Ein Schiedsrichter für die IT-Sicherheit

Wirksamer Datenschutz fällt vielen Unternehmen schwerer als sie denken

Keyfacts

  • Unternehmen drohen Sanktionen bei fehlendem IT-Compliance-Programm.
  • Kunden wünschen sich Aufklärung über Nutzung ihrer Daten.
  • Managementsystem kann IT-Sicherheit gewährleisten.
Lars Essers
  • Senior Manager Audit Assurance
Mehr über meine Themen Nachricht schreiben

„Natürlich geht mein Unternehmen sorgsam mit Daten um.“ Viele Firmen fühlen sich im Hinblick auf den Datenschutz auf der sicheren Seite. Doch bei genauerer Überprüfung stellt sich schnell heraus, dass teilweise recht sorglos mit den Daten umgegangen wird. Meiner Meinung nach, gibt es noch viel Handlungsbedarf, was den rechtssicheren Umgang mit Daten angeht.

Reputationsverlust durch Verletzung der IT-Compliance

Bei der Suche nach passenden Bewerbern beispielsweise gibt es oft Schnittstellen zu sozialen Netzwerken. Eine solche Öffnung nach außen unter Nutzung externer Plattformen birgt datenschutzrechtliche Risiken. Ähnlich verhält es sich mit dem Wunsch vieler Unternehmen, immer mehr Daten über ihre Kunden zu sammeln, etwa über Bonus- oder Gutscheinprogramme. Diese Daten werden dann gezielt für Werbezwecke genutzt. In diesem Bereich fordern die Kunden aber zunehmend ihre Rechte ein. Sie wollen wissen, was genau mit ihren Daten geschieht. Wer hier Fehler macht, riskiert einen nachhaltigen Reputationsverlust.

Wettbewerbsfähigkeit steht auf dem Spiel

Und nicht nur das Vertrauen der Kunden setzt man bei einer Verletzung der IT-Regeln aufs Spiel – auch der Gesetzesgeber wird in diesem Fall auf das Unternehmen aufmerksam. Denn wer Umsetzungsfristen zur IT-Sicherheit versäumt oder wider besseren Wissens falsch handelt, kann schnell mit dem Gesetz in Konflikt geraten. Das kann richtig teuer werden – und sogar zum Verlust der eigenen Wettbewerbsfähigkeit führen.

Optimierung der internen Abläufe im Hinblick auf IT-Sicherheit

Die Ausführungen zeigen: Das Bewusstsein für IT-Sicherheit sollte bei den Unternehmen nicht erst durch einen Vorfall geschärft werden – denn dann ist es oft zu spät. Es braucht ein klares Management der Verarbeitung von personenbezogenen Daten über sämtliche IT-Systeme des Unternehmens hinweg. Interne Abläufe sollten im Hinblick auf die Nutzung von IT-Technologien analysiert werden, um Datenvertraulichkeit, -integrität und -verfügbarkeit sicherzustellen.

Doch wie gelingt es den Unternehmen eine wirksame IT-Compliance erfolgreich zu implementieren, um sowohl den Kunden als auch den Gesetzesgeber auf ihrer Seite zu haben?

Lücke zwischen Ist und Soll schließen

Um die IT-Sicherheit in seinem Unternehmen zu gewährleisten, empfiehlt sich im ersten Schritt die Konzeption eines Zielbildes: Wie muss mein Unternehmen strukturiert sein, damit es den Anforderungen an die unternehmensinterne IT-Sicherheit gerecht wird?

Hierbei ist es entscheidend, zunächst die Ist-Situation im Unternehmen aufzunehmen und ein gewünschtes Soll-Konzept zu erarbeiten. Die Lücke, die zwischen Soll und Ist klafft, gilt es in einer Umsetzungsphase zu schließen und die ergriffenen Maßnahmen abschließend in ein Überwachungskonzept zu überführen. Risiken in Bezug auf die in die Unternehmensprozesse eingebetteten IT-Anwendungen und die erzeugten Datenströme müssen identifiziert, bewertet und über ein IT-Compliance-Programm angemessen sowie wirksam gesteuert werden.

Löschkonzepte für Kundendaten entwickeln

In Bezug auf die Kundendaten gilt es, dem Betroffenen jederzeit Auskunft über den Verbleib seiner Daten geben zu können. Zudem sind auf Unternehmensseite unbedingt Löschkonzepte zu etablieren, die anlassbezogen eine vollständige Eliminierung der personenbezogenen Daten in sämtlichen Speichermedien des Unternehmens möglich machen.Keine leichte Aufgabe, denn das heißt zum Beispiel, dass Mitarbeiter keine Kundendaten auf ihre Rechner kopieren dürfen.

Proaktiv handeln, um Sanktionen zu vermeiden

Nur wer proaktiv handelt und Dokumentation, Implementierung und Betrieb von organisatorischen Sicherungsmaßnahmen auf Grundlage von zu erfüllenden Kriterien nachweisen kann, entgeht Strafzahlungen und anderen Sanktionen. Oder anders gesagt: Auf der sicheren Seite sind die Unternehmen, die ein angemessenes und wirksames IT-Compliance-Managementsystem etabliert haben.

Sie möchten mehr über IT-Compliance in Unternehmen erfahren? Laden Sie sich hier das CGO-Magazin herunter.

Lars Essers
  • Senior Manager Audit Assurance
Mehr über meine Themen Nachricht schreiben

CGO – das Governance-Magazin. Risiken, die neuen Chancen.

Risiken – wie man sich vor ihnen schützt und sie nutzt.

Magazin herunterladen

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.