de en
Nexia Ebner Stolz

Wirtschaftsprüfung

Triple D - Aktuelles aus dem Spannungsfeld zwischen Digitalisierung, Datenschutz und Datensicherheit

Im no­vus In­for­ma­ti­ons­tech­no­lo­gie II. 2017 hat­ten wir be­reits einen klei­nen Aus­blick auf die drei al­les be­herr­schen­den Kern­the­men, die je­des Un­ter­neh­men und je­den Prüfer der­zeit be­schäfti­gen, ge­ge­ben: Di­gi­ta­li­sie­rung – Da­ten­schutz – Da­ten­si­cher­heit.

Da­bei ha­ben wir fest­ge­stellt, dass Di­gi­ta­li­sie­rung die Welt und da­mit auch die (nicht nur) di­gi­tale Ri­si­ko­lage verändert. Gleich­zei­tig gilt es ein neues Gleich­ge­wicht zwi­schen den Möglich­kei­ten der Di­gi­ta­li­sie­rung und den An­for­de­run­gen an die Da­ten­si­cher­heit und den Da­ten­schutz zu fin­den.

Triple D - Aktuelles aus dem Spannungsfeld zwischen Digitalisierung, Datenschutz und Datensicherheit© Thinkstock

Aspekte des Datenschutzes

Die Da­ten­schutz­grund­ver­ord­nung (DS­GVO), in Kraft ge­tre­ten am 25.5.2018, sorgt dafür, dass sich das Pen­del zwi­schen Di­gi­ta­li­sie­rung, Da­ten­schutz und Da­ten­si­cher­heit ak­tu­ell deut­lich in Rich­tung Da­ten­schutz be­wegt.

Der 25.5.2018 hat viele Un­ter­neh­men in Auf­re­gung ver­setzt – auch ab­seits von Ab­mahn­anwälten & Co. Nach ca. zwei Mo­na­ten DS­GVO hat sich al­ler­dings ge­zeigt, dass die Hek­tik zwar un­ge­bro­chen ist, bis­her aber – aus­ge­hend von der me­dia­len Welt – noch keine kon­kre­ten Vor­komm­nisse zu ver­zeich­nen sind. Also viel Wir­bel um nichts?

Durch die DS­GVO hat sich ins­be­son­dere die Sicht­weise geändert – d. h. bei neuen oder be­ste­hen­den Pro­zes­sen wird in einem ers­ten Schritt geprüft, ob dies auch den Vor­ga­ben der DS­GVO ent­spricht und da­mit die persönli­chen In­ter­es­sen ei­nes je­den ge­wahrt wer­den (s. hierzu z. B. auch no­vus In­for­ma­ti­ons­tech­no­lo­gie 2. Aus­gabe 2018, S. 12, DS­GVO vs. (Fir­men)Fo­to­gra­fie).

Al­ler­dings ist mit der DS­GVO noch nicht das Ende der (Da­ten­schutz-)Fah­nen­stange er­reicht – ein kol­lek­ti­ves „Auf­at­men“ wäre verfrüht. Denn die sog. E-Pri­vacy-Ver­ord­nung steht schon seit ei­ni­ger Zeit in den Startlöchern und sollte be­reits mit der DS­GVO am 25.5.2018 in Kraft tre­ten (vgl. no­vus In­for­ma­ti­ons­tech­no­lo­gie 3. Aus­gabe 2017, S. 11). Diese Ver­ord­nung spe­zi­fi­ziert die DS­GVO für den On­line(In­ter­net)-Sek­tor. Sie er­setzt da­bei die E-Pri­vacy-Richt­li­nie (2002/58/EG) so­wie die Coo­kie-Richt­li­nie (2009/136/EG). In der Ver­ord­nung wird u. a. das Tracking im In­ter­net ge­re­gelt so­wie nach ge­genwärti­gem Stand fest­ge­legt, dass nur noch Coo­kies, die keine Aus­wir­kun­gen auf die Pri­vat­sphäre ha­ben, ohne Ein­wil­li­gung des Be­nut­zers ge­setzt wer­den dürfen. Die Ver­ord­nung gilt, wie die DS­GVO, in al­len Mit­glieds­staa­ten und un­ter­schei­det sich da­mit schon von den bis­he­ri­gen Richt­li­nien. Da­mit wer­den un­ter­schied­li­che Vor­ga­ben in den Mit­glieds­staa­ten aus­ge­schlos­sen.

Die The­ma­tik Da­ten­schutz bleibt uns so­mit wei­ter­hin er­hal­ten – es wird auch in­ter­es­sant sein, in­wie­weit sich die kom­men­den Wo­chen und Mo­nate vor dem Hin­ter­grund der Um­set­zung der DS­GVO, ent­wi­ckeln wer­den. Das zeigt auch das ak­tu­elle Ur­teil des Eu­ropäischen Ge­richts­hofs in Be­zug auf die ge­teilte Ver­ant­wor­tung des Be­trie­bes von Fa­ce­book-Fan­sei­ten (vgl. no­vus In­for­ma­ti­ons­tech­no­lo­gie 2. Aus­gabe 2018, S. 13, Fa­ce­book-Fan­sei­ten – Nut­zen oder Mei­den).

Aspekte des Datenschutzes

Pro­zesse im Rah­men der Di­gi­ta­li­sie­rung im tägli­chen Le­ben:

  • Eine Per­son be­an­tragt einen neuen Per­so­nal­aus­weis.
  • Das (bio­me­tri­sche) Pass­bild wird ab­ge­ge­ben, ein­ge­scannt und zurück­ge­reicht.
  • Auf die Frage, ob man das Bild nicht di­rekt in einem di­gi­ta­len For­mat zur Verfügung stel­len kann, er­folgt die Ant­wort: „Das können wir nicht ver­ar­bei­ten.“
Pro­zess­in­te­gra­tion – Big Data – In­dus­trie 4.0. All das ist Di­gi­ta­li­sie­rung. Aber Di­gi­ta­li­sie­rung ist nicht E-Com­merce. Di­gi­ta­li­sie­rung ist die Kom­bi­na­tion von meh­re­ren Pro­zes­sen und Schrit­ten, die Trans­for­ma­tion von In­for­ma­tion und Durchführung von Kom­mu­ni­ka­tion.

Un­ter­neh­mens­abläufe wer­den durch die Di­gi­ta­li­sie­rung kom­plett geändert, wie sich am Bei­spiel RFID (Ra­dio-Fre­quency-Iden­ti­fi­ca­tion) zeigt. Chips die­nen der berührungs­lo­sen Iden­ti­fi­ka­tion von „Din­gen“ via Ra­dio­wel­len, kos­ten nur we­nige Cents und ha­ben die Form ei­nes Auf­kle­bers. RFID-Chips sind ins­be­son­dere im Be­reich der La­ger­lo­gis­tik sehr in­ter­es­sant, wenn in einem ers­ten Schritt jede Pa­lette und im zwei­ten Schritt je­der Ar­ti­kel mit einem sol­chen Chip aus­ge­stat­tet wird. Da­durch ist der Stand­ort je­des ein­zel­nen Ar­ti­kels je­der­zeit be­kannt ist so­wie de­ren Menge. Dies gilt nicht nur für die Ar­ti­kel am La­ger­platz, son­dern auch für Ar­ti­kel auf dem Trans­port­weg und führt u. a. dazu, dass je­der Ar­ti­kel in Echt­zeit nach­ver­folgt wer­den kann, In­ven­tur und Be­standsin­for­ma­tio­nen auf Knopf­druck zur Verfügung ste­hen und La­ger­bu­chun­gen durch Stand­ort­ver­la­ge­run­gen (bspw. Um­la­ge­run­gen oder Ge­fahrüberg­ang zur Spe­di­tion) au­to­ma­ti­siert er­fol­gen.

Ge­schäfts­mo­delle wer­den sich ra­di­kal ändern. Nur wer in der IT frühzei­tig Ge­schwin­dig­keit, Qua­lität und Ord­nungsmäßig­keit (Com­pli­ance) un­ter Berück­sich­ti­gung von IT-Si­cher­heit mit­ein­an­der in Ein­klang bringt, wird am Markt be­ste­hen. Di­gi­ta­li­sie­rung be­ginnt bei ei­ner Stra­te­gie. War früher eine klare IT-Stra­te­gie im Mit­tel­stand ein „Nice-To-Have“, so ist sie heute zwin­gende Vor­aus­set­zung für die Um­set­zung von Ge­schäfts­mo­del­len. IT-Si­cher­heit und IT-Com­pli­ance sind ebenso von in­te­gra­ler Be­deu­tung. Un­ter­neh­mens­er­folg setzt die rich­ti­gen Mit­ar­bei­ter mit der rich­ti­gen Qua­li­fi­ka­tion vor­aus!

Aspekte der Datensicherheit (Informations- und IT-Sicherheit)

Da­ten­si­cher­heit (In­for­ma­ti­ons- und IT-Si­cher­heit) ist ein Thema, das nach un­se­rem Gefühl im­mer selbst­verständ­li­cher ge­wor­den ist. Un­ter­neh­men be­fas­sen sich da­mit im­mer in­ten­si­ver. Die Pro­ble­ma­tik ist al­ler­dings, dass man sich zwar Ge­dan­ken macht, al­ler­dings die Um­set­zung, d. h. „Wie geht Da­ten­si­cher­heit über­haupt?“ nicht im­mer er­folg­reich ist. Dies ist auch viel­fach in den dafür benötig­ten (in­ter­nen) Res­sour­cen begründet, um IT-Si­cher­heit über­haupt her­zu­stel­len. Da­her neh­men wir ver­mehrt wahr, dass Über­le­gun­gen in Rich­tung Out­sour­cing in­ten­si­ver wer­den. Al­ler­dings sollte bei der Su­che nach einem ge­eig­ne­ten Out­sour­cing-Part­ner auch auf einen ent­spre­chen­den Nach­weis des si­che­ren und ord­nungs­gemäßen Be­triebs von IT-Sys­te­men ge­ach­tet wer­den. Be­son­ders für IT-Dienst­leis­ter im Fi­nanz­we­sen sind mögli­che Zer­ti­fi­zie­run­gen von ent­schei­den­der Be­deu­tung. Eine der we­sent­li­chen Be­schei­ni­gun­gen ist da­bei eine Prüfung und Be­schei­ni­gung nach dem IDW Prüfungs­stan­dard (PS) 951 (Die Prüfung des in­ter­nen Kon­troll­sys­tems bei Dienst­leis­tungs­un­ter­neh­men). Da­bei han­delt es sich um einen Prüfungs­stan­dard, der sich mit der Be­schei­ni­gung und Prüfung in­ter­ner Kon­troll­sys­teme (IKS) be­fasst – also mit al­len Maßnah­men, die ein Un­ter­neh­men zur Ab­si­che­rung von Pro­zes­sen und Da­ten er­greift. Der PS 951 ist die deut­sche Trans­for­ma­tion des in­ter­na­tio­na­len Prüfungs­stan­dards ISAE 3402 „As­surance re­ports on con­trols at a ser­vice or­ga­niza­tion“, die US-ame­ri­ka­ni­sche Ausprägung die­ses Stan­dards ist der SSAE 18 (früher SAS 70).

Fazit

Der Kampf zwi­schen Di­gi­ta­li­sie­rung, Da­ten­schutz und Da­ten­si­cher­heit tobt wei­ter - auch wenn der Da­ten­schutz in Führung geht. Es wird in­ter­es­sant zu be­ob­ach­ten sein, ob und wie Di­gi­ta­li­sie­rung und Da­ten­si­cher­heit „zurück­schla­gen“ wer­den – auch wenn natürlich im Drei­klang von Tri­ple D eine The­ma­tik nicht ohne die an­dere be­trach­tet wer­den kann.

nach oben