Compliance und Governance – wer ist verantwortlich?

Digitale Technologien sind zentral für den Erfolg eines Unternehmens und in praktisch jeder Branche für das Überleben am Markt nötig. Datennutzung und der Datenaustausch sind dabei längst nicht mehr auf einzelne Firmen beschränkt, sondern erfolgen in zunehmendem Maß über ganze Lieferketten hinweg. 

Ein Cybersicherheitsvorfall bei einem einzelnen Zulieferer betrifft so unter Umständen die gesamte Lieferkette oder die Sicherheit eines Produkts am Markt.

Anzeige

Aber fehlende IT-Sicherheit ist auch angesichts der wachsenden Regulierung ein Risiko. „Durch immer engere Vorgaben zur Umsetzung von IT-Sicherheit können selbst bei kleineren Abweichungen – auch außerhalb des Datenschutzrechts – hohe Bußgelder oder Vertragsstrafen im Raum stehen. Kommt es tatsächlich zu einem IT-Sicherheitsvorfall, stehen darüber hinaus regelmäßig auch Gewährleistungs- und Schadensersatzansprüche von Kunden oder Betroffenen im Raum. Unternehmen, die am Markt bestehen und erfolgreich digitalisieren wollen, müssen also neben einer technischen Umsetzung auch den rechtlichen Anforderungen gerecht werden. Notwendig ist daher ein unternehmens- und produktbezogenes Cybersecurity Compliance Management, (…).

Zu diesem Thema wurde mit Robert Meyers, One Identity, gesprochen. 
 

Mit der digitalen Transformation geht eine Reihe von Compliance-Herausforderungen einher. Welche Schlüsselpositionen sind in der Verantwortung und wie sieht ein effektives Management seitens der Governance-Verantwortlichen aus?

Robert Meyers: „Wenn das Unternehmen über einen Chief Compliance Officer, Chief Privacy Officer, Chief Risk Officer oder Data Privacy Officer verfügt, sind sie an dieser Stelle maßgeblich für den Erfolg des Unternehmens verantwortlich. Das sollten aber nicht die einzigen Personen bleiben, die in die Themenbereiche Governance, Compliance oder Datenschutz eingebunden werden. Letztendlich sollte jeder im Unternehmen zumindest in den Grundlagen geschult sein, genau wie beim Thema Cybersicherheit. Wenn Sie sich allerdings fragen, wer unbedingt eingebunden sein muss, unabhängig davon, ob es die oben genannte Compliance-Gruppe im Unternehmen gibt oder nicht, sollte die Liste mit dem Chief Operations Officer (COO) beginnen. Wenn ein Business laufen soll, müssen die entsprechenden Prozesse funktionieren. Es ist aber gar nicht so selten, dass ein Governance- oder Datenschutzteam in Bezug auf die unternehmerischen Erfordernisse, eher die Rolle der „Verhinderer“ einnimmt (oder als solches wahrgenommen wird). Aufgrund dieser Diskrepanz gilt es, eine Reihe meist sehr harter Entscheidungen zu fällen – in der Regel auf COO-Ebene. 

Neben den Entscheidungsträgern gibt es viele weitere wichtige Positionen, bei denen Governance- (sowie Datenschutz-) Know-how gefordert ist. Dazu zählen Scrum Master, Produktmanagement, Entwickler, Manager und das gesamte IT-Team. Warum das so ist? Weil an diesen Stellen Verantwortung für die Governance gefragt ist (und diese sonst schlicht nicht stattfindet).“
 

Wie können Governance-Verantwortliche in die Lage versetzt werden, mit aktuellen und zukünftigen Vorgaben in Sachen digitale Transformation Schritt zu halten oder besser noch, ihnen voraus sein?

Robert Meyers: „Sie müssen selbst aktiv werden. Vom Spielfeldrand lässt sich kaum Schritt halten. Für das Thema Datenschutz melden Sie sich am besten bei der International Association of Privacy Professionals an und für den Bereich Sicherheit bei der Information Systems Audit and Control Association (ISACA). Diese Auditoren sind sowohl in den Bereichen Cybersicherheit als auch Governance ausgebildet . Abonnieren Sie Podcasts und Twitter-Feeds, um aktuell auf dem Laufenden zu bleiben. Im Idealfall beschränken Sie sich aber nicht darauf, sondern bringen Sie sich selbst aktiv ein. Auch wenn das zunächst mit mehr Aufwand verbunden ist, macht es am Ende die Dinge einfacher. Zudem bauen Sie sich so eine solide Wissensbasis auf, mit der Sie arbeiten können.“
 

Welche Compliance-Herausforderungen ergeben sich aus dem wachsenden Einsatz von KI und robotergestützter Prozessautomatisierung? Und können diese Tools vielleicht sogar einzelne Elemente der Compliance-bezogenen Rollen ersetzen (so dass Governance-Verantwortlichen mehr Zeit für strategische Aufgaben bleibt)?

Robert Meyers:RPA und KI werden oft missverstanden. Wenn man einem Roboter eine bestimmte Aufgabe zuweist, kann man dabei genauso wenig auf das Management verzichten wie das bei den menschlichen Kollegen und Kolleginnen der Fall ist. Dazu gehören Least-Privilege-Zugriffe, Aufgabentrennung und die eigentliche Verwaltung von Identitäten und privilegierten Accounts. Warum ist das so? Weil letztlich Roboter wie Menschen handeln. Fast jede Datenschutz- und Sicherheitsvorschrift geht deshalb davon aus, dass sie Management und Governance benötigt.

KI und Tools zur robotergestützten Prozessautomatisierung können ganz großartig darin sein, sich wiederholenden Aufgaben anzunehmen und sie können sogar einige ziemlich komplexe Anforderungen übernehmen. Es gibt allerdings kein Patentrezept für den Umgang mit Compliance und Governance bei RPA und KI. Wenn ein Unternehmen regelkonform arbeiten soll, kommen Sie nicht um ein Management von RPA und KI herum.“

Meyers Robert

One Identity -

Compliance- und Datenschutzexperte

Robert Meyers ist  Compliance- und Datenschutzprofi und Channel Program Solutions Architect bei One Identity. Seit 30 Jahren beschäftigt er sich mit Identity und Access Management sowie Informationssicherheit. Seit mehr als 10 Jahren konzentriert er sich auf die Planung, Unterstützung und Verwaltung von Datenschutzprogrammen wie FERPA, HIPAA, GDPR und CCPA.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.