Data Security: Wie Sie Compliance zum Enabler Ihres Business machen

Bevor wir darüber sprechen, wie Sie Ihre Data Security so organisieren, dass Sie Ihre Datenbemühungen nicht sabotiert, lassen Sie uns kurz den Begriff klären. Denn Data Security wird in unterschiedlichen Bedeutungen verwendet.

Wenn wir über Data Security sprechen, meinen wir nicht nur einzelne Sicherungsmaßnahmen zum Schutz von Daten: wir sprechen über sämtliche Maßnahmen, die zur Informationssicherheit und Compliance von Daten beitragen. Cyber-Security-Maßnahmen sind hier nur ein Baustein von vielen.

Data & Analytics, die strategische Auswertung von Daten für die Optimierung von Prozessen und Geschäftsmodellen, ist das zentrale Transformationsthema dieses Jahrzehnts. Dabei rückt die Data Security immer stärker in den Fokus: In der Studie „Data, BI and Analytics Trend Monitor 2024“ von BARC wurde es als das wichtigste Trendthema genannt. Aus gutem Grund.

Immer mehr Cyberangriffe richten massiven finanziellen Schaden in Unternehmen an, führen zu Produktionsausfällen und Umsatzeinbußen und haben kostspielige juristische Prozesse und nachhaltige Reputationsschäden zur Folge. Gleichzeitig werden die regulatorischen Anforderungen an das Speichern und Verarbeiten von Daten erhöht, sodass auch hier neue Haftungsrisiken drohen.

Unternehmen müssen daher in ihre Data Security investieren.

Während sie in der Informationssicherheit auf etablierte Methoden und Standards zurückgreifen können, ist das Management von Compliance-bezogenen Anforderungen für viele Unternehmen noch Neuland. Die Folge: Sie agieren zögerlich und begrenzen lieber ihre Chancen, Daten wertschöpfend einzusetzen, als Haftungsrisiken einzugehen. 57 % aller deutschen Unternehmen fühlen sich laut DIHK durch datenschutzrechtliche Hemmnisse bei der Verarbeitung ihrer Daten behindert.

Angesichts der Bedeutung von Data & Analytics für die Wettbewerbsfähigkeit von Unternehmen kann ein „Weiter so“ aber kein Weg in die Zukunft sein. Zum Glück sind die Umstände für viele Unternehmen günstig. Sie befinden sich ohnehin in einer Transformationsphase. Es bietet sich an, dass sie die Modernisierung ihrer Data Security einfach in die geplanten Maßnahmen einbetten.

Insbesondere von europäischer Ebene hat es in den letzten Jahren viele neue regulatorische Anforderungen gegeben. Mit dem EU Data Act, dem EU AI Act und weiteren Regulierungen müssen Unternehmen die Kennzeichnung von Daten, die Information von Betroffenen und die Einstufung von Verarbeitungsprozessen überarbeiten. Neue Anforderungen müssen sie systematisch in der D&A-Landschaft abbilden und im unternehmensweiten Risikomanagement erfassen.

Die gute Nachricht: Die Toollandschaft für das Management von regulatorischen Anforderungen und Risiken hat zuletzt massive Sprünge gemacht. Compliance Officers und Data & Analytics-Führungskräfte sollten diese Innovationen nutzen.  Die neuen Technologien ermöglichen es, Data Security effizienter und vorausschauend sicherzustellen und gleichzeitig die Wertschöpfung aus Daten zu unterstützen. Compliance und Data Analytics müssen kein Widerspruch mehr sein.

Die richtigen Tools sind wichtig, um Daten abzusichern, ohne Frage. Mit der Einführung neuer Anwendungen ist es aber nicht getan. Es braucht einen ganzheitlichen, strategischeren Ansatz, damit Data Security und Data Performance zusammenwirken, ohne sich gegenseitig zu hemmen.

Wir verstehen Data Security als Teil einer übergeordneten Datenstrategie, die wir mit unseren Kunden nach dem Modell der Data Performance entwickeln.

Wie können Sie Data Security auf allen Ebenen der Datennutzung sicherstellen? Es braucht klare, strategische Vorgaben. Auf Basis eines risikobasierten Ansatzes sollten Sie klären, welche rechtlichen, regulatorischen und sicherheitsrelevanten Anforderungen zu berücksichtigen sind. Hierbei ist der Schulterschluss mit Datenschutz, Compliance und Informationssicherheit unerlässlich.  Daneben müssen Chancen bewertet werden, wie sie sich z.B. aus dem EU Data Act ergeben. Nur mit dieser strategischen Klarheit können Sie Data-Security-Standards umfassend verankern und vorausschauend planen.

Data Products orientieren sich an den Nutzern der Daten und sollten alle Aspekte abdecken, die die Nutzbarkeit der Daten betreffen.  Dazu gehören auch Fragen wie Verantwortlichkeiten, Zugriffsrechte oder Klassifikation von Daten. Klären Sie Aspekte der Data Security schon bei der Definition Ihrer Data Products. Damit vermeiden Sie spätere Umwege in der Implementation oder Brüche in der Architektur Ihrer Data & Analytics-Landschaft. In einigen Fällen werden Sie dabei beispielsweise feststellen, dass Anteile von Data Products, die zunächst nur aus Gründen der Data Security hinzugefügt wurden, auch für die Datenanalyse relevant oder zur Umsetzung der Data Governance notwendig sind.

Optimieren Sie die Zusammenarbeit von Business-Mitarbeitenden einerseits und Compliance- sowie Datenschutz-Verantwortlichen andererseits. Eine übergreifende, gemeinsame Risikobetrachtung und ein enger Austausch schaffen Bewusstsein für gegenseitige Herausforderungen, zeigen Handlungs- und Weiterbildungsbedarf auf und machen es Compliance und Datenschutz schlussendlich leichter, ihre Ziele zu erreichen.

Sorgen Sie weiterhin für eine durchgehende Kennzeichnung von Daten und ihren Verarbeitungsschritten. Mit Blick auf Compliance und Data Performance sollten Sie besonders auf die Kennzeichnung des Personenbezugs und des Unternehmenswerts achten.

Erst jetzt geht es darum, festzulegen, welche Anwendungen Sie für die technische Umsetzung des Risikomanagements und der Data Security in Ihrer Organisation am besten verwenden. Neben der Implementierung der Systeme sind neue Fragestellungen relevant, zum Beispiel: Deckt mein Metadaten-Management alle für Data Security relevanten Aspekte ab? Sind regulatorisch relevante Anteile (z.B. Daten mit Personenbezug) in meinen unstrukturierten Daten versteckt? Wie kann ich Datenlöschung oder Anonymisierung umsetzen?

Binden Sie neue Datenquellen in Ihre Data & Analytics-Landschaft ein. Welche Daten gibt es am Markt? Sind Informationen aus öffentlichen Quellen für Sie relevant? Können Sie Kundenanreize schaffen, um die Zustimmung zum Auswerten weiterer Daten zu erhalten? Können Sie den Datenaustausch mit Ihren Lieferanten erweitern oder optimieren? Hier schaffen der EU Data Act und der EU Data Governance Act Rahmenbedingungen, die Sie strategisch nutzen können.

Die historische Trennung von Business einerseits und Compliance, Datenschutz und Informationssicherheit andererseits ist nicht mehr zeitgemäß. Nur durch enges Zusammenspiel und gegenseitiges Verständnis können Risiken minimiert und die Wertschöpfung aus Daten optimiert werden.

Dies ist eine Frage der Kultur. Mitarbeitende aus den verschiedenen Bereichen müssen kooperativ an der Lösung der anstehenden Aufgaben arbeiten. Das gelingt umso besser, je erfolgreicher Teams abteilungsübergreifend zusammenarbeiten und je aktiver sie nach Chancen suchen, von Daten in ihrem Arbeitsalltag zu profitieren.

Die Integration von Data Security und Business gehört zu den wichtigsten strategischen Aufgaben für Unternehmen, die ihre Data Performance nachhaltig verbessern und in Wettbewerbsstärke verwandeln möchten. 

Wenn Sie bei Ihrem Weg zur Data Security Unterstützung benötigen, kontaktieren Sie uns gerne.