IT-Sicherheit, GDPR und Datenschutz. All dies sind Begriffe, die häufig in den Medien und in der Geschäftswelt auftauchen. Aber was ist das eigentlich? Und wie können Sie als Unternehmen sicherstellen, dass Ihr Ansatz in Bezug auf die DSGVO zu einem Wettbewerbsvorteil und nicht zu einem Risikofaktor wird?
Lassen Sie uns zunächst beschreiben, worum es bei diesen Begriffen geht. Umgangssprachlich wird der allgemeine Begriff "Compliance" häufig verwendet, wenn Daten- oder Sicherheitsregeln und -maßnahmen beschrieben werden. Regeln, von denen wir wissen, dass es sie aus einem bestimmten Grund gibt, aber in manchen Fällen wissen wir nicht wirklich, warum. Compliance ist in diesem Sinne ein ziemlich guter Begriff, der auch als "in voller Übereinstimmung mit den geltenden Vorschriften" formuliert werden kann.
Letztes Jahr war das Thema Compliance in aller Munde. Und wie bei all den Polemiken über IT-Sicherheit um die Jahrtausendwende waren viele im Zweifel, ob die Allgemeine Datenschutzverordnung (GDPR) die Unternehmenslandschaft schwer belasten und die Dinge nach dem 25. Mai 2018, an dem die Vorschriften in Kraft traten, zum Erliegen bringen würde.
Wie bei der Jahrtausendfrage ist die Geschäftswelt nicht zusammengebrochen, aber natürlich müssen wir uns darüber im Klaren sein, dass die neue Realität mit erhöhten Risiken für die Unternehmen verbunden ist, zum Beispiel im Zusammenhang mit mangelnder Datensicherheit. Andererseits haben die strengeren Vorschriften in verschiedenen Bereichen und die stärkere Konzentration auf die Einhaltung der Vorschriften auch Möglichkeiten zur Schaffung weiterer Wettbewerbsvorteile geschaffen.
Ein Wettbewerbsvorteil
Aber wie kann die Einhaltung von Vorschriften ein Wettbewerbsvorteil sein? Zum Beispiel dann, wenn Ihr Unternehmen Lieferanten und Partner auswählt, die neue oder überarbeitete Vorschriften einhalten oder sogar ein höheres Sicherheitsniveau bieten als vorgeschrieben. Dies gilt insbesondere dann, wenn Sie Cloud-basierte / SaaS solutions kaufen, die den Rechtsvorschriften für die neue IT-Realität entsprechen.
Das bedeutet zum Beispiel, dass Sie - vorausgesetzt, der SaaS-Anbieter ist auf dem neuesten Stand - schnell in Märkten tätig werden können, in denen es schwierig sein könnte, die lokalen Auslegungen der internationalen Vorschriften einzuhalten, wie im Fall der DSGVO. Diese können von Land zu Land sehr unterschiedlich sein. Tatsache ist auch, dass die meisten Unternehmen es vorziehen, mit Lieferanten und Partnern zusammenzuarbeiten, die über entsprechende Sicherheitsvorkehrungen verfügen. Mit anderen Worten: Wenn Sie bei Ihren Lieferanten und Partnern, insbesondere bei den wichtigsten Partnern, ein hohes Maß an IT-Sicherheit nachweisen können, dann gibt es Fälle, in denen Sie sich diese Tatsache in Verkaufssituationen zunutze machen können.
Wählen Sie den richtigen Anbieter
Wenn Sie sich für einen Anbieter von Cloud-Software entscheiden, ist es sehr wichtig, mit jemandem zusammenzuarbeiten, der über die notwendigen Ressourcen zur Sicherung Ihrer Daten verfügt. Natürlich gibt es Kategorien und Geschäftsbereiche, die angesichts der Art der verarbeiteten Daten kritischer sind als andere. Es ist jedoch sehr wichtig, dass Sie Ihr Unternehmen in allen Bereichen, in denen Sie Daten extern verarbeiten, vollständig abdecken.
Daher wird dringend empfohlen, dass Sie individuelle Datenverarbeitungsverträge (DPA) abschließen, die den für die Länder, in denen Sie tätig sind, geltenden Vorschriften und Auslegungen entsprechen. Verschiedene Standards und Zertifizierungen können eine Orientierungshilfe sein, wenn Sie sicherstellen wollen, dass der von Ihnen gewählte Anbieter die geltenden Regeln, Gesetze und soliden IT-Praktiken einhält. Die besten SaaS-Anbieter werden Ihnen jedoch die Möglichkeit bieten, im Vorfeld eine umfassende Vereinbarung über die Datenverarbeitung (DPA) abzuschließen. Vergessen Sie das nicht.
Einige Anbieter gehen sogar noch weiter und lassen sich nach ISAE 3402 Typ II zertifizieren. Dies kann zum einen eine direkte Reaktion auf Forderungen von Kunden und Geschäftspartnern sein, zum anderen aber auch darauf zurückzuführen sein, dass das Unternehmen dem Markt ein Signal hoher Glaubwürdigkeit geben möchte. Diese spezielle Zertifizierung ist ein internationaler Standard für IT-Dienstleister, bei denen ein hohes Maß an Sicherheit und Kontrolle erforderlich ist. Dies ist besonders in sensiblen Branchen wie dem Banken- und Finanzwesen, der Telekommunikation oder dem öffentlichen Sektor wichtig. Mit dieser Zertifizierung wird sichergestellt, dass der Anbieter die Verantwortung für die Sicherung der "Cloud"-Infrastruktur anhand von Parametern - einschließlich der Datensicherheit - wahrnimmt.
Unsere abschließende Empfehlung lautet, dass Sie den Ansatz potenzieller Anbieter zur Datensicherheit so früh wie möglich in Ihrer Recherchephase gründlich untersuchen sollten. Dies kann Ihnen später im Kaufprozess Zeit und Ressourcen sparen. Dies ist ein banaler Ratschlag, aber vielleicht der wichtigste.
