Menschen im Mittelpunkt des digitalen Arbeitsplatzes

 

 

 

DutyofCare200x160

Warum Unternehmen Compliance-Regeln ernst nehmen müssen

von Paul Visser, Principal Business Consultant für Informationsrisikomanagement


Jeder Angriff, unabhängig von dessen Ausmass und  Berichterstattung, läuft immer auf dasselbe hinaus: Bedrohungen der Computersicherheit können verheerende Auswirkungen auf das Markenimage, den Aktienwert und die Kundenbindung haben.

 

Große und kleine Organisationen können sich enormen Strafen ausgesetzt sehen, weil sie diese Cyber-Bedrohungen nicht in den Griff bekommen. Die Datenschutzbehörde in Großbritannien (ICO) kann Geldstrafen von bis zu 500.000 Pfund auferlegen, wenn sie glaubt, dass Informationen nicht sicher gespeichert worden sind. Dabei nimmt sie keine Rücksicht auf die Größe der Organisation, sondern lediglich auf die Beschaffenheit der abhanden gekommenen Daten.

 

Jedes Jahr ist am 28. Januar in Europa, den USA und Kanada Datenschutztag. Der Datenschutztag soll das Bewusstsein steigern und Verbraucher darüber aufklären, wie ihre persönlichen Daten benutzt werden, während Unternehmen sich die Frage nach der sicheren Speicherung und dem angemessenen Schutz von Daten stellen sollen. Dazu der neu ernannte europäische Datenschutzbeauftragte, Giovanni Buttarelli: „Die EU muss die bestehenden Datenschutzrechte effektiver in die Praxis umsetzen und es den Bürgern ermöglichen, ihre Rechte in einem Zeitalter, in dem wir unser gesamtes Leben unseren Smartphones anvertrauen, einfacher wahrzunehmen.“

 

Im Jahr 2014 gab es eine Rekordzahl an Datenschutzverletzungen. Was haben wir daraus gelernt? Ein Beispiel für die Bestrafung von Datenverstößen ist der Fall des britischen Justizministeriums, das für das Polizei- und Gerichtswesen sowie den Justizvollzug und den Bewährungsdienst zuständig ist. Das Justizministerium war schockiert, als die ICO ihr eine Strafe in Höhe von 180.000 Pfund für „schwere Versäumnisse“ beim Umgang mit vertraulichen Informationen auferlegte, nachdem eine unverschlüsselte Festplatte mit den persönlichen Daten von fast 3.000 Häftlingen verloren gegangen war.

 

Aber die Behörden in Großbritannien sind nicht die einzigen, die schwere Strafen verhängen. Das Datenschutzgesetz in Frankreich sieht für Organisationen, denen erstmals eine Datenschutzverletzung nachgewiesen wird Höchststrafen von bis zu 150.000 Euro vor, und Strafen von bis zu 300.000 Euro für wiederholte Datenverstöße.

Es stehen nicht nur Einnahmen auf dem Spiel

Tatsächlich sind Geldstrafen für Datenschutzverletzungen in ganz Europa und dem Rest der Welt durchaus üblich. Behörden in Österreich, Deutschland, Irland, Kanada und Italien können ebenfalls hohe Geldstrafen verhängen. Die USA sind in gewisser Hinsicht eine Ausnahme, da es kein umfassendes Bundesgesetz über Datenschutz gibt. Allerdings kann die US-Regulierungsbehörde einen Verstoß gegen Datenschutzregelungen bestrafen, wie das im Fall der Idaho State Universität geschehen ist, die einer Strafe von 400.000 US-Dollar zustimmte, nachdem sie zehn Monate lang Informationen über Patienten unter Missachtung von Sicherheitsauflagen aufbewahrt hatte.

 

Es bestehen große Unterschiede zwischen Märkten, Branchen und Regionen im Hinblick auf behördliche Regelungen. Dadurch wird der Prozess noch undurchschaubarer. Natürlich gibt es einige weltweite Normen, z.B. die neue verbindliche Regelung gemäß „Binding Corporate Rules“ (BCR). Es handelt sich hierbei um eine Norm, die es multinationalen Unternehmen ermöglichen soll, persönliche Daten außerhalb der EU in Regelkonformität mit allen Datenschutzregelungen vor Ort zu überführen. Atos ist das erste IT-Unternehmen, das die von allen EU-Datenschutzbehörden anerkannte BCR-Zertifizierung erhalten hat.

 

Die empfohlenen Ausgaben für Computersicherheit sind auch von der Branche abhängig, aber als Faustregel sollten CIOs mindestens 6,1% ihres IT-Budgets für die Sicherung ihres IT-Bestands aufwenden.

 

Paul Visser

Paul Visser ist Principal Business Consultant für Informationsrisikomanagement bei Atos Consulting. Er verfügt über mehr als 16 Jahre Erfahrung in der Auditierung und der Schaffung und Nutzung komplexer Kontrollmechanismen. Paul Visser berät als Principal Consultant Organisationen auf strategischer Ebene zu den Themen Qualitätsmanagement, interne Kontrollen und Compliance. 

Nehmen Sie mit uns Kontakt auf.

Atos Schweiz
Mehr Informationen
trans-1-px
Unser Internetauftritt nutzt cookies. Wenn Sie weiterhin auf dieser Website surfen sind Sie damit einverstanden, dass wir Cookies nutzen, um die Nutzung unserer
Internetseiten zu messen und Verbesserungsmöglichkeiten zu erkennen. Wenn Sie nicht einverstanden sind, können Sie die Cookies in Ihrem Webbrowser abschalten.
Erklärungen dazu finden Sie in unserer Privacy Policy
Ich stimme zu Mehr Informationen