Unterschied zwischen vertraglichen und regulierten privaten Daten
Die Unterscheidung zwischen Datentypen ist in einer Cloud-Umgebung kritisch, da daraus sowohl Compliance- als auch Sicherheitsanforderungen abgeleitet werden. Man unterscheidet folgende Kategorien:
PII (Personally Identifiable Information) – umfasst alle Informationen, die eine Person identifizieren können, z. B. Name, Geburtsdatum, Adresse oder Ausweisnummer.
PHI (Protected Health Information) – eine Unterkategorie der PII, die ausschließlich medizinischen Daten betrifft. In den USA werden diese durch den HIPAA (Health Insurance Portability and Accountability Act) geregelt.
Zahlungsdaten – Daten, die bei finanziellen Transaktionen verwendet werden, z. B. Kreditkarteninformationen. Diese unterliegen dem PCI DSS (Payment Card Industry Data Security Standard).
Gesetzlich regulierte vs. vertraglich geschützte Daten
Das Prinzip ist einfach: Gesetzlich regulierte Daten werden durch staatliche Vorschriften geschützt – vertraglich geschützte Daten durch private Vereinbarungen.
Bei regulierten Daten (wie PII oder PHI) schreibt der Staat die Regeln vor – etwa durch DSGVO oder HIPAA. Werden diese Daten kompromittiert, drohen empfindliches Geld und rechtliche Konsequenzen. Hinzu kommt eine gesetzliche Meldepflicht: z.B. die DSGVO verlangt Datenpannen innerhalb von 72 Stunden zu melden.
Vertraglich geschützte Daten folgen stattdessen einem privaten Regelwerk, basierend auf individuellen Vereinbarungen wie NDAs oder SLAs. Ein Verstoß führt hier in der Regel nicht zu strafrechtlichen, sondern zu zivilrechtlichen Konsequenzen.
Länderspezifische Gesetzgebung in Bezug auf private Daten
Neben der DSGVO existieren weltweit zahlreiche weitere Regelungen, deren Existenz man kennen sollte:
Australien: Privacy Act – ähnliche Grundsätze wie die DSGVO. – Transparenz, Einwilligung und Informationspflichten für Organisationen, die Daten australischer Bürger verarbeiten.
In den USA gibt es kein einheitliches nationales Datenschutzgesetz, sondern einen Flickenteppich aus föderalen und bundesstaatlichen Regelungen.
- CLOUD Act (Zugriff US-Behörden auf Daten amerikanischer Anbieter, auch im Ausland)
- EU-US Data Privacy Framework (Nachfolger des Privacy Shield für transatlantische Datentransfers)
- CCPA (Datenschutzgesetz Kaliforniens)
- Stored Communications Act (Schutz gespeicherter elektronischer Kommunikation)
Weitere Datenschutzanforderungen
Auch diese Regeln befassen sich mit dem Umgang mit personenbezogenen Daten.
ISO/IEC 27018 – internationaler Standard, der konkrete Maßnahmen zum Schutz personenbezogener Daten in Cloud-Umgebungen definiert und sich speziell an Cloud-Provider richtet. ISO 27018 basiert auf ISO 27001 und erweitert diese um spezifische Datenschutzanforderungen.
GAPP (Generally Accepted Privacy Principles) – ein Rahmenwerk, das allgemein anerkannte Grundsätze für den Datenschutz zusammenfasst und als Orientierung für die Gestaltung datenschutzkonformer Prozesse dient. Kernprinzipien sind: Notice, Choice & Consent, Access & Correction, Disclosure sowie Security.
Privacy Impact Assessment (PIA) – eine strukturierte Risikoanalyse, die durchgeführt wird, bevor ein neues System oder ein neuer Prozess eingeführt wird, um potenzielle Datenschutzrisiken frühzeitig zu identifizieren und zu minimieren.
DSGVO – bereits ausführlich behandelt. Sie gewährt betroffenen Personen klar definierte Rechte: Recht auf Information, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruchsrecht.