Zum Inhalt gehen

Trusted Data: Wie können Daten vertrauenswürdige sowie sichere Produkte und Services unterstützen?

Capgemini Invent
15. Jan. 2020
capgemini-invent

Datenschutz und Informationssicherheit werden von CxOs längst als wichtige Handlungsoptionen der digitalen Transformation gesehen.

Nachdem Organisationen rund um die Einführung der DSGVO primär in die Erhöhung des Compliance-Levels investiert haben, fragen unsere Kunden nun jedoch häufiger, wie die erfolgreiche Umsetzung der Anforderungen des Datenschutzes und der Informationssicherheit vorteilhaft und gewinnbringend genutzt werden können.

Unsere neueste Studie zeigt, dass die Einhaltung von DSGVO zu erheblichen Vorteilen für Unternehmen geführt hat. 92% der Führungskräfte von DSGVO-konformen Unternehmen geben an, dass ihr Unternehmen dank GDPR einen Wettbewerbsvorteil erlangt hat. Dies zeigt sich zum einen darin, dass sich Kunden eher für ein konformes Unternehmen entscheiden und zum anderen, dass diese Unternehmen eine transparente, vertrauenswürdige sowie sichere Datenhaltung sicherstellen, die sie für neue Produkte und Services gewinnbringend nutzen.

In diesem Artikel möchten wir Ihnen Einblick in die folgenden sieben Herausforderungen unserer Kunden geben sowie bewährten Handlungsoptionen, diesen zu begegnen.

trusted-data-capgemini-invent
Abbildung 1: Trusted Data

Transparenz digitaler Assets

In der Vergangenheit waren Projektziele unserer Kunden im Bereich Datenschutz geprägt durch den Wunsch nach Compliance. Bei der Umsetzung von regulatorischen Anforderungen stoßen Organisationen jedoch immer wieder auf Hürden. Häufig sorgen eine heterogene IT-Landschaft und eine fehlende Übersicht über digitale Assets dafür, dass sich diese Anforderungen nicht ohne Weiteres umsetzen lassen. Wir haben festgestellt, dass eine Vielzahl an Projekten innerhalb einer Organisation abhängig von dieser Transparenz sind und daher für sich Workarounds entwickeln. Das ist nicht nur ineffizient, sondern verhindert auch Innovationen, denn Daten können nicht genutzt werden, wenn deren Quelle nicht bekannt ist. Es ist daher für die Entwicklung von digitalen Produkten und Services unabdingbar für die notwendige Transparenz bei digitalen Assets zu sorgen.

Datenschutz- und Informationssicherheitsreifegrad

Häufig werden wir damit beauftragt, den Datenschutzreifegrad einer Organisation zu ermitteln. Hintergrund dieser Anfragen liegen oftmals darin begründet, dass deren eigene Kunden nach datenschutz- und informationssicherheitskonformen Strukturen fragen. Den Reifegrad festzustellen ist allerdings nicht trivial, da der Reifegrad sehr subjektiv ist. Jede Organisation muss für sich selbst festlegen, welches Risiko sie bereit ist einzugehen.

Für viele Organisationen ist der Begriff des Risikos negativ konnotiert. Risiken können auch als Chancen betrachtet werden, wenn sie angemessen gemanagt und überwacht werden. Der Reifegrad orientiert sich nicht an der bloßen Einhaltung von Paragraphen, sondern ist ein Zusammenspiel aus rechtlichen Anforderungen und dem Risikoappetit einer Organisation.

Privacy-by-Design und Privacy-by-Default

Oft stehen Projekte, die in einer Organisation digitale Produkte entwickeln vor der Frage, welche Faktoren sie hinsichtlich Datenschutz und Informationssicherheit beachten müssen. Wir stellen dabei fest, dass Projektteams dazu Unterstützung benötigen und diese von internen Datenschutz- oder Informationssicherheitsbeauftragten erwarten. Diese Unterstützung sollte bereits in frühen Produktentwicklungsphasen gewährleistet sein. Möglich ist dies allerdings nur, wenn es klare Verantwortlichkeiten in der Datenschutz- oder Informationssicherheitsorganisation gibt. Außerdem müssen sich Datenschutz- als auch Informationssicherheitsbeauftragte dahingehend entwickeln, dass sie beratend zur Seite stehen und Projekten entsprechende Unterstützung geben, wie es gelingen kann neue Produkte und Services sicher zu machen. Die Bereitstellung von Checklisten allein ist hier nicht ausreichend.

Industriestandards und Best Practices

In stark regulierten Industrien, wie z.B. der Finanzindustrie, sind die Anforderungen an die Informationssicherheit deutlich höher als im Maschinenbau. Außerdem ergeben sich für Organisationen mit vornehmlich B2C-Geschäft höhere Anforderungen hinsichtlich des Schutzes personenbezogener Daten als für Organisationen mit B2B-Geschäft. Diese Beispiele zeigen, dass sich je nach Industrie und Kontext einer Organisation unterschiedliche Anforderungen ergeben. Um diesen mit spezifischen Sicherheitsmaßnahmen zu begegnen, sind unterschiedliche branchenspezifische Vorgehensmodelle anzuwenden.

Regulatorische Anforderungen

Regularien wie die DSGVO oder CCPA haben in einer globalisierten Wirtschaftswelt auch globale Auswirkungen. Organisationen sollten die in ihrem Umfeld und ihrer Region relevanten Regularien kennen sowie sich deren lokalen Auswirkungen bewusst sein. Nationale Gesetzmäßigkeiten sorgen mitunter dafür, dass Maßnahmen des Datenschutzes und der Informationssicherheit je nach Region voneinander abweichen können. Für international tätige Unternehmen ist es daher wichtig universell geltende Rahmenbedingungen zu schaffen innerhalb derer einzelne Landesgesellschaften handeln können und lokal abweichen dürfen. Eine entsprechend breit aufgestellte Datenschutz- bzw. Informationssicherheitsorganisation ist dafür eine Grundvoraussetzung.

Datenschutz- und Datensicherheitskultur

Unsere eingangs erwähnte aktuelle Studie hebt eine Aktivität zur Steigerung der Datenschutz- und Datensicherheit Compliance hervor – die Verankerung in der Unternehmenskultur. Mitarbeiterinnen und Mitarbeiter müssen für die Bedeutung des Themas sensibilisiert und über die gesetzlichen Anforderungen gezielt geschult werden. In unseren Projekten zeigt sich, je höher das Bewusstsein der Mitarbeiter bezüglich des sicheren Umgangs mit Daten ist, desto höher ist auch deren Akzeptanz von Maßnahmen. Viele Organisationen versuchen Verantwortlichkeiten über Leitlinien in einem Managementsystem umzusetzen. Doch die beste Leitlinie hat keine Wirkung, wenn sie niemand kennt und anwendet.

Data Governance und Datenmanagement

Das Ziel von Datenschutzbestimmungen wie der DSGVO ist u.a. das Verarbeiten von personenbezogenen Daten auf ein Minimum zu reduzieren. Viele Organisationen haben jedoch in der Vergangenheit große Mengen an Daten gesammelt, ohne sicher zu sein, wie sie diese heute nutzen dürfen und können. Dies erhöht nicht nur das Risiko für Datenschutzvorfälle und mögliche Strafen, sondern schränkt die Handlungsmöglichkeiten einer Organisation bezüglich der Nutzung dieser Daten sehr ein. Ein strukturiertes Datenmanagement hingegen ermöglicht es diese Daten gezielt zu nutzen. Dies unterstützt zudem die Compliance, da nur solche Daten geschützt werden können, die auch bekannt sind.

Wenn Daten also das neue Öl sind, dann stellen die sichere Förderung und Veredlung Organisationen vor Herausforderungen. Bei richtiger Umsetzung wird jedoch der Einsatz von vertrauenswürdigen Daten ermöglicht, die für digitale Geschäftsmodelle einen zusätzlichen Mehrwert liefern.

Vielen Dank an den Co-Autor Marius Fischer für die maßgebliche Unterstützung bei der Erstellung dieses Beitrags!

Blog-Updates per Mail?

Abonnieren Sie unseren Newsletter und erhalten Sie alle zwei Monate eine Auswahl der besten Blogartikel.

Zur Anmeldung

Weitere Blogposts

Data and AI

Der EU Data Act: Nicht nur Obligation sondern Chance für eine datengetriebene Zukunft

Lukas Schröder
24. Apr. 2024
Intelligent Industry

Woran das Industrial Metaverse nicht scheitern sollte

Daniel Lichtwald
22. Apr. 2024
Strategy & Transformation

Supply Chain Guardian – Maximale Resilienz für Supply Chains im Automotive Umfeld

Tilo Klüh
18. Apr. 2024
Alle Blogposts