Compliance-Synergie
Die Umsetzung gesetzlicher Regelungen sowie verstärkte Anforderungen von Kunden und Partnern verursachen mittlerweile gehörige Aufwände. Unser Autor vergleicht diese Compliance-Kosten mit den Kosten von Informationssicherheits-Zertifizierungen und stellt sie möglichen Effekten auf der Ertragsseite gegenüber. Dadurch sollen neue Argumente in den Unternehmensdialog zur Informationssicherheit einfließen, die häufig zu wenig Berücksichtigung finden.
Von Berhard Schlett, München
Neben den Erfordernissen der eigenen Organisation sind in Sachen Informationssicherheit Compliance-vorgaben zu berücksichtigen und darüber hinaus kommen mittlerweile regelmäßig faktische Anforderungen von Kunden, Lieferanten und anderen Stakeholdern hinzu. So werden IT-Sicherheit und Datenschutz zwar auf der Ertragsseite immer relevanter, da Aufträge vermehrt in Abhängigkeit von Zertifizierungen vergeben werden. Damit einhergehend ergeben sich aber auch (ggf. neue) Ansprüche an die Informationssicherheit aus dem Kontext der Organisation, die individuell zu definieren und zu berücksichtigen sind.
Dennoch wird Informationssicherheit in Unternehmen noch immer häufig als reiner Kostenfaktor bewertet. Die Kosten müssen natürlich auch in die Entscheidungsfindung für Zertifizierungsprojekte einfließen – ebenso wie eine Berücksichtigung der grundsätzlichen Vorteile einer Professionalisierung im Bereich der Informationssicherheit. Zu wenig wird jedoch berücksichtigt, dass viele Zertifizierungsmodelle zugleich auf Compliance-Anforderungen einzahlen und damit den Neugewinn oder Erhalt bestehender Aufträge absichern. Dadurch lassen sich entlang der Entscheidungsfindung für oder gegen ein Zertifizierungsprojekt auch positive Effekte auf der Ertragsseite einbeziehen. Um diese Effekte beurteilen zu können, sollen zunächst die angesprochenen Anforderungen an Datenschutz und Informationssicherheit noch einmal näher erörtert werden.
Vielfältige Anforderungen
Die Anforderungen an den organisationalen Datenschutz und die Informationssicherheit reichen von gesetzlichen „Must-haves“ bis hin zu „Nice-to-have“-Maßnahmen, von denen sich Unternehmen Wettbewerbsvorteile versprechen. Hinzu kommen regelmäßig auch faktische Anforderungen von Kunden, Lieferanten und anderen Stakeholdern, deren Missachtung den Fortbestand des Unternehmens gefährden kann.
Rechtliche Anforderungen an Unternehmen
Neben besonderen Anforderungen, wie solchen zum Marktzutritt für das Anbieten ärztlicher Videosprechstunden oder für das Inverkehrbringen und die Inbetriebnahme von Medizingeräten, sowie den „Branchenspezifischen Sicherheitsstandards“ (B3S) bestehen mehr oder weniger allgemeinere Anforderungen aus
- dem BSI-Gesetz und der BSI-Kritis-Verordnung,
- der EU Datenschutzgrundverordnung (DSGVO),
- dem Bundesdatenschutzgesetz (BDSG),
- den Landesdatenschutzgesetzen (LDSGs)
- sowie dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).
Wenngleich diese rechtlichen Regelungen von der Organisationsform und -größe abhängig sind, so findet zumindest die DSGVO ausnahmslos Anwendung und immer mehr Beachtung. Das ist besonders auf die Möglichkeit empfindlicher Geldbußen und drohende Schadensersatzansprüche seitens der Betroffenen gegen solvente Unternehmen zurückzuführen: Neben der Nachweispflicht aus Art. 5 Abs. 2 DSGVO umfasst die DSGVO auch umfassende Anforderungen an Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO), an Auftragsverarbeiter (Art. 28 DSGVO) sowie allgemein an die Sicherheit der Verarbeitung (Art. 32 DSGVO). Darüber hinaus sind „geeignete Garantien“ technischer Natur gerade nach dem Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 (Rechtssache C-311/18 „Schrems II“) im Kontext der Datenübermittlung an Drittländer (Art. 44 ff. DSGVO) relevant.
Über die Form und Eignung oder Nichteignung der angeführten Nachweise und Garantien schweigt sich der Gesetzgeber hingegen aus – und auch bei einem tiefer gehenden Blick in die Gesetze findet man keine detaillierteren verbindlichen Beschreibungen dessen, was konkret zur Umsetzung der gesetzlichen Anforderungen erforderlich wäre. Zur Sicherheit der Verarbeitung gibt es etwa lediglich Hinweise, dass bei der Bemessung der Eignung von technischen und organisatorischen Maßnahmen (TOM) sowohl der „Stand der Technik“ als auch die Implementierungskosten zu berücksichtigen seien – und dass diese sich wiederum anhand von Art, Umfang, Umständen und Zweck und letztlich am Risiko definieren (wohlgemerkt im Bereich der DSGVO das Risiko für die betroffenen Personen und nicht für die Organisation und ihre Stakeholder).
Eine Datenschutzzertifizierung nach Art. 42 DSGVO ist zwar gesetzlich verankert, aber in der Praxis derzeit noch irrelevant, da erst vor Kurzem der erste Kriterienkatalog für eine entsprechende Zertifizierung von Auftragsverarbeitern durch eine Landesdatenschutzbehörde verabschiedet wurde (vgl. www.ldi.nrw.de/ldi-nrw-genehmigt-erste-deutsche-kriterien-fuer-datenschutz-zertifizierung). Die Erfüllung der rechtlichen Anforderungen an die Auswahl von sogenannten Auftragsverarbeitern, also Daten verarbeitenden Dienstleistern, stellen mangels verfügbarer offizieller Zertifikate eine Herausforderung für Unternehmen und Lieferanten/Dienstleister dar. Allgemeine Anforderungen an die Auftragsverarbeitung lassen sich künftig über die Einhaltung von in Art. 40 DSGVO verankerten und aufsichtsbehördlich genehmigten Verhaltensregeln (www.verhaltensregel.eu) nachweisen – wesentliche Aspekte der Informationssicherheit sind dadurch aber nicht abgedeckt. Zur Auftragsverarbeitung zählen übrigens bereits solche (IT-Unterstützungs-) Leistungen, bei denen lediglich qua Beauftragung ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Nachdem mit der Etablierung (im Sinne einer breiten Verfügbarkeit) eines solchen rechtlich anerkannten Zertifikats als geeignete Garantie kurzfristig nicht zu rechnen ist, müssen datenschutzrechtlich verantwortliche Stellen weiterhin auf Alternativen zurückgreifen, um die rechtlichen Vorgaben zur eigenen Sicherheit – sowie der Sicherheit der Lieferkette – abzudecken und vor allem im Schadensfall die Eignung eingesetzter Auftragsverarbeiter nachweisen zu können.
Faktische Anforderungen durch Kunden
Oft sehen sich Unternehmen zudem Anforderungen gegenüber, die Bestandskunden oder (mögliche) Neukunden an sie stellen: Diese sind an einer sicheren Lieferkette interessiert, um eigene Risiken zu minimieren und wiederum den an sie gestellten gesetzlichen Anforderungen zu genügen. Das schließt Bedingungen für die Eignung neuer Geschäftspartner im Rahmen möglicher Geschäftsabschlüsse ebenso ein wie die Verlängerung bestehender vertraglicher Regelungen unter Einbezug ebensolcher Bedingungen im Rahmen bestehender Geschäftsbeziehungen. Unternehmen, die mit bestimmten Kunden oder – oft damit verbunden – bestimmten Datenkategorien umgehen, wissen ein Lied davon zu singen, welch aufwendiger Rechtfertigungen und umfangreicher Prüflisten es bedarf, um den geforderten vertraglichen Pflichten nachzukommen. Je nach Branche werden häufig Zulieferer/ Dienstleister ohne entsprechendes „Label“ (z. B. Tisax im Bereich der Automobilindustrie) gar nicht mehr anerkannt oder es wird zumindest eine anderweitige Vergabe der Beauftragung bei ausbleibendem (glaubhaftem) Committment zu einer Zertifizierung angedroht. Auch bei Ausschreibungsverfahren werden oft bestimmte Zertifizierungen vorausgesetzt.
Umsetzung der Anforderungen
Je nach Branche und Produkt ist die Umsetzung der rechtlichen Anforderungen mit unterschiedlichen Aufwänden verknüpft: Bei einem Unternehmen, das mit wenigen Zulieferern und Dienstleistern auskommt, liegt der hauptsächliche Aufwand zur Erfüllung rechtlicher Pflichten üblicherweise in der Eigenprüfung. Ganz anders stellt sich das für Unternehmen dar, deren Wertschöpfung zu großen Teilen auf Produkten und Diensten von Zuliefern und Dienstleistern beruht: Die Eigenprüfung bedeutet dann deutlich weniger Aufwand und der Fokus in Sachen Kostenbetrachtung liegt auf der Prüfung dieser Dritten.
Die Aufwände für die Prüfung des eigenen Unternehmens sowie der Lieferanten und Dienstleister sind ebenso natürlich abhängig von der Art und Weise der Prüfung. Im Falle einer Zertifizierung kann diese zwar bereits einen großen Teil der rechtlichen Pflichten abdecken, dürfte allerdings regelmäßig umfangreicher ausfallen und damit höhere Kosten verursachen, als das zumeist bei Prüfungen der Fall wäre, die keinen standardisierten Vorgaben oder Normen folgen und nicht auch durch Externe vorgenommen werden.
Unternehmensperspektive
Aus Sicht des verantwortlichen Unternehmens sind erforderliche Maßnahmen regelmäßig nachzuweisen. Involviert ist dabei meist ein Team, dem üblicherweise (zumindest im Audit) der Datenschutzbeauftragte, der Informationssicherheitsbeauftragte und Vertreter der Geschäftsleitung angehören. Unabhängig von angestrebten Zertifizierungen werden häufig externe Dienstleister mit der Prüfung beauftragt, da die Glaubwürdigkeit der Ergebnisse durch Nachweise und regelmäßige Prüfungen Dritter steigt.
Sofern aufseiten des verantwortlichen Unternehmens eine eigene Zertifizierung vorliegt, können die für die Beibehaltung dieser Zertifizierung erforderlichen Regelprüfprozesse je nach Zertifizierungsmodell einen erheblichen Teil der rechtlichen Anforderungen an die regelmäßige Prüfung abdecken. Der Reifegrad von zertifizierten Unternehmen ist vor allem hinsichtlich vorhandener Dokumentationen und Nachweise in der Regel deutlich höher als bei solchen Unternehmen, die keinen Regelprüfungen im Rahmen interner und externer Audits unterliegen.
Für die Pflicht der regelmäßigen Prüfung von Lieferanten und Dienstleistern erscheint eine Zertifizierung des eigenen Unternehmens auf den ersten Blick oft irrelevant. Dennoch sollte man beachten, dass gerade Unternehmen mit eigener Zertifizierung aufgrund der damit einhergehenden Anforderungen in den regelmäßigen Auditierungen tendenziell zu einer weniger aufwendigen, weil mit weniger Abweichungen behafteten Lieferkettetendieren. Damit einhergehend steigt der Druck auf eingebundene Lieferanten und Dienstleister, ebenso einem einheitlichen Prüfschema zu folgen und entsprechend definierte Zertifizierungen vorweisen zu können.
Perspektive von Lieferanten und Dienstleistern
Neben dem Nachweis für das eigene Unternehmen sind für Unternehmen in der Zuliefererkette und solche, die als Dienstleister agieren, vor allem die Anforderungen der (B2B-)Kunden relevant. Das heißt, es gilt einerseits Nachweise entlang der eigenen Lieferkette einzuholen und andererseits – oft gewichtiger – Nachweise für die eigenen Kunden zu erbringen.
Da Cyberangriffe zunehmend bevorzugt auch auf Lieferanten und Dienstleister in der Supply-Chain zielen, wird die Umsetzung rechtlicher Anforderungen an die Prüfung von Dienstleistern und Lieferanten immer relevanter. In der Praxis wird die Sicherstellung eines entsprechenden Verständnisses von Informationssicherheitsrecht unterschiedlich gehandhabt: Das Spektrum reicht von Vor-Ort-Audits aller Standorte über Remote-Audits zwischen wenigen beteiligten Ansprechpartnern bis hin zu (teil-)automatisierten oder gar manuellen dokumentenbasierten Prüfungen.
Mit steigender Standardisierung der Prüfkriterien sinkt zumindest der Aufwand für die Prüfung der Rückläufer. In Summe lässt sich aber festhalten, dass der Aufwand für Dienstleister-Prüfungen häufig keinem dem Risiko angemessenen Ertrag entgegensteht. Mit steigenden Anforderungen der eigenen Stakeholder und all dem Lehrgeld, das ganz allgemein für Verfehlungen von Dienstleistern zu zahlen ist, etabliert sich zunehmend eine Tendenz hin zu risikoaverseren Prüfungskriterien.
Selbst wenn der intern erstellte Nachweis auch ohne Zertifizierung pflichtbewusst und mit Sorgfalt erbracht werden kann, kostet es zumeist zusätzlichen (internen) Aufwand, um die eigenen Kunden vom vorhandenen Sicherheitsbewusstsein zu überzeugen und die von ihnen geforderten Nachweise in der geforderten Struktur zu erbringen. Zumeist (und völlig unabhängig vom Inhalt) genügt der Eigen-Nachweis schon aus formellen Gründen nicht – und seitens der Kunden fehlen oft der Mut oder die fachliche oder strukturelle Kompetenz, um einen Eigennachweis als „geeignet“ anzuerkennen.
In der Praxis bedeutet dies, zumeist für mehrere Beteiligte, endlose Listen auszufüllen und an die Kunden zurückzusenden. Eine Übersicht über diese Zusicherungen zu behalten, gestaltet sich ebenfalls schwierig, da die Fragebögen der Kunden individuell ausgefertigt sind und zudem erforderliche Auslegungen der einzelnen Fragestellungen dafür sorgen, dass eine unternehmensweit einheitliche Beantwortung der abgefragten Punkte gegenüber den Kunden quasi genauso unmöglich ist wie der Aufbau eines übersichtlichen Inventars getroffener Sicherheitsmaßnahmen-Zusicherungen gegenüber den Kunden.