Unternehmen in ganz Europa und auf der ganzen Welt sind mit einer ständig wachsenden Zahl von Datenschutzbedrohungen konfrontiert. Von den eher traditionellen Ransomware- und Phishing-Versuchen bis hin zu modernsten, hochkoordinierten Internet-of-Things- und auch den neuartigen generativen KI-Angriffen – der Umfang und die Raffinesse dieser Bedrohungen entwickeln sich ständig weiter.
Rechtsabteilungen können eine wirksame und wichtige Rolle dabei spielen, Unternehmen in Bezug auf diese neuen Bedrohungen vorzubereiten. Die Befragung von Chief Legal Officers (CLOs) bietet daher wichtige Einblicke in die Bereitschaft eines Unternehmens. Zusätzlich zu den einzigartigen Fähigkeiten und Perspektiven, die sie innerhalb eines Unternehmens bieten, werden CLOs zunehmend als wichtige Mitwirkende an der Unternehmensstrategie gesucht, da Rechtsberater damit beauftragt sind, abteilungsübergreifend zusammenzuarbeiten. Diese Entwicklung hat in den vergangenen Jahren zu einer Zunahme der Aufgaben der CLOs geführt. Eine Mehrheit (58%) der CLOs beaufsichtigt heute drei oder mehr zusätzliche Geschäftsfunktionen neben der Rechtsabteilung selbst, und 27% beaufsichtigen fünf oder mehr, so die Ergebnisse der „2024 Chief Legal Officers Survey“ der Association of Corporate Counsel (ACC).
In Anbetracht des finanziellen Risikos und des Reputationsrisikos durch Daten- und Cybersicherheitsangriffe können CLOs auch eine wertvolle Ressource sein, wenn es darum geht, eine Datensicherheitsstrategie zu etablieren oder zu stärken, sei es durch die direkte Beaufsichtigung der Datensicherheitsfunktion oder durch die enge Zusammenarbeit mit Chief Information Security Officers oder anderen Stellen im Unternehmen. Obwohl sich die Datensicherheit weltweit zu einem kritischen Thema entwickelt hat, das große Aufmerksamkeit auf sich zieht, gaben nur 12% der CLOs an, dass sie „sehr zuversichtlich“ sind, was die Fähigkeit ihrer Organisation angeht, zufriedenstellend auf Cybersecurity-Vorfälle oder Datenschutzverletzungen zu reagieren. Angesichts der fast ständigen Änderungen der weltweiten Vorschriften und der rasanten technologischen Entwicklung können die Rechtsabteilungen der Unternehmen in Abstimmung mit der IT-Abteilung dazu beitragen, über neue Entwicklungen auf dem Laufenden zu bleiben, um die Einhaltung der gesetzlichen Vorschriften zu gewährleisten und das Unternehmen so gut wie möglich vor neuen Datenbedrohungen zu schützen.
Für Unternehmen, die sich in diesen schwierigen Gewässern zurechtfinden müssen, gibt es zehn praktische Strategien aus dem Playbook der CLOs, um die Führung und Effektivität bei der Verwaltung der Datensicherheit im Unternehmen zu verbessern:
1. Ein klares Verständnis von Gesetzen und Vorschriften
Das Verständnis relevanter Datenschutzgesetze wie der Datenschutz-Grundverordnung (DSGVO) oder des EU-Gesetzes über künstliche Intelligenz ist von grundlegender Bedeutung. CLOs müssen sich über diese Vorschriften auf dem Laufenden halten und sicherstellen, dass die Praktiken ihres Unternehmens in vollem Umfang konform sind. Regelmäßige Überprüfungen und Konsultationen mit den Rechts- und Complianceteams können dabei helfen, komplexe rechtliche Anforderungen zu entschlüsseln und sie mit den Datensicherheitsstrategien des Unternehmens in Einklang zu bringen.
2. Entwicklung robuster Datensicherheitsrichtlinien
Die Erstellung umfassender Datensicherheitsrichtlinien ist unerlässlich. Dies erfordert eine enge Zusammenarbeit der Rechtsabteilung mit den IT- und Cybersicherheitsteams, um Bereiche wie Datenverschlüsselung, Zugriffskontrollen und Protokolle für die Reaktion auf Vorfälle zu behandeln. In Anbetracht der Tatsache, dass 45% der Unternehmen laut der „2024 Chief Legal Officer Survey“ der Association of Corporate Counsel keine umfassende Strategie für das Datenmanagement haben, haben die Rechtsabteilungen die große Chance, eine Vorreiterrolle zu übernehmen und einen echten Einfluss auszuüben.
3. Implementierung von Mitarbeiterschulungs- und Sensibilisierungsprogrammen
Die Sensibilisierung der Mitarbeiter und Mitarbeiterinnen ist entscheidend für die Datensicherheit. CLOs sollten die Entwicklung von Schulungsprogrammen in Zusammenarbeit mit den Leitern der Informationstechnologie und der Sicherheitsabteilung anführen, um die Beschäftigten über bewährte Praktiken wie die Erkennung von Phishing-Versuchen und den sicheren Umgang mit sensiblen Daten zu informieren. Dies erfordert die Koordination mit den IT-Teams, um sicherzustellen, dass die technischen Details klar vermittelt und verstanden werden. Regelmäßige Schulungen und Verstärkungen können dazu beitragen, eine Kultur des Sicherheitsbewusstseins innerhalb des Unternehmens zu fördern.
4. Zusammenarbeit mit IT- und Sicherheitsteams
Wirksame Datensicherheit erfordert ein gemeinsames Vorgehen. CLOs sollten funktionsübergreifende Teams einrichten, denen Mitarbeiter aus den Bereichen Recht, IT und Cybersicherheit angehören, um Sicherheitsstrategien zu entwickeln und umzusetzen. Regelmäßige Besprechungen und Workshops können die Kommunikation verbessern und sicherstellen, dass rechtliche und technische Aspekte aufeinander abgestimmt sind; die Rechtsabteilung sollte nicht lange zögern, diese zu etablieren.
5. Überwachung der Einhaltung der Vorschriften und regelmäßiges Auditing
CLOs müssen robuste Verfahren zur Überwachung der Einhaltung von Datensicherheitsrichtlinien einführen. Regelmäßige Audits und Bewertungen können dabei helfen, Schwachstellen und verbesserungswürdige Bereiche zu identifizieren. Eine sorgfältige Aufzeichnung der Maßnahmen zur Einhaltung der Richtlinien und der Reaktionen auf Vorfälle ist ebenfalls von entscheidender Bedeutung für die Aufrechterhaltung der Rechenschaftspflicht und Transparenz sowie für die Beschaffung oder Erneuerung eines Cyberversicherungsschutzes.
6. Eine aktive Verwaltung von Drittanbietern
Die Verwaltung von Drittanbietern ist ein wichtiger Aspekt der Datensicherheit. CLOs sollten die Datensicherheitspraktiken von externen Anbietern durch eine Due-Diligence-Prüfung bewerten und strenge Sicherheitsanforderungen in Verträge aufnehmen. Regelmäßige Überprüfungen und Audits dieser Anbieter sind notwendig, um sicherzustellen, dass sie die Datenschutzstandards des Unternehmens einhalten. Es ist auch wichtig sicherzustellen, dass die Beschaffungsstellen die richtigen Standards auf ihre Lieferverträge mit Dritten anwenden.
7. Planung der Gegenmaßnahmen für Vorfällen etablieren
Ein gut definierter Plan zur Reaktion auf einen Vorfall ist von entscheidender Bedeutung. In diesem Plan sollten Rollen, Verantwortlichkeiten und Kommunikationsprotokolle für den Fall einer Datenpanne klar umrissen werden. Regelmäßige Tests und die Verfeinerung des Plans durch Simulationen können dazu beitragen, dass die Organisation auf eine wirksame Reaktion auf Sicherheitsvorfälle vorbereitet ist.
8. Verwendung der Grundsätze von „Privacy by Design“
„Privacy by Design“ – übersetzt auch: Datenschutz durch Technikgestaltung – bedeutet, dass der Datenschutz von Anfang an in die Entwicklung von Produkten und Dienstleistungen integriert wird. Die CLOs sollten sich für diese Grundsätze einsetzen und mit den Produktentwicklungsteams zusammenarbeiten, um Datenschutz- und Sicherheitsfunktionen frühzeitig in den Projektlebenszyklus einzubeziehen. Dieser proaktive Ansatz trägt dazu bei, dass Datenschutz und Sicherheit in die Struktur der Angebote des Unternehmens integriert werden.
9. Informiert bleiben über neue und aufkommende Bedrohungen
Die Cybersicherheitslandschaft entwickelt sich ständig weiter. CLOs müssen über neue Bedrohungen und Trends auf dem Laufenden bleiben, indem sie sich an Branchengruppen beteiligen, an Konferenzen teilnehmen und Bedrohungsdaten-Feeds abonnieren. Dieses Wissen kann genutzt werden, um die Datensicherheitsstrategien des Unternehmens kontinuierlich zu verfeinern und zu verbessern.
10. Integration der Datensicherheit in Vorstandsberichte und Governance
Es ist wichtig, den Vorstand über die Datensicherheit des Unternehmens auf dem neuesten Stand zu halten. Regelmäßige Updates zu Sicherheitsinitiativen, Risikobewertungen und Compliancebemühungen können dem Vorstand helfen, die Bedeutung des Datenschutzes zu verstehen. Die Einrichtung von Governance-Strukturen, die sich auf die Cybersicherheit konzentrieren, stellt sicher, dass die Datensicherheit auf den höchsten Ebenen des Unternehmens die nötige Aufmerksamkeit und Ressourcen erhält.
Durch die Umsetzung dieser Strategien können CLOs ihre Führungsrolle im Bereich der Datensicherheit ausbauen und sicherstellen, dass ihre Organisationen besser für die komplexen Herausforderungen des digitalen Zeitalters gerüstet sind. Für Unternehmen auf der ganzen Welt kann die Beauftragung eines strategisch orientierten CLO eine hilfreiche Verteidigungslinie gegen Cyberbedrohungen sein, die immer weiter zunehmen werden.
Autor
Veta T. Richardson
Association of Corporate Counsel, Washington D.C.
President and CEO