Was ist Datencompliance?
Durch Datencompliance soll gewährleistet werden, dass sensible und geschützte Daten so organisiert und verwaltet werden, dass Unternehmen und Behörden die relevanten gesetzlichen und behördlichen Vorschriften einhalten können. In vielerlei Hinsicht können Sie sich Datencompliance als eine Reihe detaillierter Regeln (oft als Protokolle, Standards oder Anforderungen bezeichnet) vorstellen, die zum Schutz personenbezogener Daten und Informationen formuliert wurden.
Die Anforderungen an die Datencompliance hängen von den geltenden Bestimmungen ab, aber im Allgemeinen definieren die meisten davon, (1) wie Daten erfasst, verwendet und gespeichert werden, sowie (2) die Prozesse, die Unternehmen einführen müssen, um ihre Daten vor Verlust, Diebstahl und Missbrauch zu schützen.
Warum brauchen Unternehmen Datencompliance?
Die Erstellung und Nutzung digitaler Informationen ist aus unserem Arbeitsleben heute nicht mehr wegzudenken: vom Versenden von Sofortnachrichten und E-Mails bis hin zur Verwendung von Textverarbeitungsprogrammen, Tabellenkalkulationen und unzähligen anderen Arten von digitalen Daten. Aufgrund dieses tiefgreifenden Wandels zur digitalen Speicherung von Kundeninformationen, Kreditkartennummern und anderen Finanzdaten durch Unternehmen und einer breiten Akzeptanz von E-Commerce und Online-Geschäften ist nun eine Aufsicht darüber erforderlich, wie Unternehmen mit ihren Daten umgehen und sie schützen.
Wenn Kunden im Rahmen einer Transaktion ihre personenbezogenen Daten (PII) angeben, ist das Unternehmen letztendlich dafür verantwortlich, dass diese Informationen geschützt werden und nicht in falsche Hände, z. B. die von Cyberkriminellen, geraten. Die Einhaltung der Anforderungen an die Datencompliance durch Unternehmen bringt mehrere Vorteile mit sich:
Verhinderung von Datenkompromittierungen
Die Datencompliance stellt sicher, dass Unternehmen gute Sicherheitspraktiken anwenden, um ihre Daten sicher aufzubewahren und vor Kompromittierung zu schützen. Sie ist für den Geschäftsbetrieb unerlässlich und zeigt, dass ein Unternehmen verantwortlich mit vertraulichen und Kundendaten umgeht.
Optimierung der Datenverwaltung
Die Datenverwaltung ist der Prozess der Erfassung, Speicherung, Organisation und Pflege der von einem Unternehmen erstellten und erhobenen Daten. Eine effektive Datenverwaltung ist ein entscheidender Aspekt der Einhaltung datenrechtlicher Anforderungen und unterstützt nicht nur die Einhaltung von Vorschriften, sondern verbessert auch die Prozesse zum Umgang mit Daten während des gesamten Datenlebenszyklus –von der Erstellung bis zur Vernichtung.
Schaffung von Markenloyalität
Unternehmen arbeiten heute in stark umkämpften Märkten und Verbraucher haben eine große Auswahl an Anbietern. Wenn Unternehmen ihren Kunden zeigen, dass sie gute Praktiken zur Einhaltung der Datencompliance-Anforderungen anwenden, stärken sie das Vertrauen in ihre Marke und damit auch die Kundenbindung.
Gewinnung qualifizierter Mitarbeiter
Die Zertifizierungen und Bescheinigungen eines Unternehmens in Bezug auf Compliance sind ein Beweis dafür, dass ein Unternehmen die Datencompliance ernst nimmt, und ein Indikator dafür, dass es gut durchdachte Praktiken bei der Datenverwaltung und anderen Betriebsabläufen anwendet. Dies sind attraktive Faktoren, die bei der Jobsuche für ein Unternehmen sprechen, und können Unternehmen helfen, leistungsstarke Mitarbeiter anzuziehen und zu binden.
Fallstudie: TUI Group
TUI Group verfügt über eine Flotte von 16 Kreuzfahrtschiffen und das Portfolio des Unternehmens umfasst 400 Hotels und Ressorts, Reiseveranstalter mit über 1000 Reisebüros und fünf Fluggesellschaften mit 100 Flugzeugen. Ungefähr 21 Millionen Kunden entscheiden sich jedes Jahr für einen Urlaub mit TUI.
Erfahren Sie, wie CrowdStrike mit der TUI Group zusammengearbeitet hat, um das größte Schiff ihrer Flotte, die Marella Explorer, vor Cyberangriffen zu schützen.
Vorschriften und Standards zur Datencompliance
Wir leben in einer Datenökonomie, daher ist es wichtiger denn je, dass Unternehmen ihr Datenuniversum ganz unter Kontrolle haben und die für ihr Geschäft geltenden Datencompliance-Anforderungen einhalten. Im Folgenden sind einige Beispiele für Gesetze und Vorschriften aufgeführt, die zum Schutz von Daten erlassen wurden:
NIST Cybersecurity Framework
Das NIST Cybersecurity Framework besteht aus einer Reihe von Richtlinien und Best Practices, die Unternehmen helfen, ihre Cybersicherheit zu entwickeln und zu verbessern, um ihre Daten zu schützen und deren Kompromittierung zu verhindern. Das Framework wurde vom US-amerikanischen National Institute of Standards and Technology (NIST) herausgegeben und gilt weithin als Goldstandard für die Entwicklung eines Cybersicherheitsprogramms sowohl für Einsteiger als auch für Unternehmen mit ausgereifteren Sicherheitsprogrammen. Das NIST-Framework unterteilt alle Cybersicherheitsfunktionen in fünf Kernfunktionen:
- Identifizieren – die Prozesse und Assets bestimmen, die geschützt werden müssen
- Schützen – geeignete Maßnahmen zum Schutz der Assets des Unternehmens ergreifen
- Erkennen – geeignete Mechanismen zur Erkennung von Cyberzwischenfällen einrichten
- Reagieren – Verfahren einführen, um die Folgen von Cybersicherheitsereignissen einzudämmen
- Wiederherstellen – geeignete Aktivitäten umsetzen, um Ausfallsicherheitspläne zu pflegen und Funktionen und Services, die durch einen Cybersicherheits-Zwischenfall beeinträchtigt wurden, wiederherzustellen
ISO/IEC 27001
ISO/IEC 27001 wurde ursprünglich im Jahr 2005 veröffentlicht und ist eine internationale Norm, die Unternehmen Leitlinien für die Einrichtung, Implementierung, Pflege und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems gibt. Konformität mit ISO/IEC 27001 bedeutet, dass ein Unternehmen ein System zum Management der Risiken in Bezug auf die Sicherheit von Daten eingerichtet hat, die sich im Besitz des Unternehmens befinden oder von ihm verarbeitet werden, und dass dieses System alle in der internationalen Norm enthaltenen Best Practices und Grundsätze anwendet.
PCI DSS
Der Payment Card Industry Data Security Standard (PCI DSS) umfasst eine Reihe von Sicherheitsstandards, die 2004 formuliert wurden, um mehr Kontrolle über die Daten von Karteninhabern zu ermöglichen und Kreditkartenbetrug zu bekämpfen. Jedes Unternehmen, dass Zahlungskartendaten verarbeitet, annimmt, übermittelt oder speichert, muss die Anforderungen des PCI DSS erfüllen.
DSGVO
Die Datenschutzgrundverordnung (DSGVO) wurde ursprünglich im Jahr 2016 veröffentlicht und gilt seit 2018. Ihr Ziel ist die Harmonisierung der Gesetze über die Datenvertraulichkeit in allen EU-Mitgliedstaaten, um alle Bürger der Europäischen Union (EU) vor Datenkompromittierungen und Verletzungen der Datenvertraulichkeit zu schützen. Wenn ein Unternehmen (an einem beliebigen Ort der Welt) personenbezogene Daten von in der EU wohnhaften Personen verarbeitet, muss es die Bestimmungen der DSGVO erfüllen.
CCPA
Der California Consumer Privacy Act (CCPA) wurde 2018 eingeführt, um es allen kalifornischen Verbrauchern zu ermöglichen, Einsicht in alle Informationen, die ein Unternehmen über sie gespeichert hat, sowie eine vollständige Liste aller Dritten, an die diese Daten weitergegeben werden, zu verlangen. Jedes Unternehmen mit einem Jahresumsatz von mindestens 25 Millionen USD, das Einwohner Kaliforniens bedient, muss den CCPA einhalten. Darüber hinaus können Verbraucher Unternehmen unter dem CCPA verklagen, wenn gegen die Vertraulichkeitsrichtlinien verstoßen wird, auch wenn keine Kompromittierung vorliegt.
FedRAMP
Das Federal Risk and Authorization Management Program (FedRAMP) ist ein regierungsweites Programm der US-Bundesregierung, das Behörden einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Services bietet. Es unterstützt die Regierung bei der schnellen Umstellung von alter, unsicherer Legacy-IT auf leistungsstarke, sichere und einfach bereitzustellende cloudbasierte Lösungen.
Weitere Informationen
Lesen Sie unseren Artikel, um mehr über weitere Regelwerke zu Datencompliance und Standards zu erfahren, die dabei helfen, die sensiblen Daten Ihres Unternehmens vor Angreifern zu schützen. Lesen: Security, Compliance & Standards Frameworks
So sorgen Sie für Datencompliance in Ihrem Unternehmen
Um die Datencompliance zu gewährleisten, müssen Unternehmen zunächst verstehen, welche Vorschriften für sie gelten und welche nicht. Anhand der für sie relevanten Datencompliance-Vorschriften müssen sie dann die geeigneten Maßnahmen, Richtlinien, Protokolle und Prozesse zur Erfüllung dieser Standards festlegen. Das ist ein beträchtliches Unterfangen, bei dem es gilt, die Finanzierung des Vorhabens zu sichern und die Unterstützung der Geschäftsleitung für das Vorhaben zu gewinnen.
Da die Datencompliance ein zentraler Aspekt des täglichen Betriebs eines Unternehmens ist, ist es wichtig, eine ausschließlich für die Verwaltung und Koordination aller diesbezüglichen Arbeiten und Prozesse zuständige Person zu haben. Wichtige Aufgaben dieser Rolle bestehen darin, kontinuierliche Datencompliance-Aktivitäten einzurichten, regelmäßige Tests, Überprüfungen der Dokumentation und Prüfungen der Abläufe zu planen sowie die Geschäftsleitung regelmäßig über die verschiedenen Compliance-Initiativen zu informieren.
Häufig sehen Compliancevorschriften regelmäßige Audits vor, bei denen das Unternehmen nachweisen muss, dass es die aktuellen Anforderungen einhält. In der Regel wird ein unabhängiger externer Prüfer den Auditprozess zusammen mit dem Unternehmen durchführen, um die Datencompliance zu validieren. Für eine erfolgreiche Durchführung dieser Audits ist es unerlässlich, Unterlagen über alle Datenschutzmaßnahmen des Unternehmens zu führen. Diese dienen als Nachweis für den Prüfer, dass sich die Organisation nach Treu und Glauben bemüht, jedes der Regelwerke einzuhalten.
Weitere Informationen
In unserem Artikel erfahren Sie, was unter einer Software-Stückliste (Software-Bill of Materials, SBOM) zu verstehen ist und warum die US-Regierung von allen Anbietern verlangt, eine solche bereitzustellen, damit gewährleistet ist, dass Unternehmen die gesetzlichen und behördlichen Anforderungen einhalten. Vorschrift über Software Bill of Materials (SBOM)
Indikatoren für erfolgreiche Datencompliance
Ein bestandenes Compliance-Audit ist zweifellos ein Barometer dafür, dass das Complianceprogramm eines Unternehmens gut funktioniert. Doch woher wissen Unternehmen außerhalb der Auditzyklen, ob ihr Datencompliance-Programm erfolgreich ist? Hier einige Faktoren, die ein erfolgreiches Programm kennzeichnen:
Zuweisung von Verantwortung und Ressourcen
Ein Datencompliance-Programm hat bessere Aussichten auf Erfolg, wenn das Unternehmen eine verantwortliche Person ernannt und die Rollen und Aufgaben aller Beteiligten klar festgelegt hat. Die Verantwortung für die Arbeit mit Daten muss bestimmten Rollen im Unternehmen zugewiesen werden, daher ist es oft praktisch, „Dateninhaber“ zu ernennen (normalerweise aus geschäftlichen Bereichen und nicht aus technischen Teams), die sicherstellen sollen, dass die Compliance-Anforderungen erfüllt werden.
Führung von Unterlagen
Unternehmen müssen alle Schritte und Abläufe beim Datenmanagement dokumentieren und diese Dokumentation immer auf dem neuesten Stand halten. Diese Unterlagen müssen zugänglich und durch unkompromittierte Berichte verifizierbar sein. Da Unternehmen nie stillstehen und Vorschriften häufig aktualisiert werden, muss das Datencompliance-Programm eines Unternehmens regelmäßig evaluiert werden, damit alle erforderlichen Änderungen sofort vorgenommen werden können.
Gut verwalteter Datenlebenszyklus
Gute Richtlinien für die Verwaltung des Datenlebenszyklus stellen sicher, dass ein Unternehmen wichtige Fragen zum Erfolg ihres Datencompliance-Programms beantworten können, wie zum Beispiel:
- Wann sind Daten nicht mehr nützlich?
- Wann überwiegen die Kosten für die Speicherung der Daten ihren Nutzen?
- Wann erheben wir mehr Daten als für uns nützlich?
- Welche Faktoren bestimmen, wann Daten das Ende ihres Lebenszyklus erreicht haben und vernichtet werden können?
Anerkannte Erfolgskennzahlen
Wenn ein Unternehmen Kennzahlen (KPIs) für sein Complianceprogramm hat, dienen diese als nützlicher Maßstab zur Messung des Programmerfolgs. KPIs helfen einem Unternehmen dabei, die Stärken und Schwächen des Programms zu identifizieren. Die wichtigsten KPIs beziehen sich direkt auf die Programmziele des Unternehmens. Das heißt auch, dass Unternehmen zunächst grundlegende Ziele festlegen müssen, um die Effektivität ihres Complianceprogramms daran zu messen.
Die wichtigsten Herausforderungen bei der Datencompliance
Das sich ständig ändernde regulatorische Umfeld hat zu einem immer komplexeren Labyrinth von Vorschriften geführt, in dem sich Unternehmen zurechtfinden müssen. Die Nichteinhaltung von Vorschriften kann jedoch zu hohen Bußgeldern und dazu führen, dass Geschäftsbetriebe nicht in der Lage sind, ihre Daten zu schützen oder bei Zwischenfällen agil zu handeln.
Dazu kommt, dass die Compliance-Arbeit von Unternehmen die neue Normalität hybrider Arbeitsumgebungen, exponentiell wachsende Datenmengen und wachsende Technologie-Stacks bewältigen sowie Ressourcenbeschränkungen und knappe Budgets berücksichtigen muss, die dazu führen, dass Risiko- und Compliance-Teams oft überfordert und unterbesetzt sind.
Fachkräfte- und Ressourcenmangel
Es ist nach wie vor eine Herausforderung, sachkundiges Personal mit gründlichen Fachkenntnissen in Datencompliance und -sicherheit zu finden. Der Mangel an Ressourcen und Fachkräften macht es schwierig, Compliance-bereit zu werden, und Unternehmen müssen zur Besetzung offener Stellen oft die betrieblichen Komplexitäten bewältigen, die mit der Gewinnung der richtigen Kandidaten verbunden sind.
Exponentielles Wachstum der Datenvolumen
Die Zunahme des digitalen Geschäfts erzeugt immer mehr Daten, die in die Compliance-Arbeit eines Unternehmens einbezogen werden müssen. Laut Statistica ist das Volumen an Unternehmensdaten zwischen 2020 und 2021 von ca. einem Petabyte (PB) auf 2,02 PB gestiegen. Für Datencompliance-Teams kann es zu einer enormen Herausforderung werden, mit diesem Tempo Schritt zu halten.
Hybrides Arbeiten und wachsende Angriffsfläche
Die Angriffsflächen bei Unternehmen werden durch die Einführung der Cloud und die Umstellung von Mitarbeitern auf Remote-Arbeit immer größer. So wird es immer schwieriger, eine Bestandsaufnahme der Daten eines Unternehmens und ihrer Speicherorte zu machen, um sie in das Datencompliance-Programm einzubeziehen.
Technologische Fortentwicklung
Die Fortschritte bei geschäftsfördernden Technologien haben eine digitale Umgebung geschaffen, die sich ständig verändert und von den Compliance- und Sicherheitsteams verwaltet und geschützt werden muss. Unternehmen haben Plattformen für die Zusammenarbeit per Video eingeführt, sich der Social-Media-Revolution angeschlossen, Alles-as-a-Service abonniert und ihre Mitarbeiter mit Smartphones ausgestattet – um nur einige der immer neuen Innovationen zu nennen, die Unternehmen in ihr Datencompliance-Programm integrieren müssen.
