Dabei haben wir festgestellt, dass Digitalisierung die Welt und damit auch die (nicht nur) digitale Risikolage verändert. Gleichzeitig gilt es ein neues Gleichgewicht zwischen den Möglichkeiten der Digitalisierung und den Anforderungen an die Datensicherheit und den Datenschutz zu finden.
© ThinkstockAspekte des Datenschutzes
Die Datenschutzgrundverordnung (DSGVO), in Kraft getreten am 25.5.2018, sorgt dafür, dass sich das Pendel zwischen Digitalisierung, Datenschutz und Datensicherheit aktuell deutlich in Richtung Datenschutz bewegt.
Der 25.5.2018 hat viele Unternehmen in Aufregung versetzt – auch abseits von Abmahnanwälten & Co. Nach ca. zwei Monaten DSGVO hat sich allerdings gezeigt, dass die Hektik zwar ungebrochen ist, bisher aber – ausgehend von der medialen Welt – noch keine konkreten Vorkommnisse zu verzeichnen sind. Also viel Wirbel um nichts?
Durch die DSGVO hat sich insbesondere die Sichtweise geändert – d. h. bei neuen oder bestehenden Prozessen wird in einem ersten Schritt geprüft, ob dies auch den Vorgaben der DSGVO entspricht und damit die persönlichen Interessen eines jeden gewahrt werden (s. hierzu z. B. auch novus Informationstechnologie 2. Ausgabe 2018, S. 12, DSGVO vs. (Firmen)Fotografie).
Allerdings ist mit der DSGVO noch nicht das Ende der (Datenschutz-)Fahnenstange erreicht – ein kollektives „Aufatmen“ wäre verfrüht. Denn die sog. E-Privacy-Verordnung steht schon seit einiger Zeit in den Startlöchern und sollte bereits mit der DSGVO am 25.5.2018 in Kraft treten (vgl. novus Informationstechnologie 3. Ausgabe 2017, S. 11). Diese Verordnung spezifiziert die DSGVO für den Online(Internet)-Sektor. Sie ersetzt dabei die E-Privacy-Richtlinie (2002/58/EG) sowie die Cookie-Richtlinie (2009/136/EG). In der Verordnung wird u. a. das Tracking im Internet geregelt sowie nach gegenwärtigem Stand festgelegt, dass nur noch Cookies, die keine Auswirkungen auf die Privatsphäre haben, ohne Einwilligung des Benutzers gesetzt werden dürfen. Die Verordnung gilt, wie die DSGVO, in allen Mitgliedsstaaten und unterscheidet sich damit schon von den bisherigen Richtlinien. Damit werden unterschiedliche Vorgaben in den Mitgliedsstaaten ausgeschlossen.
Die Thematik Datenschutz bleibt uns somit weiterhin erhalten – es wird auch interessant sein, inwieweit sich die kommenden Wochen und Monate vor dem Hintergrund der Umsetzung der DSGVO, entwickeln werden. Das zeigt auch das aktuelle Urteil des Europäischen Gerichtshofs in Bezug auf die geteilte Verantwortung des Betriebes von Facebook-Fanseiten (vgl. novus Informationstechnologie 2. Ausgabe 2018, S. 13, Facebook-Fanseiten – Nutzen oder Meiden).
Aspekte des Datenschutzes
Prozesse im Rahmen der Digitalisierung im täglichen Leben:
- Eine Person beantragt einen neuen Personalausweis.
- Das (biometrische) Passbild wird abgegeben, eingescannt und zurückgereicht.
- Auf die Frage, ob man das Bild nicht direkt in einem digitalen Format zur Verfügung stellen kann, erfolgt die Antwort: „Das können wir nicht verarbeiten.“
Unternehmensabläufe werden durch die Digitalisierung komplett geändert, wie sich am Beispiel RFID (Radio-Frequency-Identification) zeigt. Chips dienen der berührungslosen Identifikation von „Dingen“ via Radiowellen, kosten nur wenige Cents und haben die Form eines Aufklebers. RFID-Chips sind insbesondere im Bereich der Lagerlogistik sehr interessant, wenn in einem ersten Schritt jede Palette und im zweiten Schritt jeder Artikel mit einem solchen Chip ausgestattet wird. Dadurch ist der Standort jedes einzelnen Artikels jederzeit bekannt ist sowie deren Menge. Dies gilt nicht nur für die Artikel am Lagerplatz, sondern auch für Artikel auf dem Transportweg und führt u. a. dazu, dass jeder Artikel in Echtzeit nachverfolgt werden kann, Inventur und Bestandsinformationen auf Knopfdruck zur Verfügung stehen und Lagerbuchungen durch Standortverlagerungen (bspw. Umlagerungen oder Gefahrübergang zur Spedition) automatisiert erfolgen.
Geschäftsmodelle werden sich radikal ändern. Nur wer in der IT frühzeitig Geschwindigkeit, Qualität und Ordnungsmäßigkeit (Compliance) unter Berücksichtigung von IT-Sicherheit miteinander in Einklang bringt, wird am Markt bestehen. Digitalisierung beginnt bei einer Strategie. War früher eine klare IT-Strategie im Mittelstand ein „Nice-To-Have“, so ist sie heute zwingende Voraussetzung für die Umsetzung von Geschäftsmodellen. IT-Sicherheit und IT-Compliance sind ebenso von integraler Bedeutung. Unternehmenserfolg setzt die richtigen Mitarbeiter mit der richtigen Qualifikation voraus!
Aspekte der Datensicherheit (Informations- und IT-Sicherheit)
Datensicherheit (Informations- und IT-Sicherheit) ist ein Thema, das nach unserem Gefühl immer selbstverständlicher geworden ist. Unternehmen befassen sich damit immer intensiver. Die Problematik ist allerdings, dass man sich zwar Gedanken macht, allerdings die Umsetzung, d. h. „Wie geht Datensicherheit überhaupt?“ nicht immer erfolgreich ist. Dies ist auch vielfach in den dafür benötigten (internen) Ressourcen begründet, um IT-Sicherheit überhaupt herzustellen. Daher nehmen wir vermehrt wahr, dass Überlegungen in Richtung Outsourcing intensiver werden. Allerdings sollte bei der Suche nach einem geeigneten Outsourcing-Partner auch auf einen entsprechenden Nachweis des sicheren und ordnungsgemäßen Betriebs von IT-Systemen geachtet werden. Besonders für IT-Dienstleister im Finanzwesen sind mögliche Zertifizierungen von entscheidender Bedeutung. Eine der wesentlichen Bescheinigungen ist dabei eine Prüfung und Bescheinigung nach dem IDW Prüfungsstandard (PS) 951 (Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen). Dabei handelt es sich um einen Prüfungsstandard, der sich mit der Bescheinigung und Prüfung interner Kontrollsysteme (IKS) befasst – also mit allen Maßnahmen, die ein Unternehmen zur Absicherung von Prozessen und Daten ergreift. Der PS 951 ist die deutsche Transformation des internationalen Prüfungsstandards ISAE 3402 „Assurance reports on controls at a service organization“, die US-amerikanische Ausprägung dieses Standards ist der SSAE 18 (früher SAS 70).
Fazit
Der Kampf zwischen Digitalisierung, Datenschutz und Datensicherheit tobt weiter - auch wenn der Datenschutz in Führung geht. Es wird interessant zu beobachten sein, ob und wie Digitalisierung und Datensicherheit „zurückschlagen“ werden – auch wenn natürlich im Dreiklang von Triple D eine Thematik nicht ohne die andere betrachtet werden kann.
