Das regulatorische Klima verändert sich weltweit mit rasanter Geschwindigkeit. Zahlreiche neue Bestimmungen, darunter die Datenschutzgrundverordnung (DSGVO), werden als Reaktion auf die wachsenden Bedenken in Hinblick auf Datenschutz und Missbrauch personenbezogener Daten erlassen. Diese Bedenken werden größtenteils durch die kontinuierlichen Datenverstöße und den Missbrauch des Vertrauens der Verbraucher in Unternehmen geschürt. Beispielhaft dafür steht der Skandal von 2018, bei dem Cambridge Analytica die persönlichen Daten von Millionen Facebook-Nutzern ohne deren Zustimmung für politische Werbezwecke erfasste.
Diese neuen Vorschriften werden die Anforderungen von Organisationen verändern und CIOs und CISOs dazu zwingen, ihre Sicherheits- und Compliance-Strategien zu überdenken.
Die Auswirkungen neuer Vorschriften
Als die DSGVO im Mai 2018 in Kraft trat, wurde deutlich, dass Unternehmen einen Überblick haben müssen, um eine strengere Kontrolle über die Speicherung und den Umgang mit Kundendaten zu haben, als das bislang der Fall war. Auch benötigen sie mehr Einblick in das, was mit diesen Daten geschieht. Die darin enthaltenen Bestimmungen, stellten ähnliche Anforderungen an die rechtmäßige Verarbeitung von Daten und die Rechte der betroffenen Personen, was die Haltung der Unternehmen zu Datenschutz und Compliance weiter veränderte:
- Unternehmen begannen, Datenschutz ernster zu nehmen. Da das Versäumnis, die rechtmäßige Verarbeitung von Daten nachzuweisen, Bußgelder, Rechtsstreitigkeiten und entgangene Geschäftsmöglichkeiten nach sich ziehen kann, beschäftigen sich Unternehmen zunehmend mit der Frage, welche Daten sie tatsächlich speichern und wo sich diese befinden. Sie möchten auch wissen, wie Daten in den Geschäftsprozessen eingesetzt werden und wer auf sie zugreifen darf. Schließlich sind Unternehmen stärker darum bemüht, Datensicherheit zu gewährleisten und den Prüfern nachzuweisen, dass sie über Kontrollen zum Schutz der Informationen der betroffenen Personen verfügen.
- Die Nachfrage nach Sicherheits- und Compliance-Produkten wächst. Aufgrund dringender Vorschriften kaufen und nutzen Unternehmen zunehmend die für die Erfüllung einer Reihe von Compliance-Verpflichtungen und zur Gewährleistung von Datenschutz und Sicherheit erforderlichen Tools. Da laut Bitkom-Studie erst 25 Prozent der befragten Unternehmen ihre IT-Infrastruktur komplett auf die DSGVO ausgerichtet haben, besteht hier noch Nachholbedarf.
- Compliance-Kenntnisse sind gefragt, neue Rollen entstehen. Da die neuen Standards von Unternehmen die konsequente Umsetzung der Compliance-Bemühungen verlangen, müssen sie Fachkräfte einstellen, die die Compliance-Belastung verringern und helfen, die üblichen Fallstricke zu umgehen. Die neuen Standards führen sogar zur Schaffung neuer Arbeitsplätze. Beispielsweise forderte die DSGVO von Unternehmen die Einstellung von Datenschutzbeauftragten (DSB), die für die Überwachung der internen Compliance, die Beratung in Hinblick auf Datenschutzpflichten sowie als Kontaktstelle für betroffene Personen und Aufsichtsbehörden zuständig sind. Viele Organisationen haben diese Anforderung bereits erfüllt: Die Studie der International Association of Privacy Professionals (IAPP) zeigt, dass schätzungsweise 500.000 Unternehmen Datenschutzbeauftragte in ganz Europa registriert haben, was die Prognosen von 2017 bei weitem übersteigt.
Maßnahmen zur Gewährleistung von Sicherheit und Compliance
Während Unternehmen in Bezug auf die Einhaltung der neuen Vorschriften gefordert sind, müssen CIOs und CISOs in diesen Unternehmen Verfahren festlegen, die die rechtmäßige Erfassung und Verarbeitung von Daten gewährleisten und darüber hinaus die Datensicherheit im gesamten Unternehmen verbessern. Hier sind die wichtigsten Praktiken:
Risikomanagement
Risikomanagement ist der fortlaufende Prozess der Erkennung, Bewertung und Reaktion auf Risiken. Durch die Bewertung der Wahrscheinlichkeit, mit der verschiedene Ereignisse eintreten, und der Auswirkungen, die jedes einzelne Ereignis haben würde, können Unternehmen ihre Cybersicherheitsaktivitäten und -investitionen besser priorisieren. Ein Risiko kann alles sein, vom Datendiebstahl durch Mitarbeiter bis hin zu externen Angriffen.
Datenermittlung und -klassifizierung
Unternehmen haben schon immer große Mengen an Informationen produziert, gespeichert und verarbeitet. Moderne Organisationen benötigen jedoch einen tieferen Einblick in ihre Daten, um Sicherheit und Compliance gewährleisten zu können. Dank automatisierter Datenerkennung und -klassifizierung können Unternehmen nachvollziehen, über welche vertraulichen und regulierten Daten sie verfügen und wo sich diese befinden. Unternehmen können auf diese Weise geeignete Kontrollen zum Schutz der wichtigsten Informationen einführen sowie Daten auf Wunsch einer betroffenen Person extrahieren oder löschen.
Datenzugriffs-Überwachung
Mithilfe der Datenzugriffs-Governance erhalten Unternehmen einen Einblick und erfahren, wer Zugriff auf welche Daten hat und wem welche Daten gehören. Auf diese Weise können sie den Datenzugriff streng kontrollieren, das Durchsickern geschäftskritischer Informationen verhindern und sicherstellen, dass alle Zugriffsrechte den geltenden Vorschriften entsprechen.
Darüber hinaus ist es ein hervorragendes Instrument, um Prüfern den Nachweis zu erbringen, dass nur berechtigte Mitarbeiter die Erlaubnis haben, mit vertraulichen Informationen zu arbeiten.
Zustimmungsmanagement
Viele Vorschriften enthalten Anforderungen in Bezug auf die Zustimmung. Beispielsweise verlangt der CCPA, dass Unternehmen die Zustimmung des Kunden einholen, wenn sie ihre Daten verkaufen möchten. Die DSGVO wiederum erlaubt Unternehmen, die Daten von Kunden nur dann zu erheben und zu verarbeiten, wenn diese ihre Zustimmung aktiv bestätigen (zum Beispiel durch Ankreuzen eines offenen Auswahlkästchens).
Unternehmen übertragen die Verantwortung für das Einholen der Zustimmungen sowie die Verwaltung von Aufzeichnungen an Datenschutzbeauftragte (DSB). Deren Ziel ist es, den Prüfern ausreichende Nachweise dafür zu liefern, dass das Unternehmen über die erforderliche Zustimmung verfügt. Im Idealfall arbeiten Unternehmen mit einer Einwilligungscheckliste, die folgende Aktivitäten abfragt: „Überprüfen Sie regelmäßig die Zustimmung, um sicherzustellen, dass sich Verhältnis, Verarbeitung und Zweck nicht geändert haben“, und „Halten Sie fest, wann und wie wir die Zustimmung von den einzelnen Personen erhalten haben.“ Auch die Software zur Verwaltung von Zustimmungen und Einstellungen kann bei der Automatisierung des Prozesses hilfreich sein.
Zusammenarbeit mit Stakeholdern
CIOs müssen den Stakeholdern die Cybersicherheitsanforderungen vermitteln, um sicherzustellen, dass sie die mit der Speicherung, Verarbeitung und Sicherung personenbezogener Daten verbundenen Geschäftsrisiken vollständig verstehen. Das NIST-Cybersecurity-Framework und ähnliche Tools können diese Zusammenarbeit erleichtern und dabei helfen, geschäftliche und technologische Ansätze aufeinander abzustimmen, um ein angemessenes Management der Sicherheits- und Compliance-Risiken zu gewährleisten.
Bewusstsein und Schulung
Unternehmen müssen auch in regelmäßige Cybersicherheitsschulungen investieren, Mitarbeitern, die mit Kundendaten arbeiten, die Bedeutung des Datenschutzes vermitteln und Cybersicherheitsnachwuchs einstellen oder internes Know-how entwickeln.
Durch die Einführung dieser Praktiken können Unternehmen ihre Compliance-Bemühungen effizienter gestalten und das Datenmanagement sowie die Sicherheit insgesamt verbessern. Darüber hinaus ermöglichen ein umfassendes Konzept zum Datenschutz und die Umsetzung der erforderlichen Kontrollen den COIs, besser zu vermitteln, wie Investitionen in die Cybersicherheit zur Optimierung von Geschäftsprozessen und zur Erlangung eines Wettbewerbsvorteils beitragen, indem die Privatsphäre aller Beteiligten respektiert wird.
Von Jürgen Venhorst, Country Manager DACH bei #Netwrix