Datenschutz ist Chefsache: Risiken begrenzen und Flexibilität bewahren

Dem Thema Datenschutz kommt im Geschäftsalltag eine besondere Bedeutung zu. Lesen Sie in diesem Blogbeitrag, warum Sie den Datenschutz zur Chefsache erklären sollten – und zwar insbesondere dann, wenn es um den elektronischen Austausch von sensiblen Informationen geht.

Gelangen vertrauliche Daten in die falschen Hände, kann das für das betroffene Unternehmen fatale Folgen haben. Insbesondere bei jeglicher Art von elektronischem Datenaustausch, ist es deshalb wesentlich, dass Sie sich optimal absichern, um den Verlust oder Diebstahl wertvoller Informationen zu verhindern.

Drei Fragen sind in diesem Zusammenhang besonders wichtig: Worauf müssen Sie beim Schutz Ihrer Daten achten? Warum ist Datensicherheit Chefsache? Unter welchen Umständen lohnt es sich, externe Spezialisten hinzuzuziehen?

Was ist Datenschutz genau?

Diese Frage beantwortet die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit mit Verweis auf unser Grundgesetz folgendermaßen:

„Das Grundgesetz gewährleistet jeder Bürgerin und jedem Bürger das Recht, über Verwendung und Preisgabe seiner persönlichen Daten zu bestimmen (Grundrecht auf informationelle Selbstbestimmung). Geschützt werden also nicht Daten, sondern die Freiheit der Menschen, selbst zu entscheiden, wer was wann und bei welcher Gelegenheit über sie weiß.“

Voraussetzung für Datenschutz ist Datensicherheit

Wie lässt sich Datenschutz gewährleisten? Indem man Datensicherheit durch eine geeignete Infrastruktur und die Sensibilisierung der beteiligten Personen schafft. Datensicherheit stellt man her, indem man es sehr schwer macht, dass Daten gestohlen werden. Darunter werden alle Maßnahmen zusammengefasst, die den illegalen Zugriff auf fremde Daten ermöglichen.

Sicherung von Haus oder Wohnung

Ganz praktisch lässt sich das aus dem Beispiel der Sicherungsmaßnahmen für Haus oder Wohnung ableiten: Es gibt technische Sicherungsmaßnahmen, wie zum Beispiel solide Fenster und Türen, die mit Schlössern versehen sind. Wenn Sie noch mehr Schutz suchen, sorgen Sie möglicherweise auch noch mit einer speziellen Fenster-Verglasung, mit Panzerriegeln oder mit einer Alarmanalage für zusätzliche Sicherheit. Allerdings ist die Technik nur eine Komponente. Das beste Panzerglas hilft nicht, wenn das Fenster versehentlich offen gelassen wurde, oder wenn der Schlüssel zur Sicherheitstür unter dem Fußabstreifer liegt.

Sicherheit für Ihre EDV und die gespeicherten Daten

Ähnlich sieht es mit Ihren Schutzmaßnahmen für den Zugang zu Computer oder Smartphone aus. Auch hier verwenden Sie Schlüssel in Form von Passwörtern, um unbefugten Personen den Zugang zu Ihren persönlichen Daten zu verwehren. Mit einer Antivirus-Software sorgen Sie für zusätzlichen Schutz vor externen Eindringlingen. Möglich sind auch biometrische Verfahren, Codekarten oder Kombinationen daraus, die den Zugang für Unbefugte erschweren. Allerdings gilt auch hier, dass die beste Technik nichts hilft, wenn ein Mitarbeiter eine Notiz mit seinem Passwort unter der Tastatur kleben hat.

Sicherheit ist Chefsache – Shitstorm vermeiden

Wenn Sie sich und Ihre Kunden vor dem unbefugten Zugriff auf sensible Daten durch Dritte schützen möchten, sollten Sie dem Thema Datensicherheit oberste Priorität einräumen. Datenschutz ist Chefsache, und er kann nur gelingen, wenn die Unternehmensführung entsprechende Maßnahmen trifft. Nur wenn der Datenschutz sinnvoll in die Unternehmensstrategie integriert wird und auch geeignete Kontrollmaßnahmen eingeführt sind, kann sichergestellt werden, dass alle Beteiligten die erforderlichen Sicherheitsrichtlinien berücksichtigen.

Ist das nicht der Fall – zum Beispiel, weil durch Unachtsamkeit die Privatsphäre der Kunden verletzt wird –, kann das fatale Folgen haben. Der Reputationsverlust für ein Unternehmen, das leichtfertig mit den Daten seiner Kunden umgeht, ist gravierend, und schlimmstenfalls kann ein solches Verhalten in den finanziellen Ruin führen.

Je nach Brisanz der Sicherheitslücke ist es mit der Empörung einzelner Kunden nicht getan: Die virale Verbreitung von Informationen über das Internet wirkt schnell als Multiplikator, und uns allen sind aus jüngster Vergangenheit Fälle bekannt, in denen sogenannte Shitstorms die Unternehmenskommunikations-Abteilungen etablierter Konzerne ins Wanken brachten. Zwar wächst durch die Flut an Informationen auch schnell wieder Gras über brisante Themen, doch bleibt oft ein negativer Nachgeschmack, wenn Kundenvertrauen durch Fehlverhalten missbraucht wurde. Wenn es um die Sicherheit von Daten geht, geht es auch um Vertrauen und Zuverlässigkeit: Grundlegende Werte, die Sie als Unternehmen nicht verletzen wollen.

Insbesondere, wenn Ihr Unternehmen sensible elektronische Daten mit externen Partnern austauscht, gelten diese Empfehlungen in ganz besonderem Maße. Datenschutz muss Chefsache sein, und um sicherheitsrelevante Zwischenfälle von Vornherein auszuschließen, ist es wesentlich, dem Thema Datensicherheit als Teil der Unternehmensstrategie oberste Priorität einzuräumen. Konkret bedeutet das, dass sämtliche Fragen zur Umsetzung sicherheitsrelevanter Maßnahmen auf Entscheider-Ebene geklärt werden sollten – zum Beispiel, ob die Umsetzung des elektronischen Datenaustausches (EDI) in Eigenregie oder über einen externen Dienstleister erfolgen wird.

Sicherheit im eigenen Rechenzentrum oder über einen Dienstleister?

Wenn Sie eine eigene IT-Infrastruktur nutzen und ein On-Premise Rechenzentrum betreiben, dürften Sie gemeinsam mit den entsprechenden Spezialisten sicherstellen, dass dessen Betrieb und die Erfordernisse des Datenschutzes miteinander zusammenarbeiten. Ganz gleich, ob Sie dafür Ihre eigenen Mitarbeiter beschäftigen oder einen externen Dienstleister mit dieser Aufgabe betrauen – wichtig ist, dass alle notwendigen Sicherheitsmaßnahmen ergriffen wurden, dass ein kontinuierliches Monitoring stattfindet und die Standards auf dem neuesten Stand gehalten werden.

Wenn Sie keine eigene IT-Infrastruktur besitzen und auf das Rechenzentrum eines Dienstleisters vertrauen, müssen Sie sicherstellen, dass Sie mit einem zuverlässigen Partner kooperieren, der alle notwendigen Sicherheitsvorschriften erfüllt. Dabei ist es entscheidend, dass dieser Service rund um die Uhr zur Verfügung steht. Nur so kann optimaler Datenschutz sichergestellt werden, denn in Störfällen kann die unmittelbare und kompetente Reaktion auf Probleme entscheidend sein. Datenklau macht am Wochenende keine Pause – im Gegenteil. Und welcher Mittelständler will seine IT-Mitarbeiter rund um die Uhr bezahlen?

Elektronischen Datenaustausch durch einen sorgfältig ausgewählten Partner abwickeln lassen

Wenn Ihr Unternehmen jetzt oder zukünftig elektronischen Datenaustausch von sensiblen Prozessen (wie Bestellungen, Lieferavisierungen, Rechnungen oder auch technische Daten) mit Geschäftspartnern durchführt, dann erhält der Datenschutz eine noch größere Bedeutung und es stellt sich die Frage, ob diese in Eigenregie wirklich vernünftig und mit wirtschaftlich vertretbaren Mitteln abgesichert werden kann.

Beim Austausch sensibler elektronischer Daten ist immer auf Vertraulichkeit (z.B verschlüsselte Übertragung, kein Zugriff unberechtigter Personen auf Datei-Inhalte), Verfügbarkeit (wurden alle relevanten EDI Daten wie z.B. lebenswichtige Bestellungen auch übertragen?) sowie die Integrität der Daten (z.B. Vollständigkeit und Korrektheit der EDI Daten) zu achten.

Dies erfordert sowohl umfassende technische, wie auch organisatorische Maßnahmen. Sicherheitskonzepte wie Hochverfügbarkeit, Desaster & Recovery, Backup & Restore, Replikation zwischen den Rechenzentren und ein einheitlicher Virenschutz müssen umgesetzt werden. Ebenfalls sind Firewall-Cluster, Virtualisierungsinfrastruktur, Network Intrusion Detection/Prevention und Antivirus-Lösungen, durch regelmäßige Risikobewertungen an die sich stetig ändernde Bedrohungslage anzupassen.

Sensible Daten, wie z.B. personenbezogene Daten sind darüber hinaus gemäß gesetzlicher Vorgaben besonders zu schützen. Der Austausch solcher sensibler Daten darf nur über Systeme und Protokolle (z.B. spezielle Portalanwendungen) erfolgen, die den strengen Sicherheitsanforderungen genügen. Darüber hinaus sind die Kontrolle und der Nachweis der Wirksamkeit solcher Maßnahmen durch externe Prüfungen nach internationalen Normen (z.B. ISO 27001) sowie eine regelmäßige Überprüfung der Sicherungsmaßnahmen durch z.B. Penetration Tests eine wesentliche Anforderung an einen Dienstleister.

Sollten Sie feststellen, dass Sie die notwendigen und spezialisierten Ressourcen nicht intern zur Verfügung stellen können, ist die Auswahl eines geeigneten und zuverlässigen Partners die Voraussetzung für eine erfolgreiche Realisierung des sicheren elektronischen Datenaustauschs. Grundsätzlich sollte auch diese Entscheidung unter Zuhilfenahme interner IT-Experten auf oberster Führungsebene diskutiert werden, denn vergessen Sie nicht: Es geht um Datenschutz und damit auch um den guten Ruf Ihres Unternehmens.

Wenn Sie für Ihr Unternehmen und Ihre Ausgangssituation untersuchen möchten, welche fünf Grundsätze ein Dienstleister zur Gewährleistung eines professionellen elektronischen Datentransfers leisten muss, dann überlassen wir Ihnen unseren EDI-Ratgeber kostenlos und ohne weitere Verpflichtungen. Wir haben einige Jahrzehnte an Erfahrung und Praxiswissen ansammeln dürfen und wollen es gerne mit Ihnen teilen. Falls Sie uns eine Rückmeldung dazu geben wollen, nutzen Sie gerne die Kommentarfunktion in unserem Blog.

Krisenmanagement – und was tun, wenn es doch einmal problematisch wird?

Wenn Ihre Schutzmaßnahmen doch einmal versagt haben, ist es wichtig, ein professionelles Krisenmanagement zu betreiben, um die schnellstmögliche Wiederherstellung der Datensicherheit zu gewährleisten und entstandene Schäden unmittelbar zu beheben.

Profis wissen, dass man dafür einen Notfallplan griffbereit hat, der jederzeit umsetzbar ist. Das bedeutet, dass Krisenmanagement nicht erst nach Eintreten des Krisenfalls ein Thema sein darf. Ganz im Gegenteil: Beginnen Sie möglichst früh mit gutem und wirkungsvollen Krisenmanagement und identifizieren Sie so früh wie möglich potenzielle Krisenfälle. Ermitteln Sie bereits im Vorfeld Lösungswege, wie etwaige Schäden im Ernstfall minimiert werden sollen. Bestenfalls spielen Sie verschiedene Worst Case-Szenarien durch, sodass Ihr Personal im Fall der Fälle schnell und professionell reagieren wird.

Derartige Trainings und Pläne können Sie mit dem Vorgehen der Feuerwehr vergleichen, die auch immer wieder den Ernstfall probt, um angemessen agieren zu können, wenn Hilfe benötigt wird. Der bundesweite Katastrophenschutz, der ebenfalls auf einem Katastrophenmanagement-Zyklus basiert, ließe sich ohne Weiteres auf die Vorgehensweise in Unternehmen übertragen.

Krisenkommunikation vorbereiten, Shitstorms vermeiden

Auch für die Unternehmenskommunikation sollte ein Notfallplan vorliegen. Kaum etwas könnte mehr Brennstoff für schlechte Publicity bieten als unüberlegte Reaktionen auf einen sicherheitsrelevanten Störfall. Bereiten Sie Ihr Kommunikations-Team darauf vor, im Ernstfall eine überlegte und sinnvolle Außenkommunikation zu betreiben, indem Sie vorab Strategien für solche Fälle entwickeln und Maßnahmenpläne bereithalten. Im besten Fall in Zusammenarbeit mit den involvierten Mitarbeitern, damit diese alle notwendigen Informationen kennen und umsetzen können. Auf diese Weise wird es möglich, Shitstorms zu vermeiden und die Durchlässigkeit des Internets bestenfalls sogar ins Positive umzukehren. Dass dies mit einer unüberlegten Ad hoc-Aktion im Krisenfall kaum gelingen kann, versteht sich von selbst.

Wenn Sie alles richtig machen, ist Ihre Vorsorge so gut, dass Sie Krisen dadurch effektiv vermeiden.

Krisen vorbeugen durch Outsourcing, wenn interne Kompetenzen rar sind

Das Outsourcing von Leistungen an Spezialisten ist sinnvoll, um Krisen effektiv vorzubeugen. Nur mit riesigen Aufwänden erreichen Mittelständler eine dauerhaft dichte und sichere IT-Infrastruktur. Immer schnellere Entwicklungen auf der „dark side“ der Digitalisierung in Verbindung mit immer größeren Anforderungen der Kunden an Servicequalität führen die Unternehmens-IT an die Grenzen der eigenen Leistungsfähigkeit.

Dies gilt insbesondere auch für die Absicherung des elektronischen Datenaustausches (EDI). Der Mittelstand ist hier mit einem Eigenbetrieb schnell überfordert.

Finden Sie ganz einfach heraus, ob die fünf Grundsätze für erfolgreiches und sicheres EDI für Sie hilfreich sind. Um zu entscheiden, ob Sie Ihren elektronischen Datenaustausch im eigenen Hause realisieren oder ob ein Outsourcing an einen professionellen Dienstleister mit vorhandener Infrastruktur die bessere Lösung ist, müssen Sie sich nur hier eintragen, dann erhalten Sie unser E-Book kostenlos zum Download.