cloak.business

Compliance-Vergleichsmatrix

Vergleichen Sie die Datenschutzanforderungen von GDPR, CCPA, HIPAA und ISO 27001 nebeneinander – und sehen Sie, wie cloak.business auf jeden einzelnen eingeht.

Organisationen, die personenbezogene Daten verarbeiten, müssen mehrere überlappende Vorschriften navigieren. Diese Matrix vergleicht die vier relevantesten Rahmenbedingungen zum Schutz von PII und zeigt, wie cloak.business auf jeden einzelnen eingeht.

Rahmenvergleich

GDPR

Allgemeine Datenschutzverordnung

Scope: Alle personenbezogenen Daten von EU/EEA-Bewohnern, unabhängig davon, wo sich die verarbeitende Organisation befindet.
Jurisdiction: Europäische Union / Europäischer Wirtschaftsraum
Data Types: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – Namen, E-Mails, IP-Adressen, Standortdaten, biometrische Daten und mehr.
Penalties: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Key Requirements:
  • Rechtmäßige Grundlage für die Verarbeitung (Einwilligung, Vertrag, berechtigtes Interesse)
  • Datenschutz-Folgenabschätzungen (DPIAs)
  • Recht auf Löschung und Datenübertragbarkeit
  • Datenschutzbeauftragter (DPO) für bestimmte Organisationen
  • 72-Stunden-Benachrichtigung bei Datenschutzverletzungen
  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
How cloak.business helps:Automatisierte PII-Erkennung in über 70 Ländern, reversible Verschlüsselung zur Datenminimierung und Pseudonymisierung, Protokollierung von Audits und deutsche Datenresidenz (EU-Rechtsraum).

CCPA/CPRA

California Consumer Privacy Act / California Privacy Rights Act

Scope: Personenbezogene Informationen von kalifornischen Bewohnern, die von Unternehmen erfasst werden, die Umsatz- oder Datenvolumenschwellen überschreiten.
Jurisdiction: Kalifornien, Vereinigte Staaten
Data Types: Informationen, die einen kalifornischen Verbraucher oder Haushalt identifizieren, sich darauf beziehen oder damit verknüpft werden könnten – Namen, Sozialversicherungsnummern, Geolokalisierung, Browserverlauf, biometrische Daten.
Penalties: Bis zu 7.500 USD pro vorsätzlichem Verstoß; 2.500 USD pro unbeabsichtigtem Verstoß. Privates Klagerecht bei Datenschutzverletzungen (100–750 USD pro Verbraucher und Vorfall).
Key Requirements:
  • Recht zu erfahren, welche Daten erfasst werden
  • Recht, personenbezogene Informationen zu löschen
  • Recht, dem Verkauf von Daten zu widersprechen
  • Angemessene Sicherheitsmaßnahmen
  • Aktualisierte Datenschutzerklärungen
  • Datenminimierung (Zusatz CPRA)
How cloak.business helps:Erkennung und Klassifizierung von US-spezifischen PII (SSN, Führerscheine, staatliche Ausweise), Anonymisierung vor der Weitergabe und Aufrechterhaltung von Protokollen für Verbraucheranfragen.

HIPAA

Health Insurance Portability and Accountability Act

Scope: Geschützte Gesundheitsinformationen (PHI), die von gedeckten Einrichtungen und ihren Geschäftspartnern gehalten werden.
Jurisdiction: Vereinigte Staaten (bundesstaatlich)
Data Types: 18 HIPAA-Identifikatoren, einschließlich Namen, Daten, Telefonnummern, E-Mail-Adressen, Sozialversicherungsnummern, medizinischen Aktennummern, Gesundheitsplan-IDs und biometrischen Identifikatoren.
Penalties: Stufe 1: 100–50.000 USD pro Verstoß. Stufe 2: 1.000–50.000 USD. Stufe 3: 10.000–50.000 USD. Stufe 4 (vorsätzliche Vernachlässigung): 50.000+ USD pro Verstoß, bis zu 1,5 Millionen USD pro Jahr und Kategorie.
Key Requirements:
  • Verwaltungs-, physische und technische Sicherheitsvorkehrungen
  • Verschlüsselung von PHI (adressierbare Spezifikation)
  • Zugriffskontrollen und Audit-Protokolle
  • Geschäftspartnervereinbarungen (BAAs)
  • Benachrichtigung über Datenschutzverletzungen innerhalb von 60 Tagen
  • Mindestnotwendigkeitsstandard für die Datennutzung
How cloak.business helps:Erkennung der Mehrheit der 18 Safe Harbor-Identifikatoren von HIPAA (SSNs, Namen, Daten, Telefonnummern, E-Mails, medizinische Aktennummern, IPs, URLs), Verschlüsselung mit AES-256-GCM und Bereitstellung von Audit-Protokollen.

ISO 27001

ISO/IEC 27001:2022 Informationssicherheitsmanagement

Scope: Das Informationssicherheitsmanagementsystem (ISMS) jeder Organisation, einschließlich Menschen, Prozesse und Technologie.
Jurisdiction: International (freiwillige Zertifizierung)
Data Types: Alle Informationswerte – nicht beschränkt auf personenbezogene Daten. Umfasst geistiges Eigentum, Finanzdaten, Mitarbeiterakten und alle sensiblen Unternehmensinformationen.
Penalties: Keine direkten regulatorischen Strafen. Verlust der Zertifizierung, vertragliche Konsequenzen und reputationsschädigende Auswirkungen. Viele Unternehmensverträge erfordern ISO 27001.
Key Requirements:
  • Ein ISMS einrichten und aufrechterhalten
  • Risikobewertung und -behandlungsverfahren
  • 93 Kontrollen über 4 Themen (Anhang A)
  • Interne Audits und Managementbewertungen
  • Prozess zur kontinuierlichen Verbesserung
  • Anwendbarkeitsnachweis (SoA)
How cloak.business helps:cloak.business läuft auf der ISO 27001:2022-zertifizierten Infrastruktur von Hetzner in Deutschland. Wir orientieren uns an den Kontrollen des Anhangs A, einschließlich Verschlüsselung (A.8.24), Zugriffskontrolle (A.5.15) und Vorfallmanagement (A.5.24–A.5.28).

Schneller Vergleich

AspektGDPRCCPA/CPRAHIPAAISO 27001
TypVerordnung (Gesetz)Staatliches GesetzBundesgesetzFreiwilliger Standard
Geografischer GeltungsbereichEU/EEA + globale ReichweiteKalifornienVereinigte StaatenInternational
Gilt fürJede Organisation, die EU-Daten verarbeitetUnternehmen über den SchwellenwertenGedeckte Einrichtungen + BAsJede Organisation (freiwillig)
Verschlüsselung erforderlich?Empfohlen (nicht vorgeschrieben)Angemessene SicherheitAdressierbar (stark empfohlen)Risikobasiert (A.8.24)
Benachrichtigung bei Verletzung72 StundenOhne unangemessene Verzögerung60 TageGemäß dem Vorfallreaktionsplan
Recht auf LöschungJa (Recht auf Löschung)Ja (Recht auf Löschung)Begrenzt (Änderungsrechte)Gemäß ISMS-Richtlinie

Häufig gestellte Fragen

Kann cloak.business gleichzeitig bei der Einhaltung von GDPR und CCPA helfen?

Ja. cloak.business erkennt PII in über 70 Ländern, einschließlich aller EU-Mitgliedstaaten und US-spezifischer Identifikatoren wie SSNs und kalifornischen Führerscheinen. Die gleiche Anonymisierungs-Pipeline funktioniert für beide Rahmen – erkennen, klassifizieren, anonymisieren und alle Vorgänge für Audits protokollieren.

Unterstützt cloak.business die De-Identifizierung gemäß HIPAA?

Ja. cloak.business erkennt die Mehrheit der 18 Safe Harbor-Identifikatoren von HIPAA mit seinen 317 Mustererkennungsalgorithmen – einschließlich SSNs, Namen, Daten, Telefonnummern, E-Mails, medizinischen Aktennummern, IP-Adressen und URLs. Sie können Daten gemäß der Safe Harbor-Methode de-identifizieren. Alle Vorgänge sind mit AES-256-GCM verschlüsselt.

Wie hängt die ISO 27001-Zertifizierung mit der Einhaltung von GDPR zusammen?

ISO 27001 bietet den Sicherheitsmanagementrahmen, der die technischen Anforderungen von GDPR unterstützt. Während GDPR eine gesetzliche Anforderung ist und ISO 27001 ein freiwilliger Standard ist, zeigt die Implementierung der ISO 27001-Kontrollen (insbesondere Zugriffskontrolle, Verschlüsselung und Vorfallmanagement) die 'angemessenen technischen Maßnahmen', die Artikel 32 von GDPR verlangt.

Welchen Compliance-Rahmen sollte meine Organisation priorisieren?

Das hängt von Ihren Daten und Ihrem geografischen Standort ab. Wenn Sie personenbezogene Daten von EU-Bewohnern verarbeiten, ist GDPR verpflichtend. Wenn Sie Daten von kalifornischen Verbrauchern verarbeiten, gilt CCPA. Wenn Sie Gesundheitsdaten in den USA verarbeiten, ist HIPAA erforderlich. ISO 27001 ist freiwillig, wird aber für Unternehmensverträge weithin erwartet. Die meisten Organisationen, die mehreren Rahmen unterliegen, profitieren von einem einheitlichen Ansatz – cloak.business bietet eine Plattform, die alle vier abdeckt.

Erfüllen Sie jede Compliance-Anforderung

Beginnen Sie innerhalb von Minuten mit der Erkennung und Anonymisierung von PII über alle regulatorischen Rahmenbedingungen hinweg.