31. Juli 2008 - Unternehmensweiter Erfolg für Datenschutz-Strukturen

Compliance und Risikomanagement

Nicht nur große Unternehmen, internationale Konzerne und börsennotierte Aktiengesellschaften – auch die Geschäftsführer und Vorstände kleiner und mittlerer Gesellschaften suchen nach einem sicheren, wirtschaftlichen Weg, die gesetzlichen Vorschriften, die Anforderungen der Banken und die Wünsche der Gesellschafter zu erfüllen. Doch dank des Datenschutzbeauftragten finden sich in vielen Häusern bereits Strukturen, die sich erfolgreich auf andere Bereiche anwenden lassen. Lesen Sie hier, wie Sie der Datenschutz auf dem Weg zu Compliance und Risikomanagement unterstützen kann.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Claus E., Geschäftsführer eines mittelständischen Industrieunternehmens, verließ kopfschüttelnd das Bankgebäude. Trotz guter Zahlen und obwohl es in der Vergangenheit keine Unregelmäßigkeiten gegeben hatte, wollte die Bank die bestehenden Kreditlinien nicht verlängern.

Der Grund: Ihr fehlte ein schlüssiges Sicherheitskonzept, mit dem die Risiken des Unternehmens bewältigt werden konnten.

Die rechtlichen Anforderungen an die Managementebene steigen

Gesetzliche Vorschriften werden verschärft oder kommen neu hinzu, z.B.:

  • Bundesdatenschutzgesetz
  • Basel II
  • Sarbanes Oxley

Zudem verlangen externe Geldgeber zusätzliche Sicherheitsstrukturen, und die Gesellschafter nehmen persönlichen Regress, wenn das Management Risiken nicht erkannt hat.

Das Risikomanagement muss sich v.a. mit der Datensicherheit beschäftigen

Ein wichtiger Teil des Risikomanagements betrifft die Daten des Unternehmens, die unbestritten einen großen Wert darstellen. Sie gilt es vor Missbrauch und Diebstahl zu schützen.

Die personenbezogenen Daten müssen bereits entsprechend den gesetzlichen Vorschriften verarbeitet werden. Gleiches gilt für andere Informationen, deren Verarbeitung und Speicherung ebenso klar definierten gesetzlichen Vorschriften unterliegen.

Weniger exakt definiert sind die Anforderungen, die sowohl interne als auch externe Geldgeber stellen.

Lösung 1: Unterschiedliche Schutzniveaus für unterschiedliche Datenarten

Um Kosten für die Sicherheitsmaßnahmen zu sparen, werden unterschiedliche Sicherheitsniveaus geschaffen. Verschlüsselung von Daten, Protokollierung von Zugriffen und systematische Überwachung der Bestände erfolgen in unterschiedlichen Graden, je nach der sicherheitsrelevanten Einschätzung.

Daten mit gesetzlichen Vorschriften unterliegen höchsten Sicherheitsansprüchen, Daten ohne gesetzliche Erwähnung, aber mit Wert für das Unternehmen werden im mittleren Sicherheitsniveau behandelt, andere Daten gar nicht geschützt.

Die Lösung 1 spart auf den ersten Blick eine Menge Kosten

Dadurch, dass nicht alle Daten ein gleich hohes Schutzniveau erhalten, halten sich die Kosten für Verschlüsselungslizenzen in Grenzen. Zudem ist weniger Speicherplatz notwendig, und man muss weniger Zeit in umfangreiche Protokolle und deren Kontrolle investieren.

Viele Teilbereiche der Compliance-Anforderungen und des Risikomanagements ließen sich also mit geringen Kosten erledigen.

Sie hat aber zahlreiche organisatorische Nachteile, die letztlich teuer zu stehen kommen

Auf den zweiten Blick werden aber erhebliche Nachteile erkennbar:

  • Unterschiedliche Sicherheitsniveaus im Unternehmen stellen hohe Ansprüche an die Berechtigungssysteme. Für jedes Sicherheitsniveau müssen eigene Berechtigungen definiert und verwaltet werden.
  • Bei der Schaffung neuer Datenbestände muss entschieden werden, welchem Sicherheitsniveau diese zugeordnet werden sollen. Wie werden Zwischendateien mit gemischten Inhalten behandelt? Wie werden Ergebnisse aus der Verarbeitung unterschiedlicher Niveaus bewertet? Hier sind schnelle Entscheidungen notwendig.
  • Es entstehen unterschiedliche Abläufe für gleiche Aufgaben. Der Inhalt der Daten bestimmt die Art der Auftragserledigung. Damit entsteht zusätzlicher Aufwand, verbunden mit neuen Kosten.
  • Es besteht immer ein Risiko, dass ein Datum der falschen Sicherheitsstufe zugeordnet wird. Ist diese Stufe zu niedrig, fehlt der notwendige Schutz. Die notwendige Sicherheit für das verantwortliche Management ist nicht gewährleistet.

Die Fehleranfälligkeit nimmt zu

Die Erfüllung der Anforderungen von Gesetzgeber, Banken und Gesellschaftern durch unterschiedliche Sicherheitsniveaus verursacht komplexe Abläufe und zusätzliche Entscheidungen während der Datenverarbeitung.

Dadurch steigen nicht nur die internen Kosten für die Erledigung der Arbeiten. Auch die Wahrscheinlichkeit von Fehlern nimmt zu.

Lösung 2: Man überträgt die Datenschutzstrukturen auf den Schutz aller Unternehmensdaten

Dabei gibt es in vielen Unternehmen bereits Strukturen, die einen vollständigen Schutz von Daten in IT-Systemen gewährleisten können: die Maßnahmen zum Datenschutz.

Sie bieten den Verantwortlichen alles, um Missbrauch und Diebstahl zu verhindern, zugegebenermaßen auf einem sehr hohen Niveau:

  • Der Datenschutz bietet seit langem bewährte Schutzmechanismen sowohl in den IT-Systemen als auch in der Organisation.
  • Die Anwendung dieser Mechanismen ist ausreichend, um einen umfänglichen Schutz von Daten zu gewährleisten. Dies haben viele Gerichte bestätigt. Die Urteile betreffen zwar personenbezogene Daten. Sie lassen sich aber auch auf andere Datenbestände übertragen.
  • Im Datenschutz gibt es erfolgreiche Kontrollverfahren. Vom Berechtigungssystem für den Zugriff über Protokolle und Transferberichte bis hin zum Datenschutzbeauftragten sind die Strukturen vielfach getestet.
  • Alle notwendigen Programme, Ergänzungen und technischen Einrichtungen sind im Unternehmen bereits vorhanden, wenn es personenbezogene Daten zu schützen hat. Vor allem ist bekannt, wie mit diesen Informationen umzugehen ist.

Praxisbeispiel: Keine Verarbeitung ohne Erlaubnis

Auch Datenschutzanforderungen, die auf den ersten Blick nicht recht zur Compliance zu passen scheinen, lassen sich meist uminterpretieren.

So ist z.B. der Grundsatz „Keine Verarbeitung personenbezogener Daten ohne Erlaubnis“ durchaus auf die gesamte Datenverarbeitung übertragbar: Der Grundsatz sollte sein, dass jeder Stammdatensatz von einer autorisierten Person genehmigt werden muss. Dadurch wird der Bestand an Daten kontrolliert entwickelt.

Praxisbeispiel: Datenschutzvorschriften auf den Versand von Daten an externe Stellen anwenden

Ein anderes Beispiel für die Anwendung von Datenschutzvorschriften im gesamten Unternehmen ist der Versand von Daten an externe Stellen.

Auch für Produktdaten oder Stücklisten sollte klar sein, wer diese erhält und mit welchem Mechanismus der Empfänger den Schutz und die Sicherheit gewährleistet. Überlegungen zur Zulässigkeit jedes Empfängers sind also nicht nur auf personenbezogene Daten beschränkt.

Gleich hoher Schutz für alle Unternehmensdaten – ein wichtiger Schritt in Richtung Compliance

Es gibt also keine Hindernisse für den unterschiedsfreien Schutz von personenbezogenen und allen anderen Daten. Die Sicherheit der gesamten IT-Struktur wird wesentlich verbessert.

Ein großer Schritt zu Compliance und Risikomanagement, bei dem der Datenschutz helfen kann!

Reinhard Bleiber

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln