Home » Fachbeiträge » Security Management » Compliance-konform kommunizieren

Compliance-konform kommunizieren

Datenschutz und Compliance werden häufig synonym verwendet. Dabei umfasst Compliance deutlich mehr als die reine Einhaltung rechtlicher Vorgaben. Oft geht es bei den Compliance-Richtlinien, die sich Unternehmen selbst setzen, um Transparenz, die Vermeidung von Korruption oder um Datensparsamkeit – kurz: um den sicheren Umgang mit Daten und Informationen. Das fängt bei E-Mail-Inhalten an.

5 Min. Lesezeit
Foto: ©AdobeStock/Montri

Compliance nimmt einen immer größeren Stellenwert in Unternehmen ein und wird zunehmend zu einem Qualitätsmerkmal für Anbieter und Lieferanten sowie zu einem Vertrauensanker für die Zusammenarbeit. Unternehmen, die Themen wie Datenschutz, Korruptionsprävention und eine offene, transparente Kommunikationskultur auf ihre Agenda schreiben, können diese gegenüber der Konkurrenz in einen Wettbewerbsvorteil verwandeln.

Voraussetzung dafür ist, dass entsprechende Richtlinien nicht nur vorgegeben, sondern auch tatsächlich gelebt werden. Für Unternehmen ist es daher unerlässlich, Lösungen zur Verfügung zu stellen, die es ermöglichen, Regeln wirklich einzuhalten, also beispielsweise datensparsam und datenschutzkonform zu kommunizieren. Zudem müssen die Verantwortlichen dafür sorgen, dass mögliche Vergehen gegen Regularien gemeldet werden können, ohne dass für den Meldenden ein Nachteil entsteht.

Datenschutz als Default-Modus

Basis für eine Compliance-konforme Kommunikation sind Tools, die die Sicherheit von Daten und Informationen erhöhen, ohne dabei zu sehr in den Arbeitsalltag der Mitarbeiter:innen einzugreifen. Wenn sich Software-Lösungen nahtlos in die gewohnte Arbeitsumgebung integrieren lassen und einfach in der Handhabung sind, werden sie auch tatsächlich angenommen und genutzt.

Die E-Mail ist weiterhin das gängigste Kommunikationsmittel. Ob intern oder extern in der Kommunikation mit Kunden, Partnern oder Lieferanten – tagtäglich werden E-Mails verschickt, die mitunter sensible Informationen oder sogar personenbezogene Daten enthalten, die nach der Datenschutzgrundverordnung (DSGVO) entsprechend geschützt werden müssen. Cyberkriminelle setzen hier an und versuchen, die unverschlüsselte E-Mail-Kommunikation abzufangen, um Informationen zu sammeln, die beispielsweise als Basis für Phishingangriffe genutzt werden oder auch, um Ransomware direkt in das Empfängersystem einzuschleusen. Laut dem Bericht zur Lage der IT-Sicherheit in Deutschland des Bundesamtes für Sicherheit in der Informationstechnik (BSI) stellen Phishing-Mails und Ransomware-Angriffe weiterhin die größte Bedrohung für Organisationen dar.

Um sich vor diesen Gefahren zu schützen und eines der wichtigsten Einfallstore für Cyberkriminelle zu schließen, setzen Unternehmen zunehmend auf einen verschlüsselten E-Mail-Verkehr. Schon die gängige Transportverschlüsselung (TLS) bietet eine deutliche Erhöhung des Schutzniveaus. Noch einen Schritt weiter geht die Inhaltsverschlüsselung, also die durchgängige Ende-zu-Ende-Verschlüsselung der E-Mail-Nachrichten einschließlich der versendeten Dateianhänge.

Obwohl die Verschlüsselung des E-Mail-Verkehrs eine wirkungsvolle Maßnahme ist, um Compliance-konform zu kommunizieren und die IT-Sicherheit des Unternehmens maßgeblich zu erhöhen, hat sich die verschlüsselte Kommunikation noch nicht flächendeckend durchgesetzt. Der Grund: Häufig fürchten Unternehmen den komplizierten Austausch der Zertifikate zwischen Sender- und Empfänger-Postfach, was die Akzeptanz der Mitarbeitenden erschwert.

Allerdings ist ein umständlicher Schlüsselaustausch, wie er beispielsweise bei Pretty Good Privacy (PGP) noch erforderlich ist, nicht mehr State of the Art. Inzwischen gibt es Lösungen auf dem Markt, die die Kommunikation direkt im E-Mail-Postfach verschlüsseln können. Wenn darüber hinaus noch weitere Sicherheitseinstellungen getroffen werden, wird die Sicherheit erhöht, ohne dass es die Mitarbeitenden bemerken. Betreff, Dateiformate, Anhänge oder andere Parameter sind zuverlässige Steuerungsmöglichkeiten, die sich für die sogenannten Security-by-Default-Einstellungen eignen. Mittels dieser Einstellungen lässt sich beispielsweise vorprogrammieren, dass E-Mails immer dann Ende-zu-Ende verschlüsselt sind, sobald eine Datei angehängt wird oder bestimmte offene Dateiformate grundsätzlich nicht ausgeführt werden dürfen. Solche Lösungen, die die Sicherheit von Systemen, Daten und Informationen im Hintergrund erhöhen, sind die Basis für eine Compliance-konforme Kommunikation.

Online-Formulare als Ersatz für Funktionsadressen

Neben der Datensicherheit spielt auch die Datensparsamkeit eine bedeutende Rolle, wenn Unternehmen Compliance-konform kommunizieren wollen. Das bedeutet, dass allein die
Daten und Informationen erfasst werden, die wirklich relevant sind, und nur die Empfängergruppen erreichen, die sie benötigen.

Zahlreiche Unternehmen nutzen Funktionsadressen wie info@, um Kunden und Interessenten eine Schnittstelle nach außen zu bieten. Was auf den ersten Blick praktisch erscheint, birgt aber auch Risiken: Welche Personen sind auf dem Verteiler? Sind die Informationen für alle Personen auf dem Verteiler relevant? Wie werden die Anfragen weitergeleitet? Wie ist sichergestellt, dass keine wichtigen Informationen verloren gehen? Und wie werden die Verteiler auf dem neuesten Stand gehalten?

Für einen strukturierten und sparsamen Umgang mit Daten und Informationen eignen sich als Alternative zu Funktionsadressen intelligente und sichere Online-Formulare, die direkt in die Unternehmens-Website eingebettet werden können. Eine solche Lösung erfasst systematisch und standardisiert die Daten und prüft sie schon vor der Übermittlung auf Vollständigkeit. Zugleich fragt sie im weiteren Prozess nur solche Informationen ab, die tatsächlich notwendig sind, um beispielsweise eine Bestellung zu bearbeiten oder einen Antrag zu stellen. Anschließend leitet sie diese automatisch an vorab definierte Ansprechpersonen weiter.

Mehr Sicherheit für Hinweisgeber

Online-Formulare eignen sich nicht nur für den strukturierten Dateneingang und die automatisierte Übermittlung von Daten an die richtigen Empfängergruppen. Intern können Unternehmen sie nutzen, um Vergehen gegen Compliance-Richtlinien oder andere Verstöße sicher und anonym zu melden und eine offene Fehlerkultur im Unternehmen zu etablieren.

Die rechtliche Basis für eine transparentere Fehlerkultur trat mit der EU-Whistleblower-Richtlinie im Oktober 2019 in Kraft. Ziel war und ist es, Hinweisgebende zu schützen, die auf unternehmensinterne Missstände oder den Verstoß gegen gegen Compliance-Richtlinien hinweisen. In erster Linie betrifft das Verstöße gegen europäisches Recht, beispielsweise in den Bereichen Datenschutz, IT-Sicherheit und Geldwäsche.

Die EU reagierte damit auf eine wichtige Veränderung in der Wahrnehmung von Hinweisgebern. Immer mehr Behörden, Organisationen und Unternehmen etablieren IT-gestützte Hinweisgebersysteme, die eine verschlüsselte und damit anonyme Kommunikation sicherstellen und so die Basis für eine transparentere Fehlerkultur schaffen. Nicht wenige Unternehmen entscheiden sich dabei für die Einrichtung eines Hinweisgebersystems, das Whistleblowern eine schnelle, unkomplizierte Kontaktaufnahme ermöglicht.

Verantwortliche sollten jedoch bedenken, dass bei Meldungen eines möglichen Fehlverhaltens immer sensible, personenbezogene Daten verarbeitet werden. Damit diese Nachrichten die Anforderungen an die Datensicherheit erfüllen (Artikel 32, EU-DSGVO), müssen sie zwingend Ende-zu-Ende verschlüsselt sein, wobei sie auf Hochsicherheitsservern gespeichert werden sollten. Andernfalls ist die Integrität der übermittelten Daten stark gefährdet, was dazu führen kann, dass Informationen für die internen und externen Untersuchungen ungültig werden.

Die Einrichtung eines sicheren Meldesystems ist eine Chance für Unternehmen, eine positive, transparente und faire Fehlerkultur zu etablieren. So werden sie frühzeitig über Missstände im eigenen Unternehmen aufmerksam gemacht und schützen gleichzeitig die Identität ihrer Mitarbeitenden. Wenn darüber hinaus noch Lösungen zur Verfügung stehen, die Daten umfassend schützen, ohne dabei zu umständlich in der Handhabung zu sein, ist der Grundstein für eine Compliance-konforme Kommunikation gelegt.

Ari Albertini

Ari Albertini ist CEO bei der FTAPI Software GmbH.

Andere interessante Fachbeiträge

Wie Datenräume helfen, neue Geschäftsmodelle zu entwickeln

In der heutigen Zeit werden sehr große Datenmengen generiert und verwaltet, dennoch wird der Wert der Daten in Deutschland und Europa nicht voll ausgeschöpft. Die gemeinsame Nutzung von Daten kann und soll datengetriebene Anwendungen noch weiter vorantreiben, bei der Erfüllung regulatorischer Anforderungen helfen sowie einen finanziellen Mehrwert für Firmen schaffen.

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

NIS-2 ist alles andere als ein Papiertiger

Bis Oktober 2024 werden die EU-Mitgliedstaaten die neue NIS-2-Richtlinie (Network and Information Security Directive) in das jeweilige nationale Recht überführen – und dabei die Anforderungen und den Geltungsbereich der NIS-1 signifikant erweitern.