Warum Sicherheit nicht gleich Vertraulichkeit ist

Warum sollten Datenschutz und Datensicherheit für jedes Unternehmen ganz oben auf der Prioritätenliste stehen? Der vielleicht offensichtlichste Grund sind die direkt mit dem Datenschutz verbundenen Gesetze, Regularien und Vorschriften. Es gibt aber auch eine umfassendere Sicht der Dinge.

In einem weiteren Sinne sollten Unternehmen Datenschutz und Vertraulichkeit nämlich als ein Menschenrecht betrachten. Im Umkehrschluss sollte es nicht erlaubt sein Individuen zu überwachen und ihre Aktivitäten nachzuvollziehen. Daten sollten nur auf die Art und Weise verwendet werden, die von den Betreffenden autorisiert wurde. Firmen haben eine soziale Verantwortung gegenüber ihren Kunden. Wenn deren Privatsphäre und vertrauliche Daten missbraucht werden, wirft das ein negatives Schlaglicht auf jedes Unternehmen.

Anzeige

Facebook und Cambridge Analytica

Der sich ausweitende Skandal um Facebook/Cambridge Analytica hat schlagartig eine weltweite Diskussion zur Datenschutz- und Vertraulichkeitsproblematik ausgelöst. Ist es tatsächlich legitim, dass beide Unternehmen derartig viele Informationen ihrer Nutzer sammeln? Die meisten von ihnen sind sich nicht vollständig über die Funktionsweise der sozialen Plattform im Klaren. Auch darüber nicht, wie viele Daten letzten Endes gesammelt wurden, und noch viel weniger, dass diese Daten benutzt wurden, um Ansichten zu manipulieren oder gezielte Meinungsmache zu betreiben. Die Untersuchungen dauern an, und es werden vermutlich weitere Details enthüllt werden.

Das Grundproblem ist aber längst ersichtlich: Facebook hätte die gesammelten persönlichen Daten Cambridge Analytica nicht zur Verfügung stellen dürfen. Mit dem schlussendlichen Resultat, genau die Benutzer zu manipulieren, die ihnen diese Daten anvertraut haben. Die Analysen sind längst nicht abgeschlossen, und es gibt viele offene Fragen. Aber das schiere Ausmaß des Skandals und die extrem schädlichen Auswirkungen auf Facebook sollten uns alle daran erinnern, dass der Schutz vertraulicher Daten nichts ist, was man aufs Spiel setzen sollte.

Unternehmen und ihre Prinzipien

Wenn Unternehmen nicht in eine ähnlich prekäre Situation geraten wollen, hilft es nur, die wichtigsten Datenschutzprinzipien konsequent umzusetzen. Das gilt erst recht, wenn persönliche Informationen von und über Mitarbeitende und Kunden verarbeitet werden. Die Interpretation dessen, was genau dabei als „persönliche Information“ definiert wird, ist oftmals verwirrend. Die meisten Menschen haben aber eine eindeutige Vorstellung davon, was sie selbst als persönliche Informationen betrachten. Das sind zum Beispiel Bank- und Adressdaten und die Telefonnummer. Es gibt aber auch eine technische Seite. Dann gehören etwa Maschinendaten dazu, die IP-Adresse oder bestimmte Verhaltensweisen von Systemen. Eben alles, was in einem bestimmten Kontext eindeutig auf eine Person rückführbar ist.

Man kommt also nicht umhin eine Reihe von Grundsätzen zu beachten, um kritische Daten zu überwachen, zu verwalten und zu verarbeiten. Folgt ein Unternehmen den Richtlinien des Privacy by Design, ist das Sammeln und Nutzen von persönlichen Daten auf ganz bestimmte Zwecke begrenzt. Nutzer sollten zudem die Wahl haben wie viele ihrer persönlichen Daten sie mit dem betreffenden Unternehmen teilen wollen.
Es gibt eine ganze Reihe derartiger Grundsätze. Wenn ein Unternehmen sich die Zeit nimmt, seine Systeme demgemäß aufzubauen, die Prinzipien sozialer Verantwortlichkeit beherzigt und einen entsprechenden Wertekanon etabliert, ist das eine gute Richtschnur in Sachen Datenschutz und Datensicherheit. Und die fördert gleichzeitig eine gesündere Haltung gegenüber dem Schutz vertraulicher Daten.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wer ist verantwortlich? Vorstand? Führungskräfte?

Mit dem Finger auf diejenigen zu zeigen, die für den Datenschutz verantwortlich sind, ist zu einfach und nützt niemandem. Jeder einzelne Firmenmitarbeiter sollte mit den Verantwortlichen übereinstimmen und entsprechend handeln. Die Verpflichtungen unterscheiden sich natürlich je nach Position und Rolle im Unternehmen. Die Aufgabe der Vorstandsetage ist es Governance zu etablieren und die Übersicht zu behalten. Der Vorstand muss sicherstellen, dass ein Unternehmen über die richtige Corporate Governance verfügt und die notwendigen Grundsätze und Richtlinien zum Tragen kommen. Management- und Führungskräfte sowie die jeweiligen Fachverantwortlichen müssen gewährleisten, dass die Richtlinien eingezogen werden und nach ihnen gehandelt wird. Und das in allen Abteilungen und Fachbereichen. Diese Haltung muss sich also durch das gesamte Unternehmen ziehen. Jeder einzelne sollte die Grundsätze verstehen und sich für die Vertraulichkeit der Daten mit denen er umgeht unmittelbar verantwortlich fühlen.

Sicherheit versus Vertraulichkeit

Aber selbst in unserer Branche sind ausreichend viele Menschen noch schlecht informiert, schwerhörig oder farbenblind, wenn es um das Thema Schutz von vertraulichen Daten geht. Sie verwechseln an dieser Stelle Sicherheit mit Vertraulichkeit. Ein hoher Sicherheitslevel garantiert aber nicht automatisch die Vertraulichkeit der Daten. Beide sind bis zu einem gewissen Grad zwar voneinander abhängig, aber sie weisen auch substantielle Unterschiede auf. Unternehmen brauchen ein gutes Maß an Sicherheit um Vertraulichkeit zu gewährleisten. Sicherheit kann aber zu weit gehen. Etwa dann, wenn es legitim erscheint, viel zu viele Informationen zu sammeln. Bis zu dem Punkt, an dem die Sicherheitsmaßnahmen beginnen, die Vertraulichkeit zu torpedieren. Dieser Ansatz führt unter Umständen sogar dazu den Grad der Vertraulichkeit herabzusetzen.

Fazit

Security and Privacy sind ein bisschen wie zwei Magnete: sie ziehen sich an, wenn die Polarität stimmt und gehen ein festes Bündnis ein. Das sollte der Weg sein wie wir Sicherheit und Vertraulichkeit gemeinsam entwickeln. Vertraulichkeit geht nur über IT-Sicherheit. Wenn die Polarität zwischen Sicherheit und Privacy allerdings nicht stimmt, beispielsweise weil es sich nicht um die geeignete Systemarchitektur handelt, die richtigen Grundsätze oder das nötige Wissen fehlen, dann erhöht sich das Risiko auf beiden Seiten.

Malcolm Harkins, Cylance

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.