Datenschutz im Einklang mit Gesetzen UND Prozessen
(veröffentlicht am 25.03.2010 in der Ausgabe 04/2010 vom "Storage-Magazin.de" auf Speicherguide.de)
Was haben eine Betriebskrankenkasse, ein Finanzdienstleister, eine Hotelkette und die Investmenttochter einer Bank gemeinsam? Sie kommen erneut wegen ihres mangelhaften Sicherheitsbewusstseins in der Zeitung vor. Erhebliche Umsatzeinbußen durch Reputationsverlust inklusive.
Verstöße gegen Datenschutz und Sorgfaltspflicht wurden oft als »Kavaliersdelikt« bzw. Kostenverursacher angesehen, angeblich »passiert ja nichts«. Dies hat sich seit der Novellierung von BDSG und UWG gewaltig geändert. Gleichwohl kommt diese Erkenntnis bei vielen auch nach über sechs Monaten Rechtskraft erst durch Staatsanwalt, Datenschutzaufsicht und Presse an.
Da war doch was ...
Dabei sind Datenschutz und Sicherheit betriebliche Aufgaben des Managements. Werden sie aus Unkenntnis oder Ignoranz vernachlässigt, schlägt das immer öfter direkt zurück. Auslagern hilft dabei nicht. Externe Dienstleister lassen sich zwar finanziell belangen, den Hauptschaden trägt jedoch immer der Auftraggeber.
Die Betroffenen – die eigenen Kunden – stehen plötzlich mitsamt ihrer Zahlungsmoral, Bonität, privaten und gesundheitlichen Daten für jeden sichtbar im Internet. Werden diese Personen – denn um die geht es – je wieder Vertrauen haben und Kunden bleiben? Oder gehen sie nicht eher zum Mitbewerber, der aktiven, modernen Datenschutz nicht nur als Pflicht, sondern auch als USP erkannt hat?
Wieso denn "auf einmal"?
Durch die Veröffentlichungspflicht (§ 42a BDSG) erfolgt eine starke Sensibilisierung in den Medien und somit in der Gesellschaft. Erst recht, wenn neuen »Geschäftsmodellen« durch Nachlässigkeit Tür und Tor geöffnet wird, beispielsweise durch Diebstahl persönlicher Daten zum Zwecke der Erpressung von Unternehmen.
Wer seine Daten als zweitwichtigstes Unternehmenskapital begreift und dabei realisiert, dass 75 Prozent aller Angriffe ohnehin von innen erfolgen, kann sie einfach vor »unfreundlichem Informationsabfluss« schützen. Ausgangspunkt ist die Klassifizierung nach Wichtigkeit und Wertigkeit für das Unternehmen. Dann werden Speicherklassen für optimale Zugriffszeiten und Sicherheitsklassen für Schutzmaßnahmen erstellt.
Und wie umsetzen, bitte?
Eine Rechteverwaltung sorgt für Zugriffsregelung, Verschlüsselung schützt besonders sensible Bereiche und wird grundsätzlich eingesetzt, wenn Daten das Haus verlassen. Und dies nicht nur wegen § 9 BDSG, dem sind Daten aus »Intellectual Property« nämlich egal.
Die meisten Konzerne setzen dies auch mit mehr oder weniger großem Erfolg um. KMU haben aber oft nicht das Kapital für automatisierte Verfahren. Erster Schritt ist eine sinnvolle Prozessoptimierung, flankiert von der Einführung eines »Vier-Augen-Prinzips«, kleinen singulären Sicherheits- und Genehmigungsverfahren sowie ein sensibler Umgang mit den Daten selbst.
Was bringt das Ganze noch?
Angenehmer Nebeneffekt: Diese Optimierungen führen oft zu Produktivitätssteigerungen, da verkrustete Prozesse aufgebrochen und an aktuelle gesetzliche und geschäftliche Anforderungen angepasst werden. Sicherheit herzustellen muss nicht kompliziert sein und kann sich sogar rechnen.
Sicherheit und Datenschutz sind keine Produkte - sondern Betriebszustände.