deen
Nexia Ebner Stolz

Triple D - Aktuelles aus dem Spannungsfeld zwischen Digitalisierung, Datenschutz und Datensicherheit

Im novus Informationstechnologie II. 2017 hatten wir bereits einen kleinen Ausblick auf die drei alles beherrschenden Kernthemen, die jedes Unternehmen und jeden Prüfer derzeit beschäftigen, gegeben: Digitalisierung – Datenschutz – Datensicherheit.

Dabei haben wir fest­ge­s­tellt, dass Digi­ta­li­sie­rung die Welt und damit auch die (nicht nur) digi­tale Risi­ko­lage ver­än­dert. Gleich­zei­tig gilt es ein neues Gleich­ge­wicht zwi­schen den Mög­lich­kei­ten der Digi­ta­li­sie­rung und den Anfor­de­run­gen an die Daten­si­cher­heit und den Daten­schutz zu fin­den.

Triple D - Aktuelles aus dem Spannungsfeld zwischen Digitalisierung, Datenschutz und Datensicherheit© Thinkstock

Aspekte des Daten­schut­zes

Die Daten­schutz­grund­ver­ord­nung (DSGVO), in Kraft get­re­ten am 25.5.2018, sorgt dafür, dass sich das Pen­del zwi­schen Digi­ta­li­sie­rung, Daten­schutz und Daten­si­cher­heit aktu­ell deut­lich in Rich­tung Daten­schutz bewegt.

Der 25.5.2018 hat viele Unter­neh­men in Auf­re­gung ver­setzt – auch abseits von Abmahn­an­wäl­ten & Co. Nach ca. zwei Mona­ten DSGVO hat sich aller­dings gezeigt, dass die Hek­tik zwar unge­bro­chen ist, bis­her aber – aus­ge­hend von der media­len Welt – noch keine kon­k­re­ten Vor­komm­nisse zu ver­zeich­nen sind. Also viel Wir­bel um nichts?

Durch die DSGVO hat sich ins­be­son­dere die Sicht­weise geän­dert – d. h. bei neuen oder beste­hen­den Pro­zes­sen wird in einem ers­ten Schritt geprüft, ob dies auch den Vor­ga­ben der DSGVO ent­spricht und damit die per­sön­li­chen Inter­es­sen eines jeden gewahrt wer­den (s. hierzu z. B. auch novus Infor­ma­ti­ons­tech­no­lo­gie 2. Aus­gabe 2018, S. 12, DSGVO vs. (Fir­men)Foto­gra­fie).

Aller­dings ist mit der DSGVO noch nicht das Ende der (Daten­schutz-)Fah­nen­stange erreicht – ein kol­lek­ti­ves „Auf­at­men“ wäre ver­früht. Denn die sog. E-Pri­vacy-Ver­ord­nung steht schon seit eini­ger Zeit in den Start­löchern und sollte bereits mit der DSGVO am 25.5.2018 in Kraft tre­ten (vgl. novus Infor­ma­ti­ons­tech­no­lo­gie 3. Aus­gabe 2017, S. 11). Diese Ver­ord­nung spe­zi­fi­ziert die DSGVO für den Online(Inter­net)-Sek­tor. Sie ersetzt dabei die E-Pri­vacy-Richt­li­nie (2002/58/EG) sowie die Coo­kie-Richt­li­nie (2009/136/EG). In der Ver­ord­nung wird u. a. das Tra­cking im Inter­net gere­gelt sowie nach gegen­wär­ti­gem Stand fest­ge­legt, dass nur noch Coo­kies, die keine Aus­wir­kun­gen auf die Pri­vat­sphäre haben, ohne Ein­wil­li­gung des Benut­zers gesetzt wer­den dür­fen. Die Ver­ord­nung gilt, wie die DSGVO, in allen Mit­g­lieds­staa­ten und unter­schei­det sich damit schon von den bis­he­ri­gen Richt­li­nien. Damit wer­den unter­schied­li­che Vor­ga­ben in den Mit­g­lieds­staa­ten aus­ge­sch­los­sen.

Die The­ma­tik Daten­schutz bleibt uns somit wei­ter­hin erhal­ten – es wird auch inter­es­sant sein, inwie­weit sich die kom­men­den Wochen und Monate vor dem Hin­ter­grund der Umset­zung der DSGVO, ent­wi­ckeln wer­den. Das zeigt auch das aktu­elle Urteil des Euro­päi­schen Gerichts­hofs in Bezug auf die geteilte Ver­ant­wor­tung des Betrie­bes von Face­book-Fan­sei­ten (vgl. novus Infor­ma­ti­ons­tech­no­lo­gie 2. Aus­gabe 2018, S. 13, Face­book-Fan­sei­ten – Nut­zen oder Mei­den).

Aspekte des Daten­schut­zes

Pro­zesse im Rah­men der Digi­ta­li­sie­rung im täg­li­chen Leben:

  • Eine Per­son bean­tragt einen neuen Per­so­nal­aus­weis.
  • Das (bio­me­tri­sche) Pass­bild wird abge­ge­ben, ein­ge­s­cannt und zurück­ge­reicht.
  • Auf die Frage, ob man das Bild nicht direkt in einem digi­ta­len For­mat zur Ver­fü­gung stel­len kann, erfolgt die Ant­wort: „Das kön­nen wir nicht ver­ar­bei­ten.“

Pro­zess­in­te­g­ra­tion – Big Data – Indu­s­trie 4.0. All das ist Digi­ta­li­sie­rung. Aber Digi­ta­li­sie­rung ist nicht E-Com­merce. Digi­ta­li­sie­rung ist die Kom­bi­na­tion von meh­re­ren Pro­zes­sen und Schrit­ten, die Trans­for­ma­tion von Infor­ma­tion und Durch­füh­rung von Kom­mu­ni­ka­tion.

Unter­neh­mens­ab­läufe wer­den durch die Digi­ta­li­sie­rung kom­p­lett geän­dert, wie sich am Bei­spiel RFID (Radio-Fre­qu­ency-Iden­ti­fi­ca­tion) zeigt. Chips die­nen der berüh­rungs­lo­sen Iden­ti­fi­ka­tion von „Din­gen“ via Radio­wel­len, kos­ten nur wenige Cents und haben die Form eines Auf­k­le­bers. RFID-Chips sind ins­be­son­dere im Bereich der Lager­lo­gis­tik sehr inter­es­sant, wenn in einem ers­ten Schritt jede Palette und im zwei­ten Schritt jeder Arti­kel mit einem sol­chen Chip aus­ge­stat­tet wird. Dadurch ist der Stand­ort jedes ein­zel­nen Arti­kels jeder­zeit bekannt ist sowie deren Menge. Dies gilt nicht nur für die Arti­kel am Lager­platz, son­dern auch für Arti­kel auf dem Trans­port­weg und führt u. a. dazu, dass jeder Arti­kel in Echt­zeit nach­ver­folgt wer­den kann, Inven­tur und Bestands­in­for­ma­tio­nen auf Knopf­druck zur Ver­fü­gung ste­hen und Lager­bu­chun­gen durch Stand­ort­ver­la­ge­run­gen (bspw. Umla­ge­run­gen oder Gefahr­über­gang zur Spe­di­tion) auto­ma­ti­siert erfol­gen.

Geschäfts­mo­delle wer­den sich radi­kal ändern. Nur wer in der IT früh­zei­tig Geschwin­dig­keit, Qua­li­tät und Ord­nungs­mä­ß­ig­keit (Com­p­li­ance) unter Berück­sich­ti­gung von IT-Sicher­heit mit­ein­an­der in Ein­klang bringt, wird am Markt beste­hen. Digi­ta­li­sie­rung beginnt bei einer Stra­te­gie. War früher eine klare IT-Stra­te­gie im Mit­tel­stand ein „Nice-To-Have“, so ist sie heute zwin­gende Vor­aus­set­zung für die Umset­zung von Geschäfts­mo­del­len. IT-Sicher­heit und IT-Com­p­li­ance sind ebenso von inte­gra­ler Bedeu­tung. Unter­neh­mens­er­folg setzt die rich­ti­gen Mit­ar­bei­ter mit der rich­ti­gen Qua­li­fi­ka­tion vor­aus!

Aspekte der Daten­si­cher­heit (Infor­ma­ti­ons- und IT-Sicher­heit)

Daten­si­cher­heit (Infor­ma­ti­ons- und IT-Sicher­heit) ist ein Thema, das nach unse­rem Gefühl immer selbst­ver­ständ­li­cher gewor­den ist. Unter­neh­men befas­sen sich damit immer inten­si­ver. Die Pro­b­le­ma­tik ist aller­dings, dass man sich zwar Gedan­ken macht, aller­dings die Umset­zung, d. h. „Wie geht Daten­si­cher­heit über­haupt?“ nicht immer erfolg­reich ist. Dies ist auch viel­fach in den dafür benö­t­ig­ten (inter­nen) Res­sour­cen begrün­det, um IT-Sicher­heit über­haupt her­zu­s­tel­len. Daher neh­men wir ver­mehrt wahr, dass Über­le­gun­gen in Rich­tung Out­sour­cing inten­si­ver wer­den. Aller­dings sollte bei der Suche nach einem geeig­ne­ten Out­sour­cing-Part­ner auch auf einen ent­sp­re­chen­den Nach­weis des siche­ren und ord­nungs­ge­mä­ßen Betriebs von IT-Sys­te­men geach­tet wer­den. Beson­ders für IT-Dienst­leis­ter im Finanz­we­sen sind mög­li­che Zer­ti­fi­zie­run­gen von ent­schei­den­der Bedeu­tung. Eine der wesent­li­chen Beschei­ni­gun­gen ist dabei eine Prü­fung und Beschei­ni­gung nach dem IDW Prü­fungs­stan­dard (PS) 951 (Die Prü­fung des inter­nen Kon­troll­sys­tems bei Dienst­leis­tungs­un­ter­neh­men). Dabei han­delt es sich um einen Prü­fungs­stan­dard, der sich mit der Beschei­ni­gung und Prü­fung inter­ner Kon­troll­sys­teme (IKS) befasst – also mit allen Maß­nah­men, die ein Unter­neh­men zur Absi­che­rung von Pro­zes­sen und Daten erg­reift. Der PS 951 ist die deut­sche Trans­for­ma­tion des inter­na­tio­na­len Prü­fungs­stan­dards ISAE 3402 „Assurance reports on con­trols at a ser­vice orga­niza­ti­on“, die US-ame­ri­ka­ni­sche Aus­prä­gung die­ses Stan­dards ist der SSAE 18 (früher SAS 70).

Fazit

Der Kampf zwi­schen Digi­ta­li­sie­rung, Daten­schutz und Daten­si­cher­heit tobt wei­ter - auch wenn der Daten­schutz in Füh­rung geht. Es wird inter­es­sant zu beo­b­ach­ten sein, ob und wie Digi­ta­li­sie­rung und Daten­si­cher­heit „zurück­schla­gen“ wer­den – auch wenn natür­lich im Dreiklang von Triple D eine The­ma­tik nicht ohne die andere betrach­tet wer­den kann.


nach oben