Foto: KPMG
Deutsche Managerinnen und Manager lieben das Risiko. Dieser Eindruck drängt sich zumindest auf, wenn man betrachtet, wie sorglos die überwiegende Mehrheit der Unternehmen noch immer mit ihren Daten umgeht. 43 Milliarden Euro - so hoch ist nach KPMG-Analysen der Schaden, der deutschen Firmen jedes Jahr entsteht, weil ihre Daten gestohlen, missbraucht oder nachlässig gesichert werden. Und obwohl das Risiko, Opfer eines Datendiebstahls zu werden, weiter steigt, scheint in vielen Führungsetagen nach wie vor das Motto zu herrschen: Kontrolle ist gut, Vertrauen ist besser. Zu viele Entscheider beschäftigen sich erst dann mit Datenschutz und Datensicherheit, wenn es schon zu spät ist.
Es sind meist banale Dinge, an denen es in der Praxis fehlt. Ein Beispiel ist die Berechtigung - also die Frage, wer auf welche internen Daten zugreifen kann. Wenn ein neuer Mitarbeiter oder eine neue Mitarbeiterin verschiedene Stationen durchläuft, dann wird er oder sie in der Regel nach und nach für immer mehr Datensätze freigeschaltet: für den Vertrieb, für den Einkauf, für die Buchhaltung. Nur selten aber werden die Mitarbeiter für die Daten, die sie nicht mehr benötigen, auch wieder gesperrt. Ähnliches beobachten wir in Unternehmen, in denen Externe Zugriff auf Daten haben: Häufig können solche Berater oder Systemadministratoren echte Kundendaten einsehen. Dabei wäre es ein Leichtes, die Berechtigungen anzupassen oder die Daten zu anonymisieren, um diese vor einem potenziellen Missbrauch zu schützen. Allein, es kümmert sich zu selten jemand darum.
- Gesetze verstehen
Die Auswirkungen der aktuellen und künftigen Gesetzeslage auf die Firma verstehen. Dies beinhaltet die Frage nach notwendigen Änderungen und deren Auswirkungen auf das IT-Budget. Zum Beispiel nutzen viele Unternehmen immer noch reale Daten ihrer Kunden und Nutzer für Entwicklungs- und Testzwecke. Mit der neuen Gesetzgebung sollten sie diese anonymisieren oder zumindest maskieren. - Analysieren
Analysieren, wo persönliche und sensible Daten aufbewahrt werden. Wer nutzt wie welche Daten und wo liegen die größten Gefahren einer Datenschutzverletzung? Die entsprechende Analyse der Bearbeitungsprozesse persönlicher und sensibler Daten und wie diese mit anderen Daten interagieren nimmt oft deutlich mehr Zeit in Anspruch als geplant. - Anonymisieren
Daten desensibilisieren, ohne sie unbrauchbar zu machen. Anonymisierte Daten lassen sich häufig relativ problemfrei in bestehende Workflows und Prozesse integrieren. Alternativ sind neue oder veränderte Arbeitsprozesse zu entwickeln, um die Gesetze einzuhalten. Die daraus resultierenden Kenntnisse fließen wiederum in Anforderungskataloge an Drittanbieter-Lösungen ein. - Datenschutzprozesse entwickeln
Datenschutzprozesse unter Verwendung der geeigneten Werkzeuge entwickeln. Zur Umsetzung der Datensicherheits-Strategie gibt es verschiedene Lösungen. Diese kann aus einem neuen Satz an Geschäftsprozessen bestehen, aus einer Revision der Datenzugriffsbestimmungen, einer (Test-)Datenmanagement-Technologie oder aus einer beliebigen Kombination davon. - Lösungen liefern
Die Lösung in das bestehende IT-Umfeld ausliefern. Vor der Einführung der entwickelten Prozesse sollten die Abläufe so weit wie möglich automatisiert und die manuellen Eingriffe reduziert sein. Teams, die diese Prozesse im Alltag betreuen, sind in die entsprechenden Regularien und Prozesse einzuweisen sowie in der Handhabung der verwendeten Werkzeuge zu trainieren.
Vorsicht ist besser als Nachsicht
Es ist schwer zu erklären, was die Gründe für den noch laxen Umgang mit Daten sind. Mal fehlt das Geld für Präventivmaßnahmen, mal das Verständnis. Und oft wird übersehen, dass sensible Daten nicht nur aus böser Absicht, sondern auch aus reiner Nachlässigkeit an die Öffentlichkeit geraten können. Dabei helfen ein paar gezielte Maßnahmen, im Ernstfall wichtige Zeit zu sparen. Zeit, in der viel Geld vernichtet und das Image eines Unternehmens nachhaltig beschädigt werden kann.
Unabdingbar ist ein genau strukturierter Prozess für das Krisenmanagement. Im Ernstfall müssen viele Stellen im Unternehmen schnell und effektiv zusammenarbeiten: von den IT-Experten über die Rechtsabteilung, die Revision- und Compliance-Bereiche bis hin zum Betriebsrat und den Datenschutzbeauftragten. Firmen ersparen sich viel Arbeit, wenn sie schon im Vorfeld Ansprechpartner und klare Abläufe festlegen, denn gerade in großen Konzernen kann es sonst Tage dauern, bis alle Beteiligten ins Boot geholt werden können.
Ein solcher Plan spart nicht nur Zeit, sondern sichert die Unternehmen auch ab. Nur die wenigsten kennen alle rechtlichen Vorgaben, die es im Umgang mit Daten gibt. So ist die erste Reaktion vieler Firmenchefs, dass sie ein etwaiges Datenleck möglichst schnell und diskret stopfen - und den Kreis der Informierten möglichst klein halten - wollen. So nachvollziehbar diese Reaktion ist, so leichtsinnig kann sie sein. Denn angesichts der engen Grenzen, die zum Beispiel das Bundesdatenschutzgesetz steckt, ist es in manchen Fällen sogar notwendig, die Datenschutzaufsicht und die Betroffenen zu informieren.
Mitarbeiter korrekt kontrollieren
Selbst wenn der dringende Verdacht besteht, dass ein Mitarbeiter sensible Daten weiterreicht, darf sein E-Mail-Postfach erst dann gescannt werden, wenn der Betriebsrat sein Einverständnis gegeben hat. Schließlich handelt es sich um eine Verhaltens- oder Leistungskontrolle eines Arbeitnehmers. Auch der Datenschutzbeauftragte ist hier einzubinden. Besonders komplex werden solche rechtlichen Fragestellungen bei international tätigen Unternehmen. In Deutschland und den EU-Staaten gelten hier andere Vorgaben als beispielsweise in den USA. Entsprechend dürfen personenbezogene Daten nicht einfach übermittelt werden. Gibt es also ein Datenleck in einer europäischen Tochtergesellschaft, dann dürfen die Erkenntnisse über Täter oder Verlauf nicht ohne Weiteres an den amerikanischen Mutterkonzern weitergegeben werden.
Foto: fotogestoeber - Fotolia.com
Aktuelles Urteil zu Sicherheitskopien
Wichtig sind in diesem Zusammenhang auch aktuelle Urteile, denn gerade im Umgang mit IT- und personenbezogenen Daten ist derzeit einiges im Fluss. So hat der Verwaltungsgerichtshof in Mannheim erst kürzlich zugunsten des früheren baden-württembergischen Ministerpräsidenten entschieden: Wenn in der Vergangenheit aus technischen Gründen Sicherheitskopien von E-Mails gemacht wurden, dann dürfen diese auch tatsächlich nur zu diesem Zweck benutzt werden - und nicht, wie im vorliegenden Fall, später herangezogen werden, um etwaige Vergehen nachzuweisen. Was für viele Unternehmen zunächst wenig relevant klingt, betrifft tatsächlich alle, die ihre Daten mit Back-ups absichern: Diese können nach diesem Urteil nicht ohne weiteres verwendet werden, um einem Mitarbeiter im Nachhinein einen Datenverrat nachzuweisen. Die Zweckbindung ist hier das entscheidende Stichwort.
Tipp: Betriebsvereinbarung
Eine gute Lösung können Betriebsvereinbarungen sein. Damit können Firmen individuell festlegen, dass sie beispielsweise bei Hinweisen auf Wirtschaftskriminalität sehr wohl auf ältere Sicherheitskopien zugreifen dürfen. Ähnliches gilt in Bezug auf E-Mails: Auch hier können Arbeitgeber und Betriebsrat vereinbaren, dass E-Mails gescannt werden dürfen, wenn ein Verdacht auf kriminelle Handlungen besteht. Wichtig ist in jedem Fall, dass die Firmen schon im Vorfeld tätig werden - und bereits bei der Vorbereitung auch die Verhältnismäßigkeit im Auge behalten. Ist wirklich das Schleppnetz nötig, wenn es auch eine Angel tut? Müssten im Zweifel wirklich Tausende Mitarbeiter überprüft werden - oder ist der Kreis derer, die Zugriff auf wirklich relevante Daten haben, vielleicht kleiner?
Unternehmen müssen also endlich Datenschutz und Datensicherheit zur Top-Priorität erklären und sich für den Ernstfall wappnen. Schließlich ist es besser, gut gerüstet zu sein und den Notfallplan niemals zu brauchen - als unvorbereitet in die Krise zu stürzen. (bw)