Was ist Compliance?

Wie gelingt die Implementierung von Compliance in der IT?

Unternehmen sehen sich mit einem Flickenteppich von Gesetzen, Vorschriften und Standards konfrontiert, die eine öffentliche Bekanntgabe von Sicherheitsverstößen im Zusammenhang mit personenbezogenen Daten verlangen. Sie sind entweder verpflichtet oder durch andere Anreize motiviert, Programme zur Informationssicherheit aufzubauen oder zu optimieren, um Sicherheitsverstöße, Strafen, Sanktionen und rufschädigende Schlagzeilen zu verhindern.

Die (Regulatory) Compliance – d. h. die Konformität mit gesetzlichen bzw. regulatorischen Vorschriften – lässt sich mit Security Governance durchsetzen, die Aktivitäten wie das Risikomanagement umfasst. Dazu gehört die Bewertung von Compliance-Risiken, Incident Response, Prozessoptimierungen, die Erkennung von Events, Business Continuity- und Disaster Recovery-Planung, das Ressourcenmanagement sowie die Festlegung von Metriken zur Messung von Fortschritt und Effizienz. Information Security Governance zielt darauf ab, eine effektive Struktur und klare Definitionen von Rollen und Verantwortlichkeiten festzulegen, welche die Ansprüche der Interessensgruppen im Unternehmen, der Rechtsabteilung und der IT in Einklang bringen. Security Governance hilft unter anderem dabei, Compliance-Risiken zu ermitteln und in der IT-Sicherheitsrichtlinie Gegenmaßnahmen zu formulieren – dazu zählen technische und organisatorische Kontrollmechanismen und Leitlinien, die von den operativen Teams zu befolgen sind.

Compliance-Kosten

Die dauerhafte Einhaltung einer Vielzahl von Compliance-Vorschriften ist ein komplexer und kostspieliger Prozess. Rechts- und IT-Abteilung müssen die jeweiligen Vorschriften auf ihr Unternehmen übertragen, eine Lückenanalyse durchführen und anschließend IT-Sicherheitsrichtlinien erstellen und überarbeiten. Darüber hinaus müssen Unternehmen neue Prozesse oder Funktionen implementieren und bestehende ändern, die Wirksamkeit regelmäßig überwachen und die Einhaltung der Vorschriften gegenüber Behörden oder IT-Auditoren nachweisen. Für viele Unternehmen bedeutet der erforderliche Zeit-, Ressourcen- und Personalaufwand Zusatzkosten in Höhe von mehreren Millionen Dollar. Allerdings ist Compliance oft viel weniger kostspielig als die Bußgelder, die bei einem Verstoß gegen die Vorschriften anfallen, und der Zeit- und Arbeitsaufwand, der erforderlich ist, um das Vertrauen der Kunden zurückzugewinnen.

Was ist HIPAA?

HIPAA steht für Health Insurance Portability and Accountability Act. Das US-Gesetz trat 1996 in Kraft und standardisiert den Umgang mit Patientendaten, die von Arztpraxen, Krankenhäusern, Krankenversicherungen und anderen Gesundheitsdienstleistern erfasst werden. Die Einhaltung des HIPAA wird sowohl vom US-Ministerium für Gesundheitspflege und Soziale Dienste (HHS) als auch von dessen Unterabteilung, dem Amt für Bürgerrechte (OCR), durchgesetzt. Ein Verstoß gegen die Vorschriften kann zivil- und strafrechtliche Folgen haben, mit Bußgeldern von bis zu 50.000 US-Dollar bei zivilrechtlichen Verstößen und bis zu zehn Jahren Haft bei strafrechtlichen Verstößen.

Das HIPAA umfasst mehrere miteinander verknüpfte gesetzliche Regelungen, darunter:

1. HIPAA Privacy Rule: Die HIPAA-Datenschutzregel legt nationale Standards für den Zugang zu Gesundheitsdaten von Patienten (Patient Health Information, PHI) fest, zu denen alle Informationen gehören, die in den medizinischen Unterlagen einer Person enthalten sind, einschließlich Kontaktdaten, Sozialversicherungsnummern, Finanzdaten, Diagnosen, Behandlungen und andere personenbezogene Daten. Sie gilt nur für betroffene juristische Personen im Sinne des HIPAA („Covered Entities“).
2. HIPAA Security Rule: Die Sicherheitsregel bietet spezifische Richtlinien für PHI und wie diese elektronisch erstellt, gespeichert, übertragen oder empfangen werden (auch bekannt als ePHI). Aufgrund der gemeinsamen Nutzung elektronischer Daten gilt diese Regel sowohl für betroffene juristische Personen im Sinne des HIPAA als auch für deren Geschäftspartner („Business Associates“), also die Serviceanbieter, die PHI verarbeiten.
3. HIPAA Breach Notification Rule: Die Regel zur Benachrichtigung über Verstöße umreißt die Verfahren, die betroffene juristische Personen im Sinne des HIPAA und ihre Geschäftspartner im Falle einer Offenlegung von PHI befolgen müssen.
4. HIPAA Enforcement Rule: Die Durchsetzungsregel enthält die Verfahren und Strafen im Zusammenhang mit Verstößen gegen das HIPAA.

Das HHS definiert einen Verstoß gegen das HIPAA als „eine im Allgemeinen unzulässige Nutzung oder Offenlegung gemäß der Privacy Rule, die die Sicherheit oder den Datenschutz der zu schützenden Gesundheitsdaten gefährdet.“ Ein Verstoß wäre beispielsweise ein unverschlüsselter Laptop mit Hunderten von Patienten-PHI, der aus einem ungesicherten Raum in einer Arztpraxis gestohlen wurde.

Was ist für die HIPAA-Compliance erforderlich?

HIPAA-Compliance erfordert den Schutz der PHI der Patienten in all ihren Formen – mündlich, schriftlich und elektronisch. Im HIPAA Journal werden sieben Schritte zum Erreichen der HIPAA-Compliance beschrieben, die folgende Elemente umfassen: Entwicklung und Durchsetzung von Richtlinien und Verfahren, Ernennung eines HIPAA-Compliance-Beauftragten, Durchführung wirkungsvoller Mitarbeiter- und Managementschulungen, Einrichtung effektiver Kommunikationskanäle, internes Monitoring und Audits, Reaktion auf Verstöße, Ergreifen von Abhilfemaßnahmen, Bewertung von Richtlinien und Verfahren sowie deren Änderung bei Bedarf.

DSGVO steht für die Datenschutzgrundverordnung, die 2016 verabschiedet wurde und für alle Organisationen innerhalb der EU sowie für Organisationen mit Sitz außerhalb der EU gilt, die dort Niederlassungen oder Kunden haben. Seit ihrem vollständigen Inkrafttreten im Jahr 2018 ist die DSGVO das wichtigste Gesetz für den Schutz personenbezogener Daten in der Europäischen Union. Mit der DSGVO, die die EU-Datenschutzrichtlinie 95/46/ec abgelöst hat, wurden neue Anforderungen für sämtliche Transaktionen eingeführt, darunter folgende:

• Einwilligung des Kunden, wenn Daten erfasst und verarbeitet werden
• „Pseudonymisierung“ erfasster Daten zwecks Datenschutz
• Meldung von Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden eines Incidents
• Richtlinien für die sichere Übermittlung von Daten an Drittländer
• Verpflichtung zur Benennung eines Datenschutzbeauftragten zur Überwachung der DSGVO-Compliance für bestimmte Unternehmen

Die Nichteinhaltung der Vorschriften kann Geldbußen von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes oder € 20 Millionen nach sich ziehen, je nachdem, welcher der Beträge höher ist.

Ein Verstoß gegen die DSGVO ist definitionsgemäß „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Gemäß dieser weiten Auslegung kann ein Verstoß alles sein, was ein Compliance-Risiko darstellt – von einem gehackten Computernetzwerk, das Kundendaten preisgibt, bis hin zu einer Festplatte, die unbeabsichtigt und ohne Backup gelöscht wird.

Um DSGVO-Compliance zu erreichen, müssen Datenverantwortliche (in der Regel, die Unternehmen, die im Besitz der Daten sind) und Datenverarbeiter (die Stellen, die die Kundendaten im Auftrag des Datenverantwortlichen verarbeiten) die vorgegebenen Standards für die Erfassung, Speicherung und Verarbeitung der Daten von EU-Bürgern erfüllen.

PCI ist die gängige Abkürzung für den Payment Card Industry Data Security Standard (PCI DSS), der 2004 eingeführt wurde. Seitdem wurde er regelmäßig aktualisiert, um die Sicherheitsstandards der Zahlungsabwicklung sowohl on- als auch offline zu verbessern. Der PCI DSS gilt für alle Organisationen, die Daten von Zahlungskarteninhabern annehmen, übertragen oder speichern, unabhängig von der Größe oder Anzahl der Transaktionen. Diese Standards werden vom Payment Card Industry Security Standards Council verwaltet und von den Eigentümern der fünf großen Kredit-/Debitkartenmarken durchgesetzt. Verstöße gegen den PCI können für die betreffende Bank zu Geldstrafen zwischen 5.000 und 100.000 US-Dollar pro Monat führen.

Ein Verstoß gegen den PCI ist jeder Incident, bei dem ohne Autorisierung Daten von Kreditkarteninhabern eingesehen oder entwendet werden bzw. darauf zugegriffen wird. Ein Verstoß kann auf einen böswilligen Hack, auf den Diebstahl eines ungesicherten Laptops oder auf einen Incident zurückzuführen sein, bei dem die personenbezogenen Daten des Karteninhabers unbefugten Benutzern zugänglich gemacht werden.

Die Anforderungen an die PCI-Compliance richten sich nach dem Transaktionsvolumen eines Unternehmens. Im Großen und Ganzen gibt es vier Compliance-Level, mit geringfügigen Unterschieden zwischen den wichtigsten Kartenmarken:

• Level 1: Händler, die mehr als 6 Millionen Transaktionen pro Jahr abwickeln
• Level 2: Händler, die 1 bis 6 Millionen Transaktionen pro Jahr abwickeln
• Level 3: Händler, die 20.000 bis 1 Millionen E-Commerce-Transaktionen pro Jahr abwickeln
• Level 4: Händler, die weniger als 20.000 E-Commerce-Transaktionen pro Jahr abwickeln, sowie alle anderen Anbieter, die jährlich bis zu 1 Million Transaktionen abwickeln

Der PCI DSS enthält zwölf primäre Anforderungen zum Schutz von Karteninhaberdaten:

1. Firewall installieren und warten
2. Keine vom Anbieter gelieferten Standardeinstellungen für Systempasswörter und andere Sicherheitsparameter verwenden
3. Gespeicherte Karteninhaberdaten schützen
4. Übertragung der Karteninhaberdaten in offenen, öffentlichen Netzwerken verschlüsseln
5. Antivirensoftware verwenden und regelmäßig aktualisieren
6. Sichere Systeme und Anwendungen entwickeln und pflegen
7. Zugriff auf Karteninhaberdaten je nach Geschäftsinformationsbedarf beschränken
8. Jeder Person mit Computerzugriff eine eindeutige Kennung zuweisen
9. Physischen Zugang zu Karteninhaberdaten beschränken
10. Zugang zu Netzwerkressourcen und Karteninhaberdaten protokollieren und überwachen
11. Sicherheitssysteme und -prozesse regelmäßig überprüfen
12. Eine Richtlinie mit Vorgaben zur Informationssicherheit für alle Mitarbeiter pflegen

NIST steht für National Institute of Standards and Technology und ist eine nicht-regulatorische Regierungsbehörde innerhalb des US-Handelsministeriums, die Standards für die Wissenschafts- und Technologiebranche festlegt. Diese Standards helfen zum Teil Bundesbehörden und Auftragnehmern, die Anforderungen des Federal Information Security Management Act(FISMA) zu erfüllen.

Einer der am weitesten verbreiteten Standards ist das Cybersecurity Framework (CSF), ein freiwilliges Framework, das für eine Vielzahl von Einzelunternehmen und anderen Organisationen entwickelt wurde, die Sicherheitskontrollen bewerten und Risiken proaktiv einschätzen wollen. Das Cybersecurity Framework ist in fünf Hauptfunktionen gegliedert, die für eine Vielzahl von Cyber-Sicherheitsbedrohungen Anleitungen zur Identifizierung, zum Schutz, zur Erkennung, Reaktion und Wiederherstellung enthalten.

Zu den NIST-Standards gehören auch die Federal Information Processing Standards (FIPS), eine Reihe von Cyber-Sicherheitsstandards, die von der US-Bundesregierung für nicht-militärische Regierungsbehörden, Auftragnehmer und Anbieter entwickelt wurden. FIPS legt unter anderem Anforderungen für Computersicherheit und Interoperabilität fest, wo breiter angelegte Branchenstandards unzureichend sind oder nicht existieren, und bietet einen Rahmen für die Codierung von Daten, Dokumentenverarbeitung, Verschlüsselungsalgorithmen und andere IT-Securityprozesse.

Was gilt als Verstoß im Sinne des NIST?

Das NIST gibt keine spezifische Definition für Sicherheitsverstöße vor. Vielmehr bieten die NIST-Standards, -Best Practices und -Richtlinien ein Framework für den Schutz von Daten vor internen und externen Bedrohungen und Angriffen und können helfen, Verstöße gegen andere Vorschriften, wie HIPAA, zu verhindern.

Was ist für die NIST-Compliance erforderlich?

Die NIST-Compliance-Standards können variieren, da sie oft auf die Erfüllung bestimmter gesetzlicher Anforderungen ausgerichtet sind. Beispielsweise führt die Behörde neun Schritte für die FISMA-Compliance an:

1. Kategorisieren der zu schützenden Informationen
2. Auswählen von Basiskontrollmechanismen
3. Weiterentwickeln der Kontrollmechanismen anhand eines Verfahrens zur Risikobewertung
4. Dokumentieren der Kontrollmechanismen im Systemsicherheitsplan
5. Implementieren von Sicherheitskontrollen in den entsprechenden Informationssystemen
6. Bewerten der Wirksamkeit der Sicherheitskontrollen nach deren Implementierung
7. Ermitteln des Risikos für die Mission oder den Business Case auf Behördenebene
8. Autorisieren der Verarbeitung durch das Informationssystem
9. Kontinuierliches Monitoring der Sicherheitskontrollen

Viele Regeln der NIST sind der 800er-Serie in der NIST-Sonderveröffentlichung aufgeführt, die sich mit den Security- und Datenschutzanforderungen der Daten- und Informationssysteme der US-Regierung befasst.

rity and privacy needs of the government’s data and information systems.

Wie erreiche ich NIST-Compliance?

Wenn Sie Geschäfte mit der US-Bundesregierung tätigen, müssen Sie ermitteln, welche Vorschriften einzuhalten sind. Ein guter Ausgangspunkt ist die Sonderveröffentlichung 800-171, in der dargelegt wird, wie Informationssysteme und Richtlinien zum Schutz von eingeschränkt zugänglichen Informationen (Controlled Unclassified Information, CUI) beschaffen sein müssen. Wenn Sie mit Subunternehmern arbeiten, müssen Sie auch deren Compliance überprüfen.

Was ist COPPA?

COPPA steht für Children's Online Privacy and Protection Act (Gesetz zum Schutz der Privatsphäre von Kindern im Internet) und ist ein 1998 erlassenes US-Bundesgesetz, das Unternehmen, die Apps, Websites und andere Online-Services betreiben, dazu verpflichtet, die Eltern zu benachrichtigen und deren Zustimmung einzuholen, bevor sie personenbezogene Daten von Kindern unter 13 Jahren erfassen. Zu diesen Informationen gehören Name, Adresse, Online-Kontaktinformationen, Sozialversicherungsnummer, Benutzer- oder Bildschirmname, Geolokalisierungsinformationen, jede Art von Foto-, Video- oder Audiodatei, die das Bild oder die Stimme eines Kindes enthält, oder eine dauerhafte Kennung (z. B. ein Cookie), die zur Wiedererkennung eines Kindes verwendet werden kann. Laut Verfügung der Federal Trade Commission (FTC) können Gerichte Betreiber mit zivilrechtlichen Strafen von bis zu 42.530 US-Dollar pro COPPA-Verstoß belegen.

Was gilt als Verstoß im Sinne des COPPA?

Ein COPPA-Verstoß kann alles sein, was gegen gesetzliche Vorschriften zur Erfassung und Nutzung der Daten von Kindern verstößt. Zum Beispiel würde eine Musik-Streaming-Website, die einem Kind unter 13 Jahren erlaubt, sich für ein Konto zu registrieren, ohne vorher die Zustimmung der Eltern einzuholen, gegen das COPPA verstoßen. Ein Unternehmen, das Maßnahmen zur Einhaltung der COPPA-Regeln ergreift, die dann jedoch fehlschlagen, kann ebenfalls einen COPPA-Verstoß begehen.

Was ist für die COPPA-Compliance erforderlich?

Die Einhaltung des COPPA lässt sich auf drei grundlegende Anforderungen reduzieren: Einholung einer überprüfbaren elterlichen Zustimmung, bevor Daten von Kindern unter 13 Jahren erfasst werden; Schutz der Vertraulichkeit, Sicherheit und Integrität dieser Daten und Veröffentlichung klarer Datenschutzrichtlinien, die erklären, wie die erfassten Daten verwendet und gespeichert werden. Zum Erreichen der COPPA-Compliance stellt die FTC eine ausführliche Liste häufig gestellter Fragen zur Verfügung und empfiehlt die Lektüre der FTC-Leitlinien zum Datenschutz von Kindern („FTC’s Children’s Privacy guidance“) sowie des Sechs-Schritte-Compliance-Plans für Ihr Unternehmen („Six-Step Compliance Plan for Your Business“). Sie können unter CoppaHotLine@ftc.gov auch eine E-Mail an die COPPA-Hotline senden.

Was ist CCPA?

CCPA steht für California Consumer Protection Act. Das Gesetz ist am 1. Januar 2020 in Kraft getreten und schreibt vor, wie Unternehmen, die in Kalifornien Geschäfte tätigen, personenbezogene Daten von Verbrauchern sammeln und nutzen dürfen. Unter personenbezogenen Verbraucherdaten ist definitionsgemäß alles von Kontaktdaten bis hin zu IP-Adressen, Einkaufshistorie und psychologischen Profilen zu verstehen. Laut CCPA haben die Einwohner Kaliforniens das Recht zu erfahren, welche personenbezogenen Daten über sie gesammelt werden, an wen diese Daten weitergegeben werden und ob diese Daten verkauft werden. Das Gesetz billigt ihnen außerdem das Recht zu, auf ihre gesammelten persönlichen Daten zuzugreifen oder dem Verkauf ihrer Daten zu widersprechen, wobei die Ausübung ihrer Datenschutzrechte sich nicht auf Dienstleistungen und Preise auswirken darf.

Was gilt als Verstoß im Sinne des CCPA?

Ein CCPA-Verstoß ist alles, was gegen das bestehende kalifornische Datenschutzgesetz verstößt. Dieses schreibt vor, dass Unternehmen jeden Einwohner Kaliforniens benachrichtigen müssen, dessen unverschlüsselte personenbezogene Daten gestohlen oder auf die ohne Genehmigung zugegriffen wurde. Das CCPA erweitert die Definition von „personenbezogenen Daten“ auf alles, was „einen bestimmten Verbraucher oder Haushalt identifiziert, sich auf ihn bezieht, ihn beschreibt, mit ihm in Verbindung gebracht werden kann oder nach billigem Ermessen direkt oder indirekt mit ihm verknüpft werden könnte“.

Was ist für die CCPA-Compliance erforderlich?

Zunächst einmal gilt es für Unternehmen festzustellen, über welche „personenbezogenen Daten“ – gemäß der Definition des CCPA – sie verfügen, wo sich diese befinden und wie sie weitergegeben werden. Danach müssen Sie Ihre Datenschutzrichtlinien aktualisieren und sich damit befassen, wie Sie Kundenanfragen zum Zugriff, zur Löschung oder zur Sperrung des Verkaufs ihrer Daten erfüllen und wie Sie die Kundendaten, die Sie verkaufen dürfen, von den Daten, die Sie nicht verkaufen dürfen, trennen können.

Compliance ist ein Muss

Compliance erfordert ein sorgfältiges Vorgehen und Fehltritte können sich beträchtlich im Geschäftsergebnis niederschlagen. Vor dem Hintergrund, dass jedes Jahr neue und immer strengere gesetzliche Regelungen in Kraft treten, ist Compliance vielleicht die größte Herausforderung, mit der Unternehmen konfrontiert sind. Zwar erfordert die Einhaltung der Vorschriften einen erheblichen Ressourcenaufwand, die Kosten der Nichteinhaltung können jedoch weitaus höher sein, sei es in Form von Strafen oder Rufschädigungen. Bei der Erfüllung gesetzlicher Anforderungen geht es vor allem darum, Risiken zu minimieren. Am besten können Sie Ihr Unternehmen schützen, indem Sie proaktiv ermitteln, welche spezifischen Vorschriften für Ihr Unternehmen gelten, und dann einen umfassenden Compliance-Plan entwickeln, um diese einzuhalten.