Grenzkontrolle für Daten?

in Advisory, 01.10.2015

Projektstopp einer Data Center-Konsolidierung, Verbot der Datenverarbeitung in einem Offshored Shared Service Center, Transportverbot nach Verlust von Patientendaten bei medizinischen Transporten oder Untersuchungen nach einem Daten-Leck, welches Kundendaten einer Bank in die Öffentlichkeit gebracht hat: Wenn erst bei Pannen die Anforderungen an die Compliance von Daten erkannt werden, ist dies nicht nur zu spät, sondern auch sehr teuer.

Compliance für Datenströme

Praktisch alle Daten, welche zwischen Unternehmen und Systemen verschoben werden, müssen heute spezifische Compliance-Anforderungen erfüllen. Die meisten Staaten sind mit ihren Gesetzen sorgsam darauf bedacht, Bürger und geistiges Eigentum (IP) zu schützen sowie sicherzustellen, dass z.B. Finanzinformationen, Export- und Steuer-relevante Informationen nicht unkontrolliert das Land verlassen oder sogar verschwinden.

Entsprechend haben die meisten Wirtschaftsräume und Länder Regulationen erlassen, welche kritische Daten einem besonderen Schutz unterstellen. Um ihren heute oftmals auf Daten basierenden, vitalen Anliegen Nachdruck zu verleihen, haben sie auch rigorose Sanktionsmechanismen gegen Verstösse verabschiedet. So kann z.B. in der EU ein Verstoss gegen den Datenschutz Bussen von bis zu 5% des Jahresumsatzes eines Unternehmens zur Folge haben.

Wie vorgehen?

  • Transparenz: Als erstes geht es darum, Transparenz zu erlangen. Hierzu ist notwendig, dass man die Datenquellen im Unternehmen erkennt und nach einem klaren Raster klassifiziert. Jede Art Daten hat hierbei ihre Spezifika: Finanzdaten bez. Aufbewahrungs- und Auskunftspflicht, Personendaten bez. lokaler Schutzanforderungen, Steuerdaten bezüglich Reporting, etc. Es empfiehlt sich daher die Verwendung von Standardrastern, welche später erlauben, die Daten-Spezifika handhaben zu können.
  • Risikoanalyse: In einem zweiten Schritt muss das Risiko der einzelnen Datenklassen sowie deren Schutzbedarf festgestellt werden.
  • Datenstromanalyse: Danach heisst es, grenzüberschreitende Datenströme zu analysieren und festzuhalten, was man in die einzelnen Länder und Wirtschaftsräume an Daten ein- und ausführen darf. Hierzu ist die genaue Kenntnis der Gesetzgebung im Land sowie der Transfer-Gesetzgebungen nötig. Vordefinierte sog. „Cross Border Data Tables“ helfen hier, rasch einen Überblick darüber zu erhalten, was möglich ist und wo Einschränkungen bestehen.
  • Compliance: Der letzte Schritt besteht darin, die Technik, die internen Vorgaben sowie die Betriebsorganisation so einzurichten, dass die Daten Compliance-konform gehalten und übertragen werden können. Das Motto lautet hier „Möglich machen statt verhindern“. Die exakte Kenntnis von Gesetz und Technik lässt in den meisten Fällen Lösungen zu, z.B. mittels Anonymisierung von Daten oder selektiven Zugriffsrechten. Experten, die in der Lage sind, Compliance Anforderungen technisch realisierbar zu machen, helfen, Verbindungen rasch und unter Einhaltung der Compliance-Anforderungen zu gestalten.

 

 

Weitere Informationen: