iQoncept - Fotolia

Data Protection mit Compliance in Einklang bringen durch Kommunikation

Data Protection, Policies und Compliance in die Praxis umzusetzen erfordert die Kommunikation zwischen sämtlichen Abteilungen eines Unternehmens.

Gesetzliche Vorschriften und Vorgaben, für die sich der Begriff Compliance (zu Deutsch Regeltreue) eingebürgert hat, bestimmen den Handlungsrahmen für ein Unternehmen. Das betrifft auch die Storage-Infrastruktur.

Compliance-Vorschriften diktieren, wie man IT-Operationen durchführen sollte, oder definieren zumindest, wie jemand anders das von seiner Warte aus sieht. Dieser „jemand anders“ könnten zum Beispiel ein höherer Vorgesetzter, ein Aufsichtsrat, die juristische Abteilung sowie externe Organisationen, Regierungsstellen oder Branchenverbände sein.

Angesichts so vieler potentiell zu berücksichtigenden Interessengruppen bleibt vielen Unternehmen nichts anderes übrig, als mehreren nicht miteinander abgeglichenen Regulierungen zu folgen. Ein an der Börse gehandelter Pharmahersteller in den USA muss zum Beispiel gleichzeitig Vorschriften der Börsenaufsicht Securities and Exchange Commission (SEC), der Lebensmittelkontrolle Food and Drug Administration (FDA), des Landwirtschaftsministeriums Department of Agriculture und der Polizeibehörde Drug Enforcement Administration (DEA) beachten.

Daneben gibt es ein paar Regulierungen, die sich in ihren Formulierungen auf Anforderungen an Data Protection beziehen, ohne dass dafür eine Methode ins Detail vorgeschrieben wird. Sie beziehen sich dagegen fast immer nur auf die zu erreichenden Ziele. Mit anderen Worten, diese Regulierungen geben nicht vor, welche konkreten Softwareprodukte oder Storage-Medien man einsetzen sollte – sie geben lediglich Auskunft darüber, wie lange man Daten aufbewahren soll und welche Vorschriften es zum Löschen von Daten gibt.

Was auch immer eine Regulierung bezüglich der Anforderungen an Data Protection beabsichtigt oder nicht klar im Detail ausspricht, in Wahrheit ist man schon gescheitert, wenn man sich nur auf die Angaben der Backup-Administratoren verlässt. In der Regel haben Backup-Administratoren nicht genug Einblick in alle Aufgaben, die mit Data Protection und den internen Policy-Richtlinien zusammenhängen. Zum Beispiel wird ein Administrator für virtuelle Maschinen eher über die Absicherung von bestimmten virtuellen Maschinen Bescheid wissen als ein Backup-Administrator. Oder ein Datenbank-Administrator wird vielleicht die zuständige Person im Unternehmen sein, die sich um die erfolgreiche sekundäre Replikation einer besonderen geschäftskritischen Datenbank kümmert. Backup-Administratoren kennen oft nicht einmal genau alle Vorschriften, die im Alltag befolgt werden müssen.

Backup-Administratoren spielen zwar eine wichtige Rolle bei Compliance. Aber andere Teilnehmer sind genauso zu beachten:

  • Anwendungsentscheider (zum Beispiel Datenbank-Administratoren). Sie bestimmen anhand von Best Practices für Daten-Management, wie Anwendungen verfügbar gehalten werden.
  • Infrastruktur-Manager (zum Beispiel Administratoren für virtuelle Maschinen oder IT-Operations-Mitarbeiter). Sie kontrollieren, wie Server ausgestattet und am Laufen gehalten werden.
  • Leiter von Geschäftsabteilungen und Nicht-IT-Angestellte. Sie sind für verschiedene Teams verantwortlich, deren Arbeit auf der IT-Infrastruktur beruht und die Daten benutzen oder erzeugen, die Regulierungen betreffen.
  • Compliance-Teams. Sie umfassen Mitarbeiter aus der Personalabteilung, der internen Rechtsabteilung sowie externe Buchprüfer und Rechtsanwälte.

Jede Gruppe spielt eine unverzichtbare Rolle bei der Umsetzung von Compliance, weil in den meisten Organisationen eine einzige Gruppe nicht sämtliche Aspekte der Regulierungen allein bestimmen kann. Einige Mitarbeiter verstehen die Regulierungen. Andere kennen sich bei den Daten aus. Einige verstehen die Plattformen. Andere wiederum wissen, wie die Daten und die Plattformen zugleich geschützt und wiederherstellbar gemacht werden müssen, um ihre Verfügbarkeit zu garantieren.

Kommunikation ist der Schlüssel

Der wichtigste Teil von Compliance besteht in der Kommunikation. Der Prozess beginnt damit, dass Compliance-Teams über anwendbare interne und externe Regulierungen und gewünschte Ergebnisse informiert werden müssen. Besonders wenn externe Erfordernisse eine Rolle spielen, sollte eine umfassende Tabelle erstellt werden, die sämtliche Compliance-Anforderungen auflistet. Diese Liste sollte dann halbjährlich überprüft werden, um ihre Aktualität sicherzustellen.

Einige Regulierungen können mit anderen in Konflikt geraten, aber auf der Ebene eines einzigen Datensets ist das eher eine Ausnahme. (Zum Beispiel kann ein Bundesgesetz zu einem regionalen Gesetz in Widerspruch stehen. In solch einem Fall muss die Rechtsabteilung des Unternehmens entscheiden, welche Regeln einen höheren Stellenwert haben oder sie muss das Vorgehen festlegen, wie man beide zu einem Ausgleich in der Praxis bringen kann.)

Nachdem festgelegt worden ist, welche verbindlichen Ergebnisse erzielt werden müssen – zum Beispiel nach der Entscheidung, welche Datensätze sieben statt sechs Jahre lang aufbewahrt werden müssen –, sollte die Kommunikation zwischen dem Compliance-Team und anderen Gruppen innerhalb des Unternehmens auf jeden Fall fortgesetzt werden.

Es sollten auch einige Trainingskurse durchgeführt werden, was getan werden muss und warum es wichtig ist. Anschließend die Ergebnisse an die Kursteilnehmer zum Beispiel in der Form von zuverlässigen schriftlichen Unterlagen austeilen, einschließlich der Beschreibung relevanter Regulierungen und ökonomischer Hintergründe. Ein solches Vorgehen sollte man auch von den anderen Teams einfordern, um allgemein gültige Maßstäbe für die Erreichung von Compliance zu entwickeln. So könnte man auch zu Updates der Management-Prozesse kommen, die für verschiedene Geschäftsabteilungen spezifisch sind.

Best Practices für Compliance

Nachdem gemeinsame Pläne für die Verbindung von Data Protection und Compliance entwickelt worden sind, kommen zwei weitere Aktionen ins Spiel:

  1. Die Erwartungen prüfen. Es gibt zwei Wege, Compliance zu überprüfen: versuchen, eine Prüfung zu bestehen oder eine grundsätzliche Verbesserung anstreben. Was den ersten Weg angeht, wird man sicher einzelne Verbesserungen vornehmen, man wird aber immer noch auf einem größeren Niveau Schiffbruch erleiden können. Man sollte stattdessen alle möglichen Warnsignale herausfiltern, wenn auch auf eine sichere und kooperative Art und Weise. Mit einem solchen Vorgehen wird man eine bessere Chance haben, Audits erfolgreich zu überstehen und Wissen für kritische Situationen zu erwerben.
  2. Externe Expertise hinzuziehen. Der Unterschied zwischen Wissen und Weisheit besteht in Erfahrung. Firmeneigene Teams verfügen vielleicht über das zusammengetragene Wissen, um IT- und Business-Prozesse mit anwendbaren Aufträgen zusammenzubringen, aber Experten von außerhalb mit ihrer verbürgten Compliance-Erfahrung werden dabei helfen, alle Einzelheiten wie bei einem Puzzle zusammenzubringen, wenn es um Datenschutz und Compliance geht. Zum Beispiel können sie ihre eigenen Erfahrungen beitragen, wie bestimmte Aufträge IT- und Business-Prozesse bei anderen Kunden beeinflusst haben.

Insgesamt gilt es zu beachten, dass man sich nicht nur auf einen Backup-Administrator verlassen sollte, um den Compliance-Status eines ganzen Unternehmens zu gewährleisten. Man sollte sich für mehr Kommunikation unter allen Fachabteilungen einsetzen und Trainingsgruppen organisieren. Man sollte nicht verzweifeln, wenn man während einer internen Prüfung ein größeres Problem entdeckt: Das gibt einem immerhin die Möglichkeit, diese Sache zu lösen, bevor sie ein wirklich teures Problem wird. Und nicht zu vergessen: Externe Experten einsetzen, um deren weitgehende Erfahrungen auch mit anderen Kunden praktisch zu verwerten. Sie können einem dabei helfen, Fallgruben zu vermeiden, von denen man nicht einmal eine Ahnung hatte, dass sie überhaupt existieren.

Auf diese Art und Weise wird man gerüstet sein, erfolgreich und langfristig Compliance-Regeln für Unternehmen einzuhalten.

Über den Autor:
Jason Buffington ist Senior Analyst der Enterprise Strategy Group.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Gefahr für Sicherheit und Compliance: Schwachstellen in Industrieanlagen.

Compliance: Auch Cloud-Storage braucht eine räumliche Abschirmung.

EU-Datenschutz: Cloud-Sicherheit und die GDPR – erste Schritte für die Compliance.

Hyperkonvergente Systeme können Flexibilität in der Data Protection verbessern.

Artikel wurde zuletzt im Dezember 2016 aktualisiert

Erfahren Sie mehr über Gesetzeskonforme Datenspeicherung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close