Graben zwischen Datenschutz und IT-Sicherheit schließen

Image by bhr2al from Pixabay

Gesetze und Regularien zur Erhöhung des Datenschutzes und zur Verbesserung der IT-Sicherheit werden derzeit überall in Kraft gesetzt. Den Anfang machte in Singapur der Personal-Data-Protection-Act (PDPA) 2012, in Europa folgte die DSGVO 2018 und in den USA wird der Bundesstaat Kalifornien den California-Consumer-Protection-Act (CCPA) zum 1. Januar 2020 einführen. Es tut sich also etwas in Sachen Datenschutz und zwar weltweit. Die in Kraft getretenen Datenschutzgesetze sollen nicht nur den Datenschutz des Einzelnen schützen, sondern auch die Sicherheit personenbezogener Daten gewährleisten.

Die Umsetzung dieser Vorschriften ist absolut sinnvoll, insbesondere aufgrund der Vielzahl von Cyberangriffen, mit denen Unternehmen und Regierungen täglich konfrontiert werden. Allein Anfang des Jahres wurden laut den Angaben des Hasso-Plattner-Instituts 2,2 Milliarden E-Mail-Adressen kompromittiert, also kopiert und veröffentlicht oder im Darknet zum Verkauf angeboten.

In vielen Unternehmen wurden und werden Datenschutz und Sicherheit größtenteils als zwei sehr unterschiedliche Konzepte behandelt. Die Grenzen zwischen Datenschutz und Sicherheit verschwimmen jedoch zusehends, auch wenn beide Bereiche relativ gut voneinander getrennt werden können, müssen sie doch Hand in Hand gehen. Bei der IT-Sicherheit geht es um die Implementierung der entsprechenden technischen Kontrollen wie eine Multi-Faktor-Authentifizierung, starke Verschlüsselung und Protokollierung, um die Daten zu schützen. Beim Datenschutz muss festgelegt werden, wie personenbezogene Daten verarbeitet, gespeichert, abgerufen, vertraulich behandelt und letztendlich wie und von wem die Daten verwendet werden.

 

Zusammenarbeit zwischen Datenschutz und IT-Sicherheit fördern

Unternehmen sollten die Zusammenarbeit fördern oder vielleicht sogar die Datenschutz- und IT-Sicherheitsabteilungen zusammenzulegen, um sicherzustellen, dass personenbezogene Daten angemessen geschützt werden. Letztlich müssen beide Abteilungen sich darüber einig sein, wie diese Daten verwendet und geschützt werden. Die Datenschutzgrundverordnung sieht vor, dass sowohl technische als auch organisatorische Maßnahmen ergriffen werden müssen, um die Anforderungen an den Schutz von personenbezogenen Daten zu entsprechen. Daraus lässt sich ableiten, dass die technischen Maßnahmen auch Lösungen zur Erhöhung der IT-Sicherheit meinen. Sollte dies nicht umgesetzt werden, drohen Strafen, allerdings nicht nur monetärer Natur, sondern auch die Herausgabe der Daten auf Verlangen der Betroffenen ist eine Option (Auskunftsrecht), der sich die Unternehmen bewusst sein sollten.

In vielen Unternehmen gibt es eine Art Graben zwischen Datenschutz und IT-Sicherheit, hier handelt es sich um eine veraltete Denkweise. Solche Unternehmen sollten Maßnahmen ergreifen, um den Datenschutz neu zu positionieren und ein harmonisiertes Verhältnis zur IT-Sicherheit herzustellen. Das ist keine leichte Aufgabe, vor allem für Unternehmen mit Sitz in den USA. Datenschutz wird hier als bloße Voraussetzung für den Health-Information-Portability- and Accountability-Act (HIPAA) behandelt. IT-Sicherheit und Datenschutz müssen jedoch eng zusammenarbeiten, um sicherzustellen, dass das Unternehmen die Gesetze einhält und das Vertrauen der Verbraucher rechtfertigt. Datenschutz obliegt nicht nur dem Datenschutzbeauftragten (DSB) oder dem Chief Information Security Officer (CISO), sondern jedem Mitarbeiter im Unternehmen. Unternehmen sollten sich dieses Problems schnell bewusst werden und verstehen, dass alle Bereiche Datenschutzverpflichtungen unterliegen, wenn sie mit personenbezogenen Daten zu tun haben.

 

Verantwortlichkeiten Abteilungsübergreifend klären

Die Personalabteilung ist verantwortlich für die Schulung der Mitarbeiter und die Sicherstellung der Einhaltung der Datenschutzrichtlinien. Der Bereich F&E muss Privacy by Design (PbD) implementieren und sicherstellen, dass der Datenschutz der Nutzer der zu entwickelnden Produkte und Services gewährleistet ist. In der Softwareentwicklung sollten Richtlinien für sichere Kodierungsverfahren eingehalten werden. Sie müssen auch Wege für die Anforderung von Zugriffsanfragen für Betroffene finden und entsprechend einbauen. Das Marketing wiederum ist dafür verantwortlich, dass die Webseiten DSGVO-konform sind und sammelt Daten in Übereinstimmung mit der Datenschutzerklärung. Die Rechtsabteilung berücksichtigt die Datenverarbeitungstätigkeiten des Unternehmens, erstellt Verträge, Bedingungen und andere rechtliche Elemente, die den Datenschutz und die IT-Sicherheit gewährleisten.

Die IT-Sicherheitsabteilung sorgt für die Absicherung der eigenen Produkte und Unternehmensumgebung, verwaltet das Risiko von Drittanbietern und stellt sicher, dass die internen Prozesse sicher sind. Die Datenschutzabteilung arbeitet mit allen Abteilungen zusammen, führt Audits durch, erstellt interne Richtlinien, stellt sicher, dass das Unternehmen das Gesetz und seine Richtlinien einhält.

 

Fazit

Lecio de Paula Jr., Director of Data Privacy, KnowBe4

Dies ist keine vollständige Liste, stellt aber eine Grundlage dafür da, welche Prozesse überprüft werden müssen, um den Schutz der Daten zu gewährleisten. Die meisten Abteilungen in einem Unternehmen berühren personenbezogene Daten an irgendeinem Punkt, und es ist wichtig, dass diese Mitarbeiter eine effektive Schulung im Umgang mit personenbezogenen Daten erhalten. Mitarbeiter müssen sich ihrer Datenschutzverpflichtungen bewusst werden, da es sich um eine unternehmensweite Maßnahme handelt. Die Schaffung einer datenschutzbewussten Belegschaft bedeutet die Schaffung einer sicherheitsbewussten Belegschaft. Wenn Unternehmen ihre Mitarbeiter angemessen schulen, verringern sie das Datenschutz- und gleichzeitig auch das IT-Sicherheitsrisiko.

Von Lecio de Paula Jr., Director of Data Privacy, KnowBe4  

 

#Netzpalaver #KnowBe4