5 Daten-Compliance-Standards und wie man sie erfüllt

Die Unternehmen häufen heute mehr Daten an als je zuvor, und damit geht eine Reihe von Verantwortlichkeiten in Bezug auf Speicherung, Austausch, Schutz und Nutzung dieser Informationen einher.

Die jüngsten Skandale, die Firmen wie Facebook und Cambridge Analytica getroffen haben, zeigen deutlich, was passieren kann, wenn Daten missbraucht werden. Es ist also klar, dass jede Firma einen schweren Imageschaden erleiden kann, wenn sie sich nicht genug um ihre vertraulichen Informationen kümmert.

Doch da ist auch die Gefahr hoher Bußgelder, wenn sich herausstellt, dass ein Unternehmen unvorsichtig oder unethisch gehandelt hat. In den letzten Jahren hat die Anzahl und Komplexität der von den Unternehmen einzuhaltenden Vorschriften erheblich zugenommen, da die Behörden versuchen, die Kontrolle über die riesigen Datenmengen zurückzuerlangen, die heute weltweit auf Servern und in der Cloud gespeichert sind. Die Höhe der für Verstöße verhängten Bußgelder ist ebenfalls gestiegen, so dass das Thema wichtiger denn je geworden ist.

Neben den allgemeinen Datenschutzregeln, die jedes Unternehmen einhalten muss, gibt es auch eine Reihe von branchenspezifischen Compliance-Themen, die die Firmen berücksichtigen müssen.

Was bedeutet Daten-Compliance?

Daten-Compliance bezieht sich auf jegliche Vorschrift, die ein Unternehmen befolgen muss, um sicherzustellen, dass seine sensiblen digitalen Werte - in der Regel persönlich identifizierbare Informationen und Finanzdaten - vor Verlust, Diebstahl und Missbrauch geschützt sind.

Diese Regeln haben verschiedene Formen. Dabei kann es sich um Industriestandards, Gesetze auf Landes- oder Bundesebene oder sogar um supranationale Vorschriften wie die DSGVO handeln. In der Regel legen sie fest, welche Arten von Daten geschützt werden müssen, welche Prozesse im Rahmen der Gesetzgebung als akzeptabel gelten und welche Strafen den Unternehmen drohen, die die Regeln nicht befolgen.

Es ist wichtig, Daten-Compliance nicht mit Datensicherheit zu verwechseln. Diese beiden Prozesse werden oft zusammengefasst, als ob sie das gleiche wären, aber das ist nicht der Fall. Sie haben zwar die gleichen Ziele - die Risiken, denen Unternehmen ausgesetzt sind, zu minimieren und zu managen - doch stellt die Compliance lediglich sicher, dass sie die gesetzlich vorgeschriebenen Mindeststandards erfüllen. Die Datensicherheit hingegen umfasst alle Prozesse, Verfahren und Technologien, die festlegen, wie mit den sensiblen Daten umgegangen wird und wie Verstöße vermieden werden.

Nur weil Sie die Vorschriften einhalten, heißt das noch lange nicht, dass Sie auch sicher sind. Auch wenn Sie die Mindestanforderungen erfüllen, sind Sie im Falle einer Datenschutzverletzung zwar rechtlich geschützt, aber nicht vor den vielen anderen Folgen eines Sicherheitsvorfalls sicher, wie z. B. vor finanziellen Verlusten und Imageschäden.

DSGVO

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist eine der neuesten und weitreichendsten Normen und ist zur Zeit kaum noch zu ignorieren. Diese am 25. Mai 2018 in Kraft getretene Verordnung legt eine Reihe von Regeln fest, die das Recht der Menschen betreffen, zu erfahren, welche Daten Unternehmen von Ihnen haben und wie sie mit diesen Daten umgehen. Außerdem legt sie strengere Regeln für die Meldung von Datenschutzverletzungen fest.

Sie betrifft überdies nicht nur Firmen mit Sitz in Europa. Wenn Sie Geschäfte mit jeglicher Person machen, die der Gerichtsbarkeit der EU unterliegt, müssen Sie sich an die Bestimmungen der DGSVO halten. Obwohl die Verordnung viele Regeln enthält, lassen sich die meisten auf drei Grundprinzipien reduzieren: Einholung der Zustimmung, Minimierung der Datenmenge und Gewährleistung der Rechte der Dateninhaber.

Die Aufgabe kann überwältigend erscheinen, aber der erste Schritt jedes Unternehmens, um sicherzustellen, dass es die DSGVO befolgt, ist, jemanden mit der Überwachung seiner Datenaktivitäten zu beauftragen. Dieser Datenschutzbeauftragte ist in bestimmten Organisationen, die große Datenmengen verwenden, obligatorisch. Seine Aufgabe ist es, die Datenschutzstrategie und ihre Implementierung zu überwachen, um die Einhaltung der DSGVO-Anforderungen sicherzustellen.

HIPAA

Das Gesetz HIPAA, Kürzel für Health Insurance Portability and Accountability Act von 1996, legt fest, wie US-Organisationen, die mit Gesundheits- und medizinischen Daten von Einzelpersonen umgehen, deren Sicherheit und Vertraulichkeit gewährleisten müssen.

Da diese Angaben zu den sensibelsten Daten gehören, die ein Unternehmen besitzen kann, können die Strafen für ein Schutzversäumnis dieser Informationen erheblich sein. Im Jahr 2018 musste beispielsweise der Versicherungsanbieter Anthem eine Strafe in Höhe von 16 Millionen US-Dollar einstecken, nachdem ein Hackerangriff die Gesundheitsinformationen von fast 79 Millionen Menschen offengelegt hatte.

Das HIPAA schreibt vor, dass alle elektronischen Gesundheitsakten nur von Personen eingesehen werden dürfen, die einen triftigen Grund dafür haben. Daher sind Verschlüsselung und strenge Zugangskontrollen ein Muss. Die Normen gelten nicht nur für die Datensätze in einer Datenbank, sondern auch, wenn sie weitergegeben werden. Daher muss auch sichergestellt werden, dass Aktivitäten wie E-Mails und Dateiübertragungen vollständig überwacht, geschützt und kontrolliert werden.

Ein wesentliches Merkmal des HIPAA ist die Forderung nach vollständigen Prüfprotokollen, die jede Interaktion von jedermann mit diesen Daten detailliert registrieren. Das bedeutet, dass eine Software zur Verwaltung von Ereignisprotokollen ein unverzichtbares Werkzeug für die IT-Mitarbeiter ist, die die Einhaltung dieser Vorschriften sicherstellen wollen. So wird sichergestellt, dass bei jedem Zugriff auf oder jeder Änderung an einer sensiblen Datei automatisch ein vollständiges Register erstellt wird. Dies kann dazu beitragen, dass Unternehmen sofort auf Sicherheitsverletzungen aufmerksam werden, wenn sie auftreten.

PCI DSS

Für Unternehmen, die mit Finanzdaten von Kunden umgehen, ist der Payment Card Industry Data Security Standard (PCI DSS) ein wichtiger Bestandteil jedes Compliance-Prozesses, da er Regeln für den Umgang mit und den Schutz von Karteninhaberdaten wie Kreditkartennummern festlegt.

Im Gegensatz zu den anderen auf dieser Liste ist der PCI DSS kein staatlich verordnetes, sondern ein Branchen-Regelwerk. Das macht diesen Standard jedoch nicht weniger wichtig, da jedes ihn nicht einhaltende Unternehmen mit hohen Geldstrafen rechnen muss oder ihm sogar die Beziehungen zu Banken oder Zahlungsabwicklern gekündigt werden können, was es ihm sehr schwierig machen würde, weiterhin Kartenzahlungen zu akzeptieren.

Auch wenn eine Firma Drittanbieter für die Abwicklung von Kartenzahlungen nutzt, was bei vielen großen und kleinen Unternehmen der Fall ist, liegt es immer noch in ihrer eigenen Verantwortung, die Sicherheit der Kredit- oder Debitkartendaten beim Einholen, Übertragen und Speichern zu gewährleisten.

Die genauen vom Unternehmen zu ergreifenden Maßnahmen hängen davon ab, wie viele Transaktionen es tatsächlich abwickelt - für Unternehmen mit einem größeren Kundenstamm gelten weitaus strengere Anforderungen -, aber letztendlich verlangen die PCI DSS-Standards von allen Unternehmen die Gewährleistung eines bestimmten Maßes an Sicherheit.

Glücklicherweise gibt der Payment Card Industry Security Standards Council eine Reihe von Schritten vor, die detailliert beschreiben, was Firmen tun müssen, um diese Standards zu erfüllen. Die 12 grundlegenden Anforderungen reichen von der Einrichtung einer angemessenen Firewall zum Schutz der Karteninhaberdaten (Anforderung 1) bis hin zu regelmäßigen Tests der eigenen Systeme und Prozesse (Anforderung 11), so dass es keine Entschuldigung dafür gibt, keinen klaren Plan zur Erfüllung dieser Standards zu haben.

SOX

Der Sarbanes-Oxley Act von 2002 (SOX) soll vor einer Wiederholung der Buchhaltungsskandalen schützen, die vor einigen Jahren Unternehmen wie Enron erschütterten. Doch da es hier mehr um die Finanzberichterstattung als um den Datenschutz geht, könnten IT-Verantwortliche dem Thema weniger Bedeutung zumessen als anderen Vorschriften, mit denen sie sich befassen müssen.

Dies ist ein Fehlschluss, und die IT-Abteilungen haben eine klare Rolle zu spielen, um sicherzustellen, dass diese Anforderungen erfüllt werden. Zunächst einmal müssen sie den CEO und den CFO unterstützen, indem sie sicherstellen, dass diese Echtzeitberichte über die Finanzdaten des Unternehmens erhalten. Dies bedeutet die Einrichtung von Systemen zur Automatisierung des Berichtswesens sowie von Warnmeldungen, die ausgegeben werden, wenn wichtige Ereignisse eintreten, die erhöhte Aufmerksamkeit erfordern.

Die IT-Teams müssen außerdem sicherstellen, dass alle Aufzeichnungen ordnungsgemäß gespeichert und aufbewahrt werden. Daher sind effektive und zeitnahe Backups aller wichtigen Informationen und geeignete Dokumentenmanagementsysteme unerlässlich, um diese Vorschriften einzuhalten. Allerdings muss dazu sichergestellt werden, dass diese Leute auch vollen Einblick in alle Bereiche des digitalen Vermögens ihrer Firma haben.

Tabellenkalkulationen, E-Mails, IMs, aufgezeichnete Telefongespräche und Finanztransaktionen müssen alle mindestens fünf Jahre für mögliche Audits aufbewahrt werden. Dazu braucht es die richtigen Managementsysteme.

Letztlich besteht die Aufgabe der IT-Profis bei der Einhaltung von SOX darin, dafür zu sorgen, dass sowohl die Aufzeichnungen als auch die Audits so reibungslos wie möglich ablaufen. Tools zur Automatisierung von Arbeitsabläufen, zur Verwaltung und Überwachung des Datenflusses sowie zur Archivierung und zum schnellen Abruf von Informationen spielen dabei eine wichtige Rolle.

CCPA

Das kalifornische Gesetz zum Schutz der Privatsphäre der Verbraucher (California Consumer Privacy Act, CCPA) wurde 2018 verabschiedet und trat am 1. Januar 2020 in Kraft. Dabei handelt es sich um eine der striktesten Verbraucherschutzmaßnahmen, mit denen sich viele in den USA ansässige Unternehmen konfrontiert sehen. Dieses Gesetz wird oft als das kalifornisches Äquivalent zur DSGVO bezeichnet. Obwohl es in Bereichen wie den Berichtspflichten nicht so anspruchsvoll ist wie die DSGVO, ist es in mancher Hinsicht sogar strenger als sein europäisches Gegenstück.

So fasst es zum Beispiel die Definition von privaten Daten weiter und bezieht alle Informationen mit ein, aus denen Rückschlüsse zur Erstellung eines Kundenprofils gezogen werden können, das die „Vorlieben, Eigenschaften, psychologischen Tendenzen, Prädispositionen, Verhaltensweisen, Einstellungen, Intelligenz, Fähigkeiten und Neigungen“ einer Person widerspiegelt.

Doch nicht alle Firmen müssen das CCPA erfüllen. Es gilt nur für Unternehmen mit einem Bruttojahresumsatz von mehr als 25 Millionen US-Dollar, für Unternehmen, die die persönlichen Daten von 50.000 oder mehr Verbrauchern, Haushalten oder Geräten kaufen, empfangen oder verkaufen, oder für Unternehmen, die mindestens 50 % ihres Jahresumsatzes mit dem Verkauf persönlicher Verbraucherdaten erwirtschaften.

Dies befreit zwar viele kleinere Firmen von der Anwendungsverpflichtung, bedeutet aber, dass fast jedes mittlere oder große mit kalifornischen Kunden agierende Unternehmen das Gesetz erfüllen muss. Das macht es für viele US-Firmen relevanter als die DSGVO. Während sich einige Unternehmen dafür entschieden haben, ihre Geschäftstätigkeit in Europa ganz einzustellen, um diese Verordnung zu umgehen, dürfte es für sie viel schwieriger sein, dem CCPA zu entgehen, da sie weder in Kalifornien ansässig sein noch eine physische Präsenz in diesem Bundesstaat haben müssen, um unter seine Bestimmungen zu fallen.

Die Bußgelder für Datenschutzverletzungen liegen bei bis zu 7500 US-Dollar pro Datensatz - wenn man nun bedenkt, dass bei einigen großen Datenschutzverletzungen in den letzten Jahren Dutzende oder sogar Hunderte Millionen Datensätze betroffen waren, können die Kosten für die Nichteinhaltung solcher Vorschriften schnell ins Unermessliche steigen.