Datenschutz ist ein Governance- und Geschäftsprinzip, das darauf abzielt, die Kontrolle über personenbezogene Daten während ihres gesamten Lebenszyklus zu gewährleisten.
Inhalt
Was ist Datenschutz?
Datenschutz (auch als Informationsschutz bezeichnet) ist der Grundsatz, dass Einzelpersonen die Kontrolle darüber haben sollten, wie ihre personenbezogenen Daten von Organisationen erhoben, genutzt, gespeichert, weitergegeben und aufbewahrt werden.
Aus geschäftlicher Sicht ist Datenschutz kein abstraktes Konzept. Es handelt sich um eine Reihe von Maßnahmen und Kontrollen, die sicherstellen, dass personenbezogene Daten rechtmäßig, transparent und verhältnismäßig verarbeitet werden.
Die meisten Datenschutzprobleme lassen sich auf grundlegende Fragen zurückführen, die nie eindeutig beantwortet wurden:
Müssen wir diese Daten überhaupt erfassen?
Wer sollte darauf zugreifen können und zu welchem Zweck?
Wie lange speichern wir diese Daten und können wir sie zuverlässig löschen?
Wo werden sie außerhalb des ursprünglichen Systems geteilt, kopiert oder synchronisiert?
Was passiert, wenn ein Konto kompromittiert wird oder ein Gerät verloren geht?
Datenschutz im Vergleich zur Datensicherheit
Datenschutz regelt, ob die Erhebung und Verwendung personenbezogener Daten durch das Unternehmen angemessen ist. Im Mittelpunkt stehen Sinnhaftigkeit, Fairness, Transparenz und die Rechte des Einzelnen.
Datensicherheit regelt, ob diese Daten vor unbefugtem Zugriff, Offenlegung, Veränderung oder Verlust geschützt sind. Der Schwerpunkt liegt auf Sicherheitsmaßnahmen wie Zugriffskontrollen, Verschlüsselung, Überwachung und sicherer Konfiguration.
Ein Unternehmen kann zwar über strenge Sicherheitsvorkehrungen verfügen und dennoch gegen den Datenschutz verstoßen, wenn es mehr Daten erfasst als nötig oder diese auf eine Weise nutzt, die die Betroffenen normalerweise nicht erwarten würden. Ebenso ist Datenschutz ohne Sicherheit nicht möglich: Wenn personenbezogene Daten offengelegt werden, ist die Kontrolle bereits verloren.
Bedeutung von Datenschutz für Unternehmen
Datenschutz ist wichtig, weil er gewöhnliche Geschäftstätigkeiten zu einem regulierten Risiko macht. Personenbezogene Daten kommen in Routineabläufen vor, bei der Kundengewinnung, in Personalprozessen, bei Marketingkampagnen, in Support-Tickets, auf Rechnungen und in Anrufaufzeichnungen. Gibt es an einem dieser Orte Probleme, beschränken sich die Auswirkungen nicht mehr nur auf Betriebsstörungen, sondern es geht um eine Frage der Rechte.
Datenschutzbedenken und Risiken
Für einen klaren Überblick über datenschutzrechtliche Bedenken ist es sinnvoll, sich darauf zu konzentrieren, was in realen Unternehmen immer wieder zu Datenschutzverletzungen führt. Dies sind die häufigsten Datenschutzrisiken und der Grund, warum Datenschutzprobleme nicht allein durch Richtlinien gelöst werden können.
Übermäßige Datenerhebung und -speicherung
Wenn Sie mehr Daten erfassen, als Sie benötigen, erhöht dies die Auswirkungen von Datenschutzverletzungen, den Umfang der Compliance-Anforderungen und die betriebliche Komplexität. Werden diese Daten auf unbestimmte Zeit aufbewahrt, werden die „harmlosen Daten“ von gestern zur Belastung von morgen.
Fehlkonfiguration in Cloud und SaaS
Fehlerhafte Konfigurationen sind eine anhaltende Ursache für Sicherheitslücken, da sie leicht entstehen und sich nur schwer großflächig erkennen lassen. Dies gilt besonders für schnelllebige Teams und bei der Nutzung mehrerer Cloud-Dienste. Trend Micro hat wiederholt darauf hingewiesen, dass Fehlkonfigurationen ein großes Problem für die Cloud-Sicherheit und eine kontinuierliche Quelle kritischer Risiken darstellen.
Risiken durch Dritte und in der Lieferkette
Lieferanten haben oft berechtigten Zugriff auf Systeme oder Daten. Das birgt die Gefahr, dass der Zugang still und leise erweitert wird, die Aufsicht hinterherhinkt und im Falle eines Problems die Verantwortlichkeiten unscharf werden.
Übermäßige Zugriffsrechte und Ausweitung der Befugnisse
In den meisten Fällen ist für die Offenlegung von Daten kein ausgeklügeltes Hacking erforderlich. Es braucht nur Zugriffsrechte, die aus praktischen Gründen gewährt (und nie überprüft) wurden.
Insiderrisiko (unbeabsichtigt oder bösartig)
Menschen tauschen Dateien aus, um ihre Arbeit zu erledigen. Das ist normal. Ein Datenschutzrisiko entsteht, wenn die Sicherheitsmaßnahmen nicht mit den Daten Schritt halten. So kann ein einziger Klick zu einem meldepflichtigen Vorfall führen.
Datenexfiltration
Personenbezogene Daten können über E-Mail, Uploads, Synchronisierungstools, Collaboration-Apps und kompromittierte Konten nach außen gelangen. Unternehmen bemerken Datenabflüsse oft erst spät, da die Transparenz über verschiedene Tools hinweg lückenhaft ist.
Datenschutz-Compliance und Best Practices
Die Einhaltung der Datenschutzbestimmungen wird erst dann realistisch, wenn Sie nachweisen können, dass Sie die Kontrolle über personenbezogene Daten haben. Das heißt: Sie wissen, wo sich diese Daten befinden, wer darauf zugreifen darf und wie sie weitergegeben werden. Deshalb versagen reine Richtlinienprogramme bei Audits und Zwischenfällen: Die Nachweise finden sich in Systemen, Berechtigungen, Protokollen und den tatsächlichen Datenflüssen.
Genauso wichtig ist, dass moderne Datenschutzrisiken nicht mehr auf einen einzigen Kanal beschränkt sind. Laut einer Studie von Trend Micro reicht herkömmliche Data Loss Prevention (DLP) allein nicht mehr aus, da sie für klare Netzwerkgrenzen konzipiert wurde. Heutzutage bewegen sich Daten jedoch ständig zwischen Cloud-Anwendungen, Endgeräten, hybriden Umgebungen und sogar KI-Datensätzen hin und her. In derselben Studie wird aufgezeigt, warum herkömmliche Lösungen für DLP oft zu kurz greifen: starre Regeln, die die Teams frustrieren, eine schwache Verknüpfung zum Nutzerverhalten (im Zusammenhang mit Insiderrisiken) und eine kanalspezifische Überwachung, die keinen vollständigen und kontinuierlichen Überblick über die Gefährdung sensibler Daten bieten kann.
Datenschutz-Compliance in der Praxis
Wenn Aufsichtsbehörden, Wirtschaftsprüfer oder Kunden fragen: „Halten Sie die Vorschriften ein?“, wollen sie in der Regel prüfen, ob Sie schnell schlüssige Antworten auf die folgenden grundlegenden Fragen geben können:
Wo befinden sich Ihre personenbezogenen Daten? (Systeme, SaaS-Anwendungen, Speicherorte, Schatten-Repositorys)
Wer hat Zugriff darauf? (einschließlich freie Mitarbeiter und Lieferanten)
Warum verarbeiten Sie sie? (Übereinstimmung von Zweck und Rechtsgrundlage)
Wie lange bewahren Sie sie auf? (Aufbewahrungsfristen und konkrete Workflows zur Löschung)
Können Sie eine Gefährdung erkennen und darauf reagieren? (Endpoint Detection, Untersuchung, Incident Response)
Wenn diese Antworten ein mühsames Durchforsten verschiedener Tools und Teams erfordern, gerät die Compliance ins Wanken, insbesondere unter Termindruck.
Best Practices für modernen Datenschutz
Betrachten Sie Datenschutz nicht als eine Art Checkliste, sondern als eine Frage der Kontrolle über den Datenlebenszyklus. Die folgenden Best Practices stimmen mit dem überein, was moderne Datensicherheit bieten muss: kontinuierliche Transparenz.
1) Automatisieren Sie die Datenerkennung und -klassifizierung
Sie können Daten, die Sie nicht ausfindig machen können, auch nicht schützen. Stellen Sie daher sicher, dass Sie sensible Daten auf Endgeräten, in SaaS-Anwendungen, Cloud-Speichern und Datenbanken aufspüren und kennzeichnen, damit entsprechende Kontrollmaßnahmen darauf angewandt werden können.
2) Pflegen Sie einen lebendigen Datenbestand
Behalten Sie einen aktuellen Überblick darüber, wo sich sensible Daten befinden und wie darauf zugegriffen wird. Statische Bestände altern schnell veraltet und können bei Audits und Vorfällen zu blinden Flecken führen.
3) Verfolgen Sie die Datenbewegung und die Weitergabe
Verstehen Sie, wie sensible Daten fließen: Uploads, Downloads, externe Links, Weiterleitung, Synchronisationstools und API-Integrationen. Dies ist wichtig, da die meisten Expositionen während der Bewegung und Weitergabe von Daten, nicht wenn sich die Daten im Ruhezustand befinden.
4) Priorisieren Sie die Exposition, nicht nur die Sensibilität
Nicht alle sensiblen Daten sind gleich riskant. Konzentrieren Sie sich zunächst auf sensible Daten, die allgemein zugänglich sind, öffentlich einsehbar sind, extern weitergegeben werden oder sich in Systemen mit unzureichenden Sicherheitsvorkehrungen befinden. Dies senkt das Risiko oft schneller als pauschale Kontrollen.
5) Verwenden Sie Richtlinien, die sich an den Kontext anpassen
Wenden Sie Regeln an, die den Nutzer, den Standort, den Gerätestatus und das Nutzerverhalten (zum Beispiel ungewöhnliche Downloads oder massenhaftes Teilen) berücksichtigen. Verlassen Sie sich nicht ausschließlich auf statische Keyword-Übereinstimmungen. Das kann zu Fehlalarmen führen, und Sie könnten Situationen übersehen, die auf tatsächlichen Missbrauch hindeuten.
6) Reduzieren Sie Exfiltrationswege über mehrere Kanäle hinweg
Das Sperren eines einzigen Auswegs verhindert nur selten Datenlecks, wenn mehrere Wege offen bleiben. Daher ist es unerlässlich, die Wege abzudecken, die Nutzer und Angreifer tatsächlich nutzen: E-Mail, Cloud-Anwendungen, Endgeräte, Browser und Kollaborationstools.
Insgesamt gilt: Wenn die Datenschutzkontrollen eines Unternehmens nur punktuell greifen, mag es auf dem Papier zwar den Vorschriften entsprechen – in der Praxis ist es jedoch ungeschützt. Moderne Datenschutzprogramme erfordern ein kontinuierliches Datenbewusstsein sowie die Fähigkeit, Maßnahmen zur Prävention und Reaktion über verschiedene Umgebungen hinweg zu ergreifen (nicht nur auf einem einzelnen Kanal).
Datenschutz-Frameworks
Ein Datenschutz-Framework bietet Ihnen eine standardisierte Methode, um die Reife zu verbessern, Verantwortlichkeiten zuzuweisen und Fortschritte zu messen. Es macht aus „Datenschutzabsichten“ ein Betriebsmodell.
NIST Privacy Framework
Das NIST Privacy Framework soll Organisationen dabei unterstützen, Datenschutzrisiken im Rahmen des unternehmensweiten Risikomanagements zu bewältigen. Das ist hilfreich, wenn Sie eine strukturierte Methode benötigen, um die derzeitigen Kontrollmaßnahmen zu bewerten, einen Sollzustand zu definieren und Verbesserungsmaßnahmen zu priorisieren.
ISO/IEC 27701
ISO/IEC 27701 erweitert einen Ansatz für das Informationssicherheits-Management um datenschutzspezifische Kontrollmaßnahmen und Verfahren zur Rechenschaftspflicht für personenbezogene Daten (PII). Die Norm kommt häufig zum Tragen, wenn Kunden neben Sicherheitsmaßnahmen auch formelle Zusicherungen und eine Governance-Struktur erwarten.
Datenschutz in der künstlichen Intelligenz (KI)
Beim Datenschutz im Bereich der KI geht es darum, zu verhindern, dass personenbezogene oder sensible Daten durch KI-Workflows offengelegt werden, insbesondere durch Prompts, verbundene Datenquellen (RAG/Wissensdatenbanken), Protokolle und Modellausgaben.
KI erschwert den Datenschutz aus einem ganz bestimmten Grund: Sie veranlasst die Menschen dazu, Informationen schnell weiterzugeben. Das bedeutet, dass sensible Daten mit größerer Wahrscheinlichkeit:
aus Bequemlichkeit in Prompts eingefügt werden,
automatisch aus internen Repositorys abgerufen werden und in Protokollen oder Chat-Verläufen enthalten sind,
in den Ergebnissen widergespiegelt werden, wenn die Zugriffskontrollen unzureichend sind.
Gefährdung des Datenschutzes in Workflows von KI-Systemen
1. Prompt Injection, die dem Modell sensible Daten zuführt
In der Studie „Link Trap“ von Trend Micro wird die Prompt Injection als Angriff beschrieben, bei dem speziell gestaltete Eingaben ein GenAI-System dazu manipulieren, die Absichten eines Angreifers auszuführen. Der Artikel weist ausdrücklich darauf hin, dass diese Art der Prompt Injection auch ohne weitreichende KI-Berechtigungen zur Kompromittierung sensibler Daten führen kann, weshalb die Aussage „Wir haben es mit nichts verbunden“ keine umfassende Sicherheitsstrategie darstellt.
Der injizierte Prompt eines Angreifers kann die KI anweisen,
sensible Daten zu erfassen. (Bei öffentlich zugänglichen GenAI-Systemen kann dies den Chat-Verlauf mit persönlichen Angaben umfassen; bei privaten GenAI-Systemen können dies interne Passwörter oder vertrauliche Dokumente sein, die der KI als Referenz zur Verfügung gestellt werden.)
diese Daten an eine URL anzuhängen und möglicherweise hinter einem harmlosen Hyperlink zu verbergen, um den Verdacht zu verringern.
2. Unschutzte RAG-Komponenten (Vektorspeicher und LLM-Hosting), die Daten preisgeben
Die Forschung von Trend Micro im Bereich der agentenbasierten KI zeigt zudem, dass RAG-Systeme (Retrieval-Augmented Generation) Sicherheitslücken verursachen können, wenn Komponenten wie Vektorspeicher und LLM-Hosting-Plattformen ungeschützt sind. Das kann zu Datenschutzverletzungen, unbefugtem Zugriff und Systemmanipulation führen, werden, wenn keine angemessenen Sicherheitsvorkehrungen getroffen werden.
In derselben Untersuchung berichtet Trend Micro, dass mindestens 80 ungeschützte Server im Zusammenhang mit RAG/LLM-Komponenten entdeckt wurden (darunter viele ohne Authentifizierung), und betont die Notwendigkeit von TLS und Zero-Trust-Netzwerken, um diese Systeme vor unbefugtem Zugriff und Manipulationen zu schützen.
Maßnahmen zur Verringerung von Datenschutzrisiken durch KI
Die folgenden Maßnahmen zum KI-Risikomanagement können dazu beitragen, den Datenschutz bei KI-Daten zu gewährleisten und vor den wichtigsten KI-Sicherheitsrisiken zu schützen.
1. Behandeln Sie Prompts als nicht vertrauenswürdige Eingaben
Gehen Sie davon aus, dass Prompts feindlich sein können. Weisen Sie die Nutzer an, „versteckten” Anweisungen nicht zu folgen und bei in den Ausgaben eingebetteten Links und Verweisen Vorsicht walten zu lassen.
2. Schränken Sie ein, worauf die KI zugreifen kann (geringste Privilegien für Daten und Tools)
Wenn die KI sensible Inhalte abrufen kann, können Angreifer versuchen, sie auf diese Inhalte zu lenken. Beschränken Sie den Zugriff auf interne Repositorys und unterteilen Sie Wissensdatenbanken nach Rollen.
3. Sichern Sie RAG-Grundlagen wie Ihre Produktionsinfrastruktur
Sperren Sie Vektor-Speicher und LLM-Hosting durch Authentifizierung, TLS und Zero-Trust-Netzwerke, da exponierte Komponenten ein direktes Datenschutzrisiko darstellen, wenn private Daten hinter Abrufsystemen gespeichert sind.
4. Überwachen Sie KI-Nutzungsmuster
Achten Sie auf ungewöhnliches Abrufverhalten, ungewöhnliche Abfragemuster und wiederholte Versuche, Richtlinien zu umgehen – dies sind Anzeichen, die auf Sondierungs- oder Injektionsversuche hindeuten können.
Beispiele und Nachrichten zum Datenschutz
Am besten versteht man, wie der Datenschutz die Menschen schützt, wenn man sieht, wie er in der Praxis funktioniert: Es kommt zu einem Datenleck in der realen Welt, die Aufsichtsbehörden untersuchen, was schiefgelaufen ist, und die Durchsetzung sorgt für Änderungen, die das Risiko einer Wiederholung verringern.
Der Capita Cyberangriff und die UK DSGVO
Was den Datenschutz bedroht hat: Im März 2023 entwendeten Angreifer personenbezogene Daten von 6,6 Millionen Menschen aus Systemen von Capita, darunter in einigen Fällen auch sensible Informationen.
Wie die Regulierung darauf reagierte (und was sie „unterband“): Im Oktober 2025 verhängte die britische Datenschutzbehörde ICO eine Geldstrafe in Höhe von 14 Millionen Pfund, weil keine angemessene Sicherheit für personenbezogene Daten gewährleistet worden war. Dabei wurden unzureichende Sicherheitsvorkehrungen und eine langsame Reaktion ausdrücklich als Verstoß gegen den Datenschutz und nicht „nur“ als IT-Problem gewertet.
Wie sich der Datenschutz in der Praxis auswirkt: Die Sicherheitsanforderungen der UK DSGVO werden zu durchsetzbaren Vorschriften – Risikobewertung, Zugriffskontrollen, Überwachung und zeitnahe Reaktion –, da Organisationen zur Verantwortung gezogen werden können, wenn Schwachstellen zu einer großflächigen Datenpanne führen. Es geht nicht um die Geldstrafe an sich. Es ist der Anreiz (und der Druck), systemische Lücken zu schließen, die die Daten der Menschen gefährden.
TikToks unsachgemäßer Umgang mit Kinderdaten und die ICO
Was den Datenschutz bedroht hat: Die ICO stellte fest, dass TikTok Daten von Kindern unter 13 Jahren ohne elterliche Zustimmung verarbeitet und nicht genug unternommen hatte, um minderjährige Nutzer zu identifizieren und zu entfernen oder für angemessene Transparenz zu sorgen.
Wie die Regulierung darauf reagierte (und was sie „unterband“): Die britische Datenschutzbehörde ICO verhängte gegen TikTok eine Geldstrafe in Höhe von 12,7 Millionen Pfund (April 2023). Hier wirkt der Datenschutz als gestalterischer Druck: Von den Plattformen wird erwartet, dass sie altersgerechte Schutzmaßnahmen einrichten, unrechtmäßige Datenverarbeitung einschränken und klar kommunizieren, insbesondere wenn Kinder betroffen sind.
Warum dies für Organisationen im Vereinigten Königreich wichtig ist: Es ist eine Erinnerung daran, dass „wir wussten es nicht“ keine Strategie ist. Die Aufsichtsbehörden achten auf angemessene Maßnahmen, Altersüberprüfungen, risikobasierte Kontrollen und Datenschutzhinweise, die für echte Nutzer verständlich sind, insbesondere wenn schutzbedürftige Gruppen betroffen sind.
Auswahl von Datenschutz-Tools
Der einfachste Weg, Datenschutz-Tools zu bewerten, besteht darin, die Ergebnisse zu betrachten, die Sie benötigen. Im Allgemeinen umfasst eine starke Datenschutz- und Sicherheitssoftware Folgendes:
Datenermittlung und -klassifizierung: Sensible Daten identifizieren und Richtlinien konsequent anwenden
Data Loss Prevention (DLP): Erkennen und verhindern, dass vertrauliche Daten über gemeinsame Kanäle verlassen werden
Identitäts- und Zugriffsmanagement (IAM/PAM): Geringste Privilegien durchsetzen und unbefugten Zugriff reduzieren
Verschlüsselung und Schlüsselverwaltung: Daten im Ruhezustand und während der Übertragung schützen
Überwachung und Alarmierung: Riskantes Verhalten und verdächtige Zugriffsmuster erkennen
Cloud- und SaaS-Kontrollen: Risiko von Fehlkonfigurationen und Schatten-IT minimieren
Datenschutz-Compliance mit Trend Vision One™
Stützen Sie die Einhaltung der Datenschutzvorschriften auf nachweisbare Fakten: wo sich sensible Daten befinden, wer darauf zugreifen kann und wie sie über E-Mail, Endgeräte und Cloud-Anwendungen übertragen werden. Trend Vision One™ hilft Ihnen dabei, diese Signale zusammenzuführen, damit Datenschutz- und Sicherheitsteams die wichtigsten Risiken erkennen und reagieren können, bevor sie zu meldepflichtigen Vorfällen werden.
Joe Lee ist Vice President of Product Management bei Trend Micro. Er leitet die globale Entwicklung von Strategien und Produkten für Lösungen zur E-Mail- und Netzwerksicherheit in Unternehmen.
Häufig gestellte Fragen (FAQs)
Was ist Datenschutz?
Es bedeutet, dass Menschen die Kontrolle darüber haben sollten, wie ihre persönlichen Daten gesammelt, verwendet, geteilt und gespeichert werden.
Was sind Datenschutzgesetze und -vorschriften?
Es sind Regeln, die regeln, wie Organisationen personenbezogene Daten verarbeiten, in der Regel erfordern sie Transparenz, Zweckbegrenzungen, Sicherheitsvorkehrungen und Respekt vor individuellen Rechten (z. B. UK GDPR und EU GDPR).
Was ist Datenschutz-Compliance?
Es ist die Fähigkeit, durch Governance, Kontrollen und Nachweise nachzuweisen, dass Sie die geltenden Datenschutzverpflichtungen erfüllen – insbesondere für Datenmapping, Aufbewahrung, Rechtehandhabung und Lieferantenaufsicht.
Was sind die größten Datenschutzbedenken für Unternehmen?
Datenverbreitung, Fehlkonfigurationen, übermäßige Berechtigungen, Drittanbieterexposition und Datenexfiltration sind die häufigsten Treiber von Datenschutzvorfällen.
Was ist Datenschutz in der KI?
Es bedeutet, zu verhindern, dass persönliche oder sensible Daten durch KI-Workflows wie Eingabeaufforderungen, Retrieval-Systeme, Trainingsdaten und Ausgaben offengelegt werden – durch Richtlinien, Zugriffskontrollen, Überwachung und Lieferantenschutzmaßnahmen.
Welche Datenschutzpraktiken kann ich sofort umsetzen?
Beginnen Sie mit der Datenerkennung, der Überprüfung des Zugriffs (minimaler Zugriff), der Aufbewahrungsbereinigung und Kontrollen, die verhindern, dass sensible Daten durch gängige Kanäle wie E-Mail und Cloud-Apps abfließen.