2018 brachte die Datenschutzgrundverordnung, 2019 den neuen Standard für Informationssicherheit der deutschen Automobilindustrie: TISAX®. Wer glaubt, dass das alles gewesen sei, der irrt. 2020 nämlich, geht es direkt so weiter. Das nächste große Ding ist die Zertifizierung für die US-Film- und Fernsehindustrie – und wie üblich tarnt sich auch diese mit einer harmlosen Abkürzung: TPN (Trusted Partner Network). Wer jetzt noch denkt, nur die sicherheitsversessenen Deutschen würden sich mit Datenschutzthemen herumschlagen, irrt ebenfalls: Zum 01. Januar 2020 ist mit dem California Consumer Privacy Act (CCPA) in Kalifornien eine neue ePrivacy-Verordnung in Kraft getreten.
Spätestens jetzt wird das große Muster deutlich erkennbar: DSGVO und TISAX waren keine Eintagsfliegen, einmalige Ausrutscher oder nerviger Bürokratiekram, der es Unternehmen schwer macht, den man aber irgendwann von der Liste streichen kann. Vielmehr ist das die Digitalisierung, die langsam ihr wahres Gesicht zeigt: Sie macht Dinge transparenter – aber eben auch überwachbar und überprüfbar. Das betrifft nicht nur Geldströme und Gesichtserkennung, sondern eben auch Strukturen und Prozesse in Unternehmen. Mein Rat lautet also: Wer sich bisher noch irgendwie davor drücken konnte, sollte spätestens jetzt anfangen, Maßnahmen zu Datenschutz und Informationssicherheit zu ergreifen. Denn diese Themen kann man weder „aussitzen“, noch werden sie irgendwann einfach „weggehen“.
Security made in Germany
Man liest es dieser Tage an jeder Ecke: Deutschlands Wirtschaft geht den Bach runter – und Schuld soll auch die DSGVO sein. Sie mache Prozesse umständlich und lege damit unsere Unternehmen lahm. Gegen Länder wie China, die im Umgang mit Datenschutz und Informationssicherheit nicht als die strengsten gelten, hätten wir keine Chance. Ähnlich sieht das auch Serien-Entrepreneur und jahrelanger „Die Höhle der Löwen“-Investor Frank Thelen.
Ich empfehle sein Buch „Frank Thelen – Die Autobiografie: Startup-DNA – Hinfallen, aufstehen, die Welt verändern“ gerne, denn Frank Thelen stärkt den Unternehmergeist in diesem Land. Aber in diesem Punkt bin ich nicht seiner Meinung: Ich glaube, dass wir in Deutschland durch die EU-Richtlinie ein Bewusstsein für das Thema Datenschutz entwickelt haben – wir nehmen den Datenschutz ernst und haben bereits viele Erfahrungen in der Umsetzung gesammelt. Dadurch hat Deutschland jetzt die Chance, im Bereich Datenschutz und Informationssicherheit zum Vorreiter zu werden – ein Gütesiegel ähnlich dem Schweizer Bankgeheimnis. Endlich wieder ein neuer, heißer Wachstumsmarkt „made in Germany“.
Innovation durch Business-Frühjahrsputz
In unserer Grundlagen-Schulung „Foundation VDA ISA/TISAX“ vermitteln wir den Teilnehmern die wichtigsten Aspekte der Informationssicherheit. Wir beobachten dabei, dass in der öffentlichen Wahrnehmung vor allem die Vertraulichkeit im Vordergrund steht. Dabei wurde ihr von den TISAX-Machern ein natürlicher Gegenspieler an die Seite gestellt: die Verfügbarkeit. Wer sich nur auf die Vertraulichkeit konzentriert und alle Zugänge mit einer 12-Faktor-Authentifizierung verschlüsselt, vernachlässigt die Verfügbarkeit. Die Folge: Das Team wird Schwierigkeiten haben, überhaupt noch zu arbeiten. Wenn aber Vertraulichkeit und Verfügbarkeit sich die Waage halten, wird das eigene Unternehmen nicht langsamer. Nur sicherer.
Das ist aber noch nicht alles. Wer erst einmal die eigene Bockigkeit ob des von außen aufoktroyierten Compliance-Audits überwunden hat, kann das Ganze als Chance betrachten, das gesamte Unternehmen mit Fokus auf die Prozesse zu durchleuchten und fit fürs Digitalzeitalter zu machen. Das ist wie mit dem Frühjahrsputz oder bei einem Umzug, wenn man einmal durch alle Schränke durchgeht, Sachen aussortiert, die man nicht mehr braucht, und die Ordnungssysteme auf Vordermann bringt. Dieses tolle Ritual gibt es leider nur in Privathaushalten, nicht in Unternehmen. Dabei setzt es Potenziale frei, fördert Innovation und hilft, sich auf das Wesentliche zu konzentrieren: Man glaubt kaum, wie viel gewachsenes Chaos, Behelfslösungen, Improvisation und Kesselflickerei es in Unternehmen gibt. Genau die sind es, die das Unternehmen langsam und unproduktiv machen – und nicht der Datenschutz.
Wir sind nicht die Einzigen, sondern die Ersten: CCPA und TPN are coming
Doch unabhängig davon, wie man den Umgang mit DSGVO und TISAX hierzulande bewertet, ist eines klar: Deutschland und die EU sind nicht die Einzigen, die sich mit diesen Themen beschäftigen. Wir waren eine ganze Zeit lang einfach nur die Ersten. 2020 setzte Kalifornien mit dem CCPA, dem „California Consumer Privacy Act“, gerade einen Verbraucherschutz um, der mit der ePrivacy-Verordnung vergleichbar und die in der EU sogar bisher gescheitert ist. (Allerdings nur bisher: Die ePrivacy-Verordnung (ePVO) ist nicht vom Tisch und kommt schätzungsweise 2021.)
Das, was TISAX für die Automobilindustrie ist, ist TPN ab sofort für die US-Film- und Fernsehindustrie: Die „Trusted Partner Network“-Zertifizierung bestätigt die Sicherheit von Auftragnehmern, die für Auftraggeber wie Netflix arbeiten wollen. TPN ist dabei keine Zukunftsmusik: Wir bei Nextwork haben auf Basis unserer vielen Erfahrungen mit TISAX einen TPN-Anforderungskatalog entwickelt und unterstützen Kunden aktuell schon bei den ersten TPN-Zertifizierungen.
Don’t panic: Wer anfängt, dem gelingt jedes Datenschutz- und Informationssicherheits-„Upgrade“
Wer jetzt denkt, dass ein Tsunami an Zertifizierungen auf uns zurollt, den kann ich beruhigen. Die gute Nachricht ist: Hat man einmal ein Datenschutz- oder Informationsmanagementsystem angelegt, ist es halb so wild, das „Upgrade“ zu einer komplexeren Zertifizierung zu schaffen. Denn die Anforderungen rund um Datenschutz und Informationssicherheit haben immer auch Gemeinsamkeiten. Wer von Null auf den TPN-Standard kommen möchte, wird es schwer haben. Denn TPN fordert noch mehr Maßnahmen als TISAX. Wer aber schon Maßnahmen rund um die DSGVO ergriffen hat, für den ist es schon viel leichter, sich etwa auf ein TISAX-Audit vorzubereiten. Und wer schon TISAX gemeistert hat, wird es nicht so schwer haben, sich beispielsweise auch für TPN zu zertifizieren.
Daher mein Rat: Unbedingt anfangen. Besonders, wenn man mit dem eigenen Unternehmen auch international unterwegs ist. Denn: Die Bestimmungen werden nicht weniger werden.
Abschließend aber noch ein echter Lichtblick für alle, die jetzt erst loslegen: In der Pionier- und Anfangsphase mussten die Unternehmen, und auch wir, noch viel lernen und ausprobieren, was die Umsetzungsmöglichkeiten rund um Datenschutz und Informationssicherheit angeht. Jetzt aber gibt es Prozesse und Systeme, die schon erprobt sind – und bei denen aus den Fehlern der Pioniere gelernt wurde.