3. September 2018

Der Compliance-Vierklang

Spätestens mit der EU-Datenschutz-Grundverordnung (DSGVO) darf Compliance keine Pflichtübung mehr sein – da sie unternehmenskritisch ist. Wie nähert sich die Unternehmensführung einem Compliance- und Datenschutzprojekt, um es zum Erfolg zu bringen? Am besten über einen Vierklang. Der aber nicht nur einmal ertönen darf, sondern als Zyklus zu verstehen ist.

Compliance bedeutet Arbeitsteilung zoom Compliance ist eine kleinteilige Aufgabe

Chefsache ist, was unternehmenskritisch ist. Ergo ist Compliance Chefsache. Denn Datenpannen oder nach erfolgreichen Angriffen stillstehende IT-Systeme gefährden im Zeitalter der Digitalisierung schnell den Unternehmenserfolg. Dazu kommt, dass nur die Unternehmensführung einem Compliance-Projekt nachhaltigen Erfolg bescheren kann: Ein solches Projekt gehört niemals nur in die Hände einer Abteilung wie IT, Recht/Compliance oder Datenschutz. Vielmehr müssen diese Fachleute abteilungsübergreifend zusammenarbeiten, da sie alle zur Lösung beitragen.

Wie aber nähert sich eine Organisation dem so komplexen Thema Datenschutz-Compliance am besten? Indem sie es in vier Teilbereiche gliedert, die ineinandergreifen. Das heißt, Teil 2 setzt auf den Ergebnissen von Teil 1 auf und so weiter. Wichtig zu verinnerlichen: Es ist nicht damit getan, den Vierklang einmal ertönen zu lassen. Stattdessen muss er als Zyklus begriffen werden, der immer dann von neuem erklingt, wenn sich an den Risiken im Unternehmen etwas geändert hat. Wenn also beispielsweise neue Datensammlungen mit persönlichen (Kunden)Daten nötig werden. Oder neue interne IT-Systeme vom Internet aus zugänglich gemacht werden sollen – das Internet der Dinge grüßt freundlich an dieser Stelle.

Die erwähnten vier Schritte lassen sich so umschreiben:

  • Ermitteln
  • Kontrollieren
  • Schützen
  • Berichten

Mit „Ermitteln“ ist das Erfassen der kritischen Datenbestände (personenbezogene Daten, Forschung & Entwicklung, Finanzen und so weiter) im Unternehmen gemeint beziehungsweise das Einteilen der Bestände in „schützenswert“ und „aus Datenschutzsicht weniger relevant“. Neben Einträgen in Kundendatenbanken, Office-Dokumenten (Text, Tabellen, Präsentationen und so weiter) oder E-Mail-Inhalten sollten auch Fotos, Aufnahmen von Überwachungskameras oder HR-Datenbanken inspiziert werden. Hierzu müssen IT-Spezialisten zwingend mit den diversen Fachabteilungen zusammenarbeiten, um alle Datenbestände zu finden.

Schritt 1 sollte ins Erstellen eines Data-Governance-Plans münden, um die Daten „Kontrollieren“ zu können. Meint: Es muss festgeschrieben werden, wer wann auf welche Daten zu welchem Zweck zugreifen darf – und was passiert, wenn Datensätze gelöscht werden müssen. Beispielsweise, weil sich ein Kunde auf das in der DSGVO verankerte Recht auf Löschung beruft.

Was es in Schritt 3 zu „Schützen“ gilt, legt Schritt 1 fest. Wie der Schutz im Einzelfall aussieht, ergibt sich am besten aus einer Gap-Analyse. Mehr hierzu in unserem Blog-Beitrag. Typischerweise kümmern sich gängige Mechanismen um den Schutz der Daten: Passwortregeln, das Verschlüsseln ruhender und übertragener Daten, rasches Installieren von Sicherheits-Updates oder das ständige Auswerten von Log-Dateien.

Um eventuelle Datenpannen „Berichten“ zu können, müssen nicht nur die kritischen Daten bekannt sein. Es muss auch Mechanismen geben, die Aktionen – Erzeugen, Zugriff, Weitergabe, Löschung –rund um die zu schützenden Daten aufzeichnen. Denn im Fall des Falls müssen die betroffenen Kunden benachrichtigt werden beziehungsweise muss klar sein, welche kritischen Daten sich jetzt in unberechtigten fremden Händen befinden. Je detaillierter das interne Meldewesen, desto besser lassen sich Vorfälle künftig verhindern – weil eventuell unbekannte Speicherorte (Schritt 1) oder Schwachstellen (Schritte 2 und 3) erkennbar wurden. So schließt sich der Kreis.

Nur wenn aus diesen vier Schritten auch Aktionen folgen, wird das Projekt ein Erfolg. Das Abhaken von Checklisten oder das reine Dokumentieren helfen weder im Fall einer Datenpanne, Strafen zu vermeiden, noch tragen sie überhaupt etwas zum Schutzniveau bei.


Foto: pexels.com