Datenschutz und Compliance Herausforderungen
Kurze Umfrage: Wer ist für Datenschutz und Informationssicherheitin einer Organisation verantwortlich? Ist es a) die IT-Abteilung, b) die Rechts-oder Compliance-Abteilung, c) die Datenschutzbeauftragte, d) die Informationssicherheitsbeauftragteoder e) alle der zuvor genannten?
Herzlichen Glückwunsch, bei Auswahl der Option „alle derzuvor genannten“ geht das Licht an und Willkommen in der komplexen Welt vonDatenschutz und Informationssicherheit! Die Compliance einer Organisation odereines Unternehmens ist ein komplexes Thema und läuft quer durch alleFunktionsbereiche und Leistungsprozesse einer Organisation. Der Flickenteppichaus Vorschriften in verschiedenen Ländern, Regionen, Staaten, ergänzt durch Industrie-und Branchenspezifische Anforderungen – nicht selten mit Widersprüchen zwischeneinzelnen Teilbereichen oder Regionen – verschärft die Komplexität weiter undmacht die Erfüllung der Anforderungen zu einem „moving target“.
Die entscheidende Herausforderung für Unternehmen ist nicht,wie viele Datenschutzbestimmungen es gibt. Stattdessen geht es darum, mehr Klarheit darüber zu bekommen, was dieVorschriften tatsächlich verlangen und welche überhaupt anwendbar sind.
Die Datenschutzgrundverordnung (DSGVO) ist nur der Anfang
Aus deutscher oder europäischer Sicht sticht vor allem dieDatenschutzgrundverordnung (DSGVO) als gesetzliche Anforderung hervor. Aberdiese ist nur der Anfang. Die DSGVO hat das bereits vorher bestehende Bundesdatenschutzgesetz(BSDG) ergänzt, was in diesem Zuge aktualisiert und angepasst wurde, aber eshat das BDSG nicht ersetzt. Hinzu kommt, dass die DSGVO zwar EU-weit Gültigkeithat und Anwendung findet, die einzelnen Aufsichtsbehörden in den Mitgliedstaatendie Verordnung aber durchaus unterschiedlich interpretieren. Die irischenAufsichtsbehörde hat durchaus ein Interesse daran, die Regelungen möglichstgünstig für Unternehmen auszulegen, sitzen die großen US-Technologiekonzerne wieMeta (Facebook, Instagram, Whatsapp) oder Microsoft doch mit ihrenEU-Hauptniederlassungen in Dublin, während die deutschen Aufsichtsbehörden dieRegelungen traditionell sehr strikt auslegen (Fun Fact: In Deutschland gibt es17 dieser Aufsichtsbehörden, 16 auf föderaler Ebene und eine auf Bundesebene.Die einheitliche Auslegung ist nicht einmal zwischen Schleswig-Holstein undBayern sicher.)
Bei internationaler Geschäftstätigkeit kommen allein im Bereichdes Datenschutzes diverse weitere Regelungen hinzu. Am bekanntesten istvermutlich der California Consumer Privacy Act (CCPA), dessen Vorbild in Teilendie DSGVO war und gerade durch eine neue Verordnung (California Privacy RightsAct, CPRA) ergänzt wird. In über 30 weiteren US-Bundesstaaten entstehen aktuellähnliche Vorschriften, in New York, Connecticut, Utah, Virginia, Colorado undIllinois sind sie bereits rechtskräftig. Auch Australien, Japan, China und diverseandere Staaten regulieren zum Beispiel die Rechte ihrer Bürger:innen und Unternehmen,zum Beispiel hinsichtlich der Frage, wo und durch wen Daten verarbeitet werdendürfen.
Bei all diesen Regelungen können wir sicher sein – die Auslegungund Anwendung der einzelnen Vorschriften wird ähnlichen Diskussionen undInterpretationen unterliegen, wie wir sie von der DSGVO kennen.
Neue Rechtsvorschriften in Deutschland und der EU
Die NIS 2 (Network and Information Systems Directive 2)steht in den Startlöchern und zielt darauf ab, die Netzwerk- undInformationssicherheit in Europa zu verbessern. Sie stellt Anforderungen anOrganisationen, die als kritische Infrastrukturen gelten, wobei der Begriff „kritischeInfrastruktur“ gegenüber der aktuellen KRITIS-Definition wohl deutlicherweitert werden soll. Die Richtlinie verlangt von Unternehmen eine umfassendeSicherung und Schutz ihrer IT-Systeme sowie schnelle und effektive Reaktionenim Falle von Cyberangriffen. Ergänzt werden sollen die Vorschriften der NIS 2 durchVorgaben des Cyber Resiliance Act, der weniger explizit auf Netzwerk- undSystemsicherheit abzielt, sondern auf Resilienz vor Cyber-Angriffen generell.
Wie Unternehmen die Herausforderungen derCompliance-Komplexität bewältigen
JedeOrganisation muss ihre Situation bewerten und mit Rechts- und Risikoexpertenzusammenarbeiten, um Vorschriften zu interpretieren. Zu wissen, welche Datenschutzgesetzeaufgrund von Region, Branche und Art das Unternehmens betreffen, ist vonentscheidender Bedeutung. Außerdem müssen Verantwortliche im Unternehmenverstehen, wie sich "weitergegebene" Vorschriften der Lieferketteauswirken. Dies sind Vorschriften, die das Unternehmen erfüllen muss, nichtweil es direkt betroffen ist, sondern weil es von den Kunden verlangt wird, dieTechnologie, Produkte und Prozesse des Anbieters integrieren. Tatsächlich spiegelndiese "weitergegebenen" Vorschriften von Partnern für vieleUnternehmen eine höhere Belastung wider als Anforderungen direkt von Regulierungsbehörden.
Wissen, welche Daten wo gespeichert werden
Der nächste grundlegendeSchritt bei der Compliance besteht darin zu verstehen, welche Art von Daten existierenund wo sie sich befinden. Unbekannte und nicht dokumentierte Daten können unmöglichadäquat gesichert und Compliance nicht eingehalten werden. Ohne Überblick, wosich alle Datenspeicher befinden, wie Personen darauf zugreifen, wer daraufzugreift und ob Daten auch durch Dritte verarbeitet werden, sind konformeProzesse ein Kampf gegen Don-Quichotes Windmühlen. Erschwert wird das Problemdurch Cloud-Lösungen (insbesondere kostenfreier Angebote), da die Daten nichtmehr direkt im Unternehmen liegen. Best Practice sind der Einsatz von Lösungen,die strukturierte und unstrukturierte Daten lokal und in der Cloud erkennen undklassifizieren können. Dies ermöglicht den Verantwortlichen, sich auf dieLösung des Problems zu konzentrieren, anstatt es zu identifizieren.
Die richtigen Daten speichern, Datensparsamkeit und Privacy-by-Design
Je nachCompliance-Anforderungen und der Branche müssen unterschiedliche Datengespeichert werden. Häufig gehören dazu auch Protokolle, Meta-Daten undNachweise; viele andere Daten können und sollten hingegen regelmäßig im Rahmeneines Löschkonzeptes am Ende deren Lebenszyklus vernichtet werden, um Missbrauchwie nicht autorisierten Zugriff zu verhindern. Es lohnt sich in entsprechendeSystem zu investieren, die Anwender:innen und Entscheider:innen mit entsprechendenWorkflows unterstützt und im Hintergrund ohne User-Interaktion entsprechendeNachweise erstellt und vorhält.
Das Rad nicht neu erfinden
Trotz aller Komplexitätund bei aller Individualität der konkreten Anforderungen zu berücksichtigtenGesetzen, Normen, Richtlinien sowie vertraglichen Anforderungen: mit einem sauberenund klar definierten Prozess können Anforderungen gut ermittelt, abgebildet undumgesetzt werden. Dazu bedarf es selten völlig individueller Lösungen; meistkann mit recht überschaubaren Aufwand Licht ins Dickicht gebracht und konformeSysteme konfiguriert werden.
Möchtest Dumehr zu Datensicherheit und Datenschutz-Compliance erfahren? Sprich uns gernean, dein Complimate unterstützt auch dich auf dem Weg zur Compliance.