risiken identifizieren

    Mitarbeitende, Lieferanten, Auftragnehmer oder Partner sind mit Ihren Daten, Computersystemen und Sicherheitspraktiken vertraut. Um unbefugte Datenzugriffe zu erkennen und Daten vor Missbrauch zu schützen, müssen Sie Ihren Datenbestand kennen und wissen, wie Daten in Ihrer digitalen Umgebung verwendet werden.

  • Sicherheit bei der Datenspeicherung optimieren

    Die Sicherheit der Datenspeicherung basiert auf Methoden wie Zugriffssteuerung, Verschlüsselung und Endpunktsicherheit, um die Integrität und Vertraulichkeit gespeicherter Daten zu gewährleisten. Außerdem sinkt das Risiko absichtlich oder unabsichtlich herbeigeführter Schäden, und Daten bleiben ständig verfügbar.

  • Beschäftigte schulen

    Ob absichtlich oder unbedacht: Insiderrisiken sind eine der Hauptursachen für Datenpannen. Vermitteln Sie Datenpräventionsrichtlinien auf allen Ebenen, damit sie von Mitarbeitenden eingehalten werden können. Frischen Sie Kenntnisse regelmäßig durch Nachschulungen auf, und bieten Sie bei speziellen Problemen individuelle Anleitungen.

Datenschutzbestimmungen und -gesetze

Jedes Unternehmen muss die geltenden Datenschutzstandards, Gesetze und Vorschriften einhalten. Zu den gesetzlichen Verpflichtungen gehört unter anderem, dass nur benötigte Daten von Kunden oder Beschäftigten erfasst werden dürfen. Außerdem müssen Daten sicher aufbewahrt und fristgemäß gelöscht werden. Im Folgenden stellen wir einige Datenschutzgesetze vor.

Die DSGVO ist das strengste Rechtsinstrument zum Datenschutz und zur Datensicherheit. Sie wurde von der EU erarbeitet und verabschiedet, ist jedoch für Organisationen auf der ganzen Welt verpflichtend, wenn sie personenbezogene Daten von EU-Bürgern oder in der EU wohnhaften Personen erfassen bzw. ihnen Waren und Dienstleistungen anbieten.

Der California Consumer Privacy Act (CCPA) schützt die Rechte von Verbrauchern in Kalifornien. Dazu zählt das Recht zu erfahren, welche personenbezogenen Daten ein Unternehmen erfasst und wie diese verwendet und weitergegeben werden. Hinzu kommt das Recht auf Löschung der erfassten personenbezogenen Daten und das Recht, dem Verkauf personenbezogener Daten zu widersprechen.

Der HIPAA schützt Patienten davor, dass Gesundheitsinformationen ohne deren Wissen oder Zustimmung weitergegeben werden. Die HIPAA-Datenschutzbestimmungen schützen personenbezogene Gesundheitsinformationen und wurden zur Umsetzung der HIPAA-Anforderungen erlassen. Die HIPAA-Sicherheitsregel dient dem Schutz identifizierbarer Gesundheitsdaten, die von Gesundheitsdienstleistern erstellt, empfangen, aufbewahrt oder elektronisch übertragen werden.

Der Gramm-Leach-Bliley Act (GLBA) – auch bekannt als Financial Services Modernization Act von 1999 – verpflichtet Finanzinstitute dazu, ihre Methoden zur Weitergabe von Informationen gegenüber Kunden offenzulegen und vertrauliche Daten zu schützen.

Die Federal Trade Commission ist die wichtigste Verbraucherschutzbehörde in den Vereinigten Staaten. Der Federal Trade Commission Act untersagt alle unlauteren Wettbewerbsmethoden sowie unfaire oder irreführende Handlungen oder Praktiken im Geschäftsverkehr.

Während sich Strategien und Prozesse weiterentwickeln, gibt es einige Datenschutztrends, die Ihr Unternehmen beachten sollte. Dazu gehören die regulatorische Compliance, das Risikomanagement und die Datenübertragbarkeit.

  • Weitere Datenschutzbestimmungen

    Die DSGVO ist der neue Maßstab dafür, wie Länder personenbezogene Daten erfassen, offenlegen und speichern. Seit Einführung der DSGVO sind der CCPA in den Vereinigten Staaten (Kalifornien) und das allgemeine Datenschutzgesetz in Brasilien in Kraft getreten, um auf die wachsende Online-Konsumkultur sowie personalisierte Produkte und Dienstleistungen vorbereitet zu sein.

  • Sichere mobile Daten

    Um den Zugriff unbefugter Benutzer auf Ihr Netzwerk zu verhindern, müssen Sie auch vertrauliche Daten auf tragbaren Geräten wie Laptops, Tablets und Smartphones schützen. Die Sicherheitssoftware nutzt die Identitätsüberprüfung, um zu verhindern, dass Geräte kompromittiert werden.

  • Beschränkter Zugriff für Dritte

    Datenschutzverletzungen lassen sich häufig auf Dritte (z. B. Lieferanten, Partner und Dienstanbieter) zurückführen, die weitreichenden Zugriff auf das Netzwerk und die Daten eines Unternehmens haben. Das Risikomanagement für Drittunternehmen wird inzwischen auch in den Compliancevorschriften berücksichtigt, um den Zugriff auf und die Nutzung von Daten durch Dritte einzuschränken.

  • Verwaltung von Datenkopien

    Durch die Verwaltung von Datenkopien werden doppelte Daten erkannt, ähnliche Daten verglichen und Unternehmen in die Lage versetzt, ungenutzte Datenkopien zu löschen. Diese Lösung minimiert Inkonsistenzen aufgrund doppelter Daten, senkt die Speicherkosten und unterstützt die Sicherheit und Compliance.

  • Datenübertragbarkeit

    In den Anfängen des Cloud Computing war es sehr schwierig, Daten zu übertragen und große Datasets in andere Umgebungen zu migrieren. Heute sind Daten dank der Cloudtechnologie leichter übertragbar. Unternehmen können Daten zwischen verschiedenen Umgebungen verschieben, z. B. von lokalen Rechenzentren in Public Clouds oder zwischen Cloudanbietern.

  • Notfallwiederherstellung as a Service

    Mit Notfallwiederherstellung as a Service können Unternehmen jeder Größe kosteneffiziente Clouddienste nutzen, um ihre Systeme zu replizieren und den Betrieb nach einer Katastrophe wiederaufzunehmen. Die Lösung bietet die Flexibilität und Skalierbarkeit cloudbasierter Technologie und gilt als effektive Lösung zur Vermeidung von Dienstausfällen.

Datenerkennung und -klassifizierung

Datenerkennung und -klassifizierung sind separate Prozesse, die gemeinsam Einblicke in die Daten Ihres Unternehmens bieten. Ein Tool zur Datenerkennung prüft Ihre gesamte digitale Umgebung auf strukturierte und unstrukturierte Daten, was für Ihre Datenschutzstrategie sehr wichtig ist. Die Datenklassifizierung organisiert Daten aus dem Datenerkennungsprozess nach Dateityp, Inhalt und weiteren Metadaten, beseitigt Datenduplikate und erleichtert das Auffinden und Abrufen von Daten.

Ungeschützte Daten sind leicht angreifbar. Wenn Sie wissen, über welche Daten Sie verfügen und wo diese gespeichert sind, können Sie diese schützen und gleichzeitig die gesetzlichen Anforderungen für Datenprozesse und -kontrollen einhalten.

Datenschutzlösungen

Datenschutzlösungen schützen vor Datenverlusten und sorgen für Sicherheit, Datensicherung und -wiederherstellung, was direkt den Notfallwiederherstellungsplan Ihres Unternehmens unterstützt.

Ermöglichen Sie Ihrem Unternehmen den einfachen Umgang mit vertraulichen Daten. Behalten Sie mit Microsoft Security-Lösungen alle Ihre Daten im Blick, profitieren Sie vom leistungsfähigeren Schutz Ihrer Apps, Clouds und Geräte, und erfüllen Sie gesetzliche Anforderungen.

Weiterführende Informationen zu Microsoft Security

Microsoft Purview

Erkunden Sie Governance-, Datenschutz- und Compliancelösungen für Ihre Unternehmensdaten.

Learn more

Verhinderung von Datenverlust

Erkennen Sie die unangemessene Freigabe, Übertragung oder Nutzung vertraulicher Daten an Endpunkten sowie in Apps und Diensten.

Learn more

Informationsschutz

Schützen und kontrollieren Sie Ihre Daten mithilfe integrierter, intelligenter, einheitlicher und erweiterbarer Lösungen.

Learn more

Kommunikationscompliance

Erkennen Sie mithilfe von Machine Learning Verstöße gegen Regeln für gute Kommunikation.

Learn more

Häufig gestellte Fragen

  • Zum Datenschutz gehören die Verhinderung böswilliger oder versehentlicher Schäden, eine Notfallwiederherstellungsstrategie und die Beschränkung des Zugriffs auf Personen, die die Daten benötigen.

  • Der Zweck des Datenschutzes besteht darin, Unternehmensdaten vor Kompromittierung, Beschädigung und Verlust zu schützen.

  • Die DSGVO legt fest, dass Personen grundlegende Rechte und Freiheiten haben, wenn es um den Schutz ihrer personenbezogenen Daten geht. Jede Organisation, die personenbezogene Daten erfasst, muss die ausdrückliche Zustimmung des Einzelnen einholen und darlegen, wie diese Daten verwendet werden.

  • Zu den Datenschutztools gehören Datenerkennung und -inventarisierung, Verschlüsselung, Datenlöschung, Zugriffsverwaltung und Endpunktsicherheit.

  • Um Daten zu schützen, können Unternehmen zunächst eine Sicherheitsrichtlinie aufstellen, in der die Nutzungserlaubnis und Meldung von Vorfällen festgelegt sind. Weitere wichtige Maßnahmen sind die Sicherung wichtiger Daten, die Aktualisierung der Software und Mitarbeiterschulungen zum Thema Datenschutz.

Microsoft 365 folgen