Opfer einer Datenschutzverletzung
Datenschutz-Fragen an Tim Mackey, Principal Security Strategist bei Synopsys
Es ist sehr viel leichter, Vertrauen zu verspielen als es aufzubauen oder wiederherzustellen
Jedes Jahr am 28. Januar findet der Europäische Datenschutztag statt. Ziel ist es, für den sicheren Umgang mit den eigenen Daten zu sensibilisieren. Seit 2007 findet jedes Jahr am 28. Januar anlässlich der Unterzeichnung der Europäischen Datenschutzkonvention der Europäische Datenschutztag statt. Der vom Europarat ins Leben gerufene Aktionstag hat das Ziel, Menschen für Aspekte des Datenschutzes und der Datensicherheit zu sensibilisieren und über effektive Datenschutzmaßnahmen aufzuklären. Dafür organisieren Regierungen, Parlamente, nationale Datenschutzbehörden aber auch Akteure der Zivilgesellschaft Projekte zur Sensibilisierung für Datenschutz und Privatsphäre im Netz.
Wir haben anlässlich des Europäischen Datenschutztages Tim Mackey, Principal Security Strategist bei Synopsys befragt:
Warum ist der Datenschutz von Endverbrauchern und Firmenkunden für Unternehmen so wichtig?
Tim Mackey: Wenn beim Kauf eines Artikels oder einer Dienstleistung Alternativen zur Verfügung stehen, ist der Ruf der Marke ein Schlüsselelement im Auswahlprozess. Der Käufer erwartet, dass er ein Qualitätsprodukt bekommt, dass der Anbieter hinter seinen Produkten steht und zur Stelle ist, wenn der Kunde Unterstützung braucht. Die weitaus meisten geschäftlichen Aktivitäten sind mit personenbezogenen Daten verbunden. Selbst wenn es sich nur um eine simple Kreditkartentransaktion handelt, riskieren Firmen, ihren Ruf zu ramponieren oder das Vertrauen ihrer Kunden zu verspielen – etwa, wenn Kundendaten etwas zu bereitwillig weitergegeben oder schlicht der Umgang mit ihnen nicht den Vorgaben entspricht.
Was muss passieren, um Vertrauen zu verspielen – und es wieder aufzubauen?
Mackey: Es ist sehr viel leichter, Vertrauen zu verspielen als es aufzubauen oder wiederherzustellen. Vertrauen ist quasi eine Aneinanderreihung kleiner Erfolge, die in der Summe den Wert einer Marke ausmachen. Ein Unternehmen, das nur das Minimum an Kundendaten abfragt und diese nur für den nötigen Mindestzeitraum speichert, der senkt bereits die Wahrscheinlichkeit, dass Daten kompromittiert werden können. Schließlich sind die einzigen Daten, die einer Datenschutzverletzung zum Opfer fallen, zum Zeitpunkt des Vorfalls zugängliche Daten. Es liegt also auf der Hand: Eine Fülle von Kundendaten und Profilen weckt bei Cyberkriminellen Begehrlichkeiten und erhöht das Risiko, bestimmte Unternehmen ins Visier zu nehmen.
Wie können Unternehmen nach einem Vorfall, respektive einer Datenschutzverletzung, das Vertrauen wiederherstellen?
Mackey: Transparenz, Einfachheit und Konsistenz sind die Schlüssel, um Vertrauen wiederherzustellen. Machen Sie transparent, um welche Art von Angriff es sich handelt, erklären Sie, welche Schwachstellen ausgenutzt wurden, wann der Angriff stattgefunden hat und warum bestimmte Kunden möglicherweise davon betroffen sein könnten. Je detaillierter die Kommunikation, desto wahrscheinlicher ist es, dass zumindest einige Kunden die Bemühungen honorieren und sich das positiv auf das Unternehmensimage auswirkt.
Akzeptieren und übernehmen Sie die Verantwortung für die Schwachstellen, die ausgenutzt wurden, und erläutern Sie sämtliche der unternommenen Schritte, um ähnlich erfolgreiche Angriffe in Zukunft zu verhindern. Natürlich sollten Sie keine Details des Angriffs preisgeben. Es sei denn, sie betreffen direkt die Auswirkungen auf einen Kunden. Aufsichtsbehörden verlangen oft solche zusätzlichen Informationen. Aber sie sind auch in der Lage, die Details im Kontext des Angriffs zu interpretieren, und zwar oft ohne die natürliche Voreingenommenheit, die ein Kunde vielleicht mitbringt.
DSGVO und Transparenz: Wie sollte eine Datenschutzerklärung aussehen, damit sie ihren Zweck erfüllt?
Mackey: Sprachlich möglichst einfach gehaltene Datenschutzerklärungen sind die besten. Legen Sie ganz genau dar, welche Informationen erhoben werden und warum. Sorgen Sie dafür, dass interne Softwareentwicklungsteams die Datenschutzerklärungen und ihre Auswirkungen tatsächlich verstanden haben. Denn das Letzte, was ein Unternehmen will, ist, dass es zwar eine klar formulierte Datenschutzerklärung hat, aber das Entwicklungsteam Softwareänderungen vornimmt, die diese Erklärung faktisch ungültig machen. (Synopsys: ra)
eingetragen: 26.02.22
Newsletterlauf: 22.04.22
Synopsys: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.