Die aktuellen Datenschutz-Trends lassen sich auf einen gemeinsamen Nenner bringen: Accountability. Dieses eine Wort fasst nach Einschätzung der Analysten von Ernst & Young die Quintessenz ihrer umfassenden Studie zu weltweiten Entwicklungen zusammen und berührt alle darin thematisierten Facetten, von denen die meisten einen klaren IT-Bezug haben. Allerdings tun sich die verschiedenen Autoren der englischsprachigen Studie mit dieser Zuspitzung einen Tick leichter, als das im Deutschen möglich ist. Übersetzen lässt sich die Vokabel nämlich auf mehrfache Weise. Online-Wörterbücher spucken als Alternativen Haftung und Rechenschaft ebenso aus wie Verantwortlichkeit und Zurechenbarkeit. In Abhängigkeit von der jeweiligen Problemlage passen sie abwechselnd besser und schlechter.
Bei IT-lastigen Fragen wie dem Einsatz von Data Leak Prevention (DLP), dem Einsatz von mobilen Endgeräten am Arbeitsplatz, Cyber-Risiken oder Monitoring-Tools richtet sich das Augenmerk zumeist auf Zurechenbarkeit. Wer hat wann und von wo aus auf Daten zugegriffen, womöglich in der verbrecherischen Absicht eines Diebstahls? Aus organisatorischer Perspektive geht es aber genauso darum, klare Verantwortlichkeiten für den Datenschutz zu schaffen und Mitarbeiter sowie Entscheidungsträger in die Pflicht zu nehmen. Haftungsfragen sind ebenfalls berührt, etwa wenn internationale Regelungen zum Transfer von Daten geschaffen werden.
Datenschutz-Ansatz überdenken
Unabhängig von der jeweils adäquaten Lesart gilt, was Ernst & Young den Firmen ins Stammbuch schreibt: „Es mag Jahre dauern, bis Gesetze umgesetzt werden“, schreiben die Analysten. „Aber die Konsequenzen eines Verstoßes – oder eines Fehlens von Accountability – können sofort wirksam, sichtbar und teuer sein.“
Die mit Zahlenmaterial aus anderen Untersuchungen angereicherte Studie zeichnet sich vor allen Dingen durch klare Handlungsempfehlungen aus. Zu den IT-Aspekten des Themas raten die Analysten Firmen allgemein dazu, den eigenen Datenschutz-Ansatz im Kontext der breiteren IT-Strategie zu überdenken: „Wenn Unternehmen im Rahmen einer IT-Transformation ihre alten Netzwerke, Systeme und Anwendungen upgraden und neu ausrichten, muss der Datenschutz als fundamentale Säule des Transformationsprozesses von Anfang an eingezogen sein und darf nicht erst im Nachhinein zusammengeschustert werden.“
Ernst & Young beobachtet beispielsweise, dass in vielen Ländern – allen voran von Seiten der EU – der Informationsfluss ins Ausland reguliert werden soll. Die paradoxe Beobachtung: Von staatlicher Seite werde verzweifelt versucht, erneut Grenzen einzuziehen, während die technologische Entwicklung gerade für einen schrankenlosen Datenfluss weltweit sorgt. Cloud Computing sowie Collaboration via Data Sharing zwischen Mitarbeitern und Teams an verschiedenen Standorten in aller Welt sind zwei Business-IT-Trends, die dies verschärfen.
Baustelle Mitarbeiter-Monitoring
„Technologie hat es Unternehmen aus allen Branchen und unter unterschiedlichster Gesetzgebung ermöglicht, persönliche Daten in ungeahnter Fülle elektronisch zu sammeln und zu speichern“, heißt es in der Studie. „Aber während von Business-Seite nach integrierten IT-Lösungen gerufen wird, wird das Management von Sicherheit und Datenschutz über geografische Grenzen hinweg immer schwieriger.“
Die Analysten empfehlen, sich nicht im Klein-Klein der unterschiedlichen Regularien an unterschiedlichen Standorten zu verzetteln, sondern nach ganzheitlichen Lösungen zu suchen. „Unternehmen sollten proaktiv vorwärts gerichtete Datenschutz-Management-Strategien entwickeln, die bestehende regulatorische Anforderungen und technologische Entwicklungen unter einen Hut bringen“, so die Studienautoren. Dabei gelte es auch die Natur der eigenen IT-Architektur und den möglichen Einfluss neuer Lösungen zu berücksichtigen. Manchmal seien selbst einfachste Kontrollen und Schulungen ein nützliches Instrument, um die Compliance zu erhöhen und Risiken einzudämmen.
Eine arbeitsintensive Baustelle ist nach Einschätzung von Ernst & Young das Monitoring des Umgang der Mitarbeiter mit persönlichen Daten jeglicher Art, beispielsweise Kundendaten oder Informationen über externe Partner. Nur 30 Prozent der Firmen weltweit hätten hier bereits einen Kontrollprozess implementiert. Zudem stoßen klassische Technologien hier an ihre Grenzen. Das Durchforsten der in vielen IT-Systemen vorhandenen Logbücher sei oft teuer und ineffizient, urteilen die Analysten. Tools aus dem Bereich Governance, Risk & Compliance (GRC) seien exzellent geeignet für das Monitoring von Sicherheitskontrollen, aber weniger wirksam bei datenschutzbezogenen Kontrollen.
Nichtsdestotrotz beobachten die Analysten ein wachsendes Problembewusstsein der Anwender. Auf dem Vormarsch seien beispielsweise DLP-Tools, die das Nachverfolgen von Netzwerk-Speicherorten beim kollaborativen Data Sharing erlauben. Ebenso seien Anwendungen immer stärker in Gebrauch, die die Beobachtung von Nutzerprofilen in Datenbanken ermöglichen.
Zwei Triebfedern sorgen nach Ansicht von Ernst & Young in diesem Jahr dafür, dass Firmen verstärkt in Privacy Monitoring Tools investieren: erstens das Streben, auch nach außen hin Verantwortlichkeit für den Umgang mit gesammelten Daten zu demonstrieren; zweitens die Angst vor imageschädigenden Verstößen. „Dennoch erwarten wir für 2012 noch keine Konvergenz der Systeme für IT-Sicherheit und Datenschutz-Monitoring“, heißt es in der Studie. Letzteres bleibe eine Funktionalität, die in den kommenden Jahren in die IT-Infrastruktur allmählich eingebaut werden müsse.
Vorsicht mit Flash Cookies
Insbesondere die zunehmende Nutzung von Apps für Smartphones und Tablets in den Unternehmen, Social-Media-Aktivitäten der Mitarbeiter und technologische Neuerungen wie etwa der Einsatz von Flash Cookies stellen laut Studie große Herausforderungen dar. „Firmen müssen ihre Erwartungen ans Verhalten der Mitarbeiter auf Social-Networking-Seiten klar artikulieren und alles dafür tun, dieses Verhalten auch zu beobachten“, so die Analysten. Dies sei aktuell eine vordringliche Aufgabe in kleinen und großen Firmen.
Den Gebrauch neuer Technologien mit bestehenden Datenschutz-Richtlinien in Einklang zu bringen, lautet insgesamt die Herausforderung. Beim Sammeln von Daten sei gegenüber den Kunden Transparenz gefragt. Darüber hinaus gelte: „So verlockend das Auswerten von Daten durch Cookies und Apps sein mag: Unternehmen sollten dieser Versuchung zum Schutz der eigenen Marke und um des guten Rufes willen widerstehen.“
Im Hinblick auf den Tablet-Boom rät Ernst & Young dringend dazu, das Monitoring von privaten, aber auch zur Arbeit eingesetzten Geräten der Mitarbeiter zu unterlassen. Zu Sicherheitszwängen sei die Verschlüsselung jener Bereiche des Geräts sinnvoll, auf denen Firmendaten verarbeitet werden. Ansonsten finde hier das Ziel der IT-Sicherheit seine Grenze in den Datenschutzrechten der Mitarbeiter. Denen sollte allerdings eine möglichste konkrete Liste an die Hand gegeben werden, was mit privaten Geräten am Arbeitsplatz zu tun und zu unterlassen ist.
Die Studie „Privacy Trend 2012“ ist bei Ernst & Young erhältlich.