Compliance ist mehr als Sicherheit

Es ist schon merkwürdig: Es sind nicht einmal mehr acht Wochen, bis die zweijährige Übergangsfrist der europäischen Datenschutz-Grundverordnung (EU-DSGVO) endet. Gleichzeitig zeigt eine aktuelle IDC-Umfrage, dass 44 Prozent der Befragten noch immer keine konkreten technischen oder organisatorischen Maßnahmen ergriffen haben, um die neuen Anforderungen zu erfüllen.

In technischer Hinsicht sehen die IDC-Experten den größten Handlungsbedarf bei Investitionen in Sicherheitslösungen wie Intrusion Detection, Data Leakage Prevention oder Threat Intelligence. Produkte und Ansätze, die dem Stand der Technik entsprechen (State of the Art), wie es die Verordnung vorschreibt. Doch Compliance ist mehr als Technik.

Eine Frage des richtigen Bewusstseins

Unternehmen investieren erst dann in die richtigen Technologien, wenn das Bewusstsein für deren Notwendigkeit vorhanden ist. Doch genau da hapert es. Laut IDC „wissen knapp ein Viertel (23 Prozent) der Befragten nicht, wo ihre Daten gespeichert werden, 27 Prozent können nicht genau sagen, wer Zugriff auf personenbezogene Daten hat und 34 Prozent sind die Löschfristen nicht bekannt. Darüber hinaus geben 37 Prozent der Umfrageteilnehmer an, dass Dokumente unkontrolliert auf den Fileservern unter der Obhut der Mitarbeiter liegen.“

Natürlich sind angesichts dieses Befundes Investitionen in neue Sicherheitsprodukte sinnvoll. Denn sie verhindern das Schlimmste – den Diebstahl personenbezogener Daten und geistigen Eigentums. Doch um herauszufinden, wo welche Daten liegen, wer darauf zugreifen darf und wann sie gelöscht werden müssen, sind Sicherheitsprodukte nicht das geeignete Mittel. Sie sind die notwendige Basis, auf der echte Compliance aufbaut.

Es geht also um das richtige Bewusstsein, dass Compliance mehr als Sicherheit ist, dass Datenschutz und die meisten anderen Regularien Prozesse betreffen und dass alle Ebenen und Abteilungen in den Unternehmen involviert werden müssen.

Compliance: Schnellstart in fünf Schritten

Compliance ist keine lästige Pflicht, sondern ein Treiber der digitalen Transformation. Sie liefert einen Mehrwert. Die Königsdisziplin lautet dabei Information Governance. Sie bedeutet, sämtliche Daten und Informationen in welcher Form auch immer über ihren gesamten Lebenszyklus hinweg entlang der Unternehmensprozesse und darüber hinaus entlang der gesamten Wertschöpfungskette lückenlos und nachweissicher zu managen. Daten und Informationen sind das neue Gold. Mit Hilfe von Information Governance sichern sich die Unternehmen die Schürfrechte.

  1. Der erste Schritt muss deshalb für die Unternehmen lauten: Die Mitarbeiter müssen auf allen Ebenen und in allen Bereichen über den Wert von Information Governance unterrichtet werden. Das ist eine klassische Führungsaufgabe.
  2. Deshalb reicht es nicht aus, wenn die IT das Wissen um den Wert von Informationen und ihrem Management im Unternehmen verbreitet. Vielmehr braucht es ein Steuerungskomitee mit Mitgliedern aus allen Unternehmensbereichen inklusive Vorstand und Geschäftsführung.
  3. Ein Unternehmen ist eingebunden in einer Wertschöpfungskette vom Endkunden bis zu Lieferanten, Dienstleistern und Regulierungsbehörden. An allen Stellen kann es zu Compliance-Problemen kommen, die das geistige Eigentum oder den Ruf einer Firma gefährden. Das Steuerungskomitee muss deshalb bei Information Governance die gesamte Wertschöpfungskette im Blick haben.
  4. Apropos Reputation – die Berichte rund um Wahlmanipulationen zeigen es eindeutig: Wer den Schutz personenbezogener Daten ernst nimmt, wird in Zukunft an Reputation gewinnen. Der Respekt für die Privatsphäre und das Schürfen im Datenschatz sind selbst in den USA kein Widerspruch mehr. Nicht mehr Kosten, sondern Zugewinn heißt der neue Business Case für Information Governance.
  5. Nicht nur soziale Medien, sondern auch und vor allem das Internet der Dinge führen zu einer Datenexplosion in den Unternehmen. Keine Belegschaft ist groß genug, um Regularien rund um Informationen einhalten zu können. Dazu bedarf es zusätzlich geeigneter technischer Lösungen. Sicherheitsprodukte sind die eine Seite der Medaille, Information Governance und andere Lösungen wie eDiscovery, Berechtigungsmanagement, Analytics etc. die andere.

Von der Compliance zum Digitalen Risikomanagement

Gartner sieht Information Governance als zentrales Element einer neuen strategischen IT-Disziplin, die am Beginn des bekannten Hype Cycle for Legal Regulatory and Information Governance steht: Digitales Risikomanagement (Digital Risk Management). Andere Elemente reichen von unternehmensweiter Archivierung über Vertragsmanagement bis zu Analytics. Das kommt Ihnen bekannt vor? Kein Wunder. Ein Großteil dieser Technologien sind bereits heute Bestandteil des OpenText™-Angebots für unternehmensweites Informationsmanagement oder Enterprise Information Management (EIM).

Wenn Sie mehr darüber erfahren wollen, sind Sie herzlich zu unserer Innovation Tour am 16. April in München eingeladen. Dort beschäftigen wir uns ausführlich mit dem Thema Compliance, zum Beispiel in dem Vortrag „Die neue EU-Datenschutz-Grundverordnung – der Countdown läuft“. Wir freuen uns auf Sie.

 

Peter Stadler

Peter kam über die Akquisition der Enterprise Content Division von DellEMC im Januar 2017 zu OpenText. Seit dem 1. Juli 2017 verantwortet er als Vice President Enterprise Sales die Region BeNeLux, Switzerland & Austria. Den Fokus legt er in seiner Region auf Stärkung und Weiterentwicklung der bestehenden Kundenbeziehungen sowie der Neugewinnung von Kunden im Kernbereich des Enterprise Information Management. Durch die Nutzung von OpenText Lösungen sollen Kunden schneller wachsen können, Operational Cost, Information Governance und Security Risks reduziert werden indem Business Insights, Impact und Process Speed verbessert werden.

Weitere Artikel, die sie interessieren könnten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.