Das Thema Digitalisierung ist ein Dauerbrenner in der öffentlichen Debatte. Über die Digitalisierung der Compliance und deren Verhältnis zu  Datenschutz, Datensicherheit und Cybercrime spricht Alexander Geschonneck, Leiter des Bereichs Compliance & Forensic bei KPMG, im Interview mit der ESV-Redaktion.




Herr Geschonneck, die Digitalisierung wird auch die Welt der Compliance verändern. Worauf müssen sich Compliance Officer einstellen?

Alexander Geschonneck: Wir erleben den grundsätzlichen Wandel von Geschäftsmodellen, neue digitale Produkte, Abhängigkeiten von Informationen und deren Verfügbarkeit und Qualität. Entscheidungen werden länderübergreifend, schneller und immer häufiger mit weniger menschlichem Zutun getroffen. Da werden die verantwortlichen Personen mit althergebrachten Risikoanalyse- und -kontrollmethoden nicht mehr weit kommen.

Wie wird die Digitalisierung die Arbeit des Compliance Officers zukünftig erleichtern?

Alexander Geschonneck: Die vielen im Unternehmen digitalisierten Prozesse werfen natürlich auch Daten ab, die man auch für Compliance Themen mitnutzen kann – wenn man es darf. Wenn man dann weiter denkt, sind Entscheidungen, die auf Basis von Algorithmen getroffen werden, weniger anfällig für menschliche Fehler oder manuelle Beeinflussung – vorausgesetzt die Algorithmen stimmen und die Datenlage ist stimmig.

Auf den Erhebungszweck kommt es an

Damit sprechen Sie den Datenschutz an. Spielt dieser Bereich in der Digitalisierung eine besonders wichtige Rolle. Welche Daten benötigt die Compliance-Abteilung und welche darf sie überhaupt benutzen?

Alexander Geschonneck: Wichtig ist, dass man sich bei der Verwendung der Daten Gedanken machen muss, wo diese herkommen und ob bei Ihrer Sammlung gegen Gesetze irgendwo auf der Welt verstoßen wurde. Allein dies macht es für Compliance Officer notwendig, sich mit den veränderten Geschäftsmodellen und sich daraus ergebenen Risiken auseinander zu setzen. Weiterhin muss auch die Frage zulässig sein, ob man die Daten, die man geliefert bekommt, auch für den gewünschten Zweck verwenden darf. Wir nennen dies die Einhaltung der Compliance in der Compliance. Denn der Zweck heiligt eben nicht alle Mittel.

Und erschwert die Digitalisierung – abgesehen von den Auflagen des Datenschutzes - auch die Arbeit des Compliance Officers?

Alexander Geschonneck: Ich denke, dass die Geschwindigkeit, mit der Veränderungen umgesetzt und Geschäftsmodelle angepasst oder gar umgeworfen werden, eine Herausforderung darstellt. Wann wird bei dieser Geschwindigkeit an die Einhaltung der jeweiligen lokalen rechtlichen Rahmenbedingungen gedacht und die Compliance Funktion eingebunden? Oder wer überwacht, was zwar legal, aber vielleicht nicht legitim ist und zum Beispiel einen Reputationsschaden hervorrufen könnte?

Cyberangriffe müssen rechtzeitig bemerkt werden

Kommen wir zum Thema Cybercrime. Immer wieder gehen Meldungen über Hackerangriffe auf Großkonzerne und die Verbreitung von Ransomware durch die Medien. Welche Bedrohungen sehen sie aktuell als die gefährlichsten an und wie kann man sie stoppen?

Alexander Geschonneck: Stoppen werden wir Cybercrime-Angriffe nicht. Es für ein Unternehmen schon seit langem nicht mehr die Frage, ob die Täter zuschlagen, sondern wann und wie. Wesentlich dabei ist, ob man dies dann merkt, um rechtzeitig reagieren zu können.

Ransomware ist momentan eine der größten Gefahren und hat dabei auch neue Erpressungsmethoden im Schlepptau, wie zum Beispiel die Drohung, private Daten zu veröffentlichen.

Ursache für Sicherheitsvorfall herausfinden

Welche Faktoren wirken sich begünstigend auf den Erfolg von Cybercrime aus? Sind Unternehmen und Mitarbeiter zu unvorsichtig?

Alexander Geschonneck: In unseren durchgeführten repräsentativen Studien wird die Unachtsamkeit immer wieder als erster begünstigender Faktor genannt, dicht gefolgt von komplexer Technik und der Schwierigkeit, den Angriff rechtzeitig zu erkennen. Ich denke, dass wir am ersten Punkt schon einiges verbessern können. Das wird aber nicht von heute auf morgen passieren. Betroffene Unternehmen sollten sich nach einem Sicherheitsvorfall aber die Mühe machen, diesen zu ermitteln – nicht um zwingend den Täter zu identifizieren, sondern um die Ursache herauszufinden und zu lernen, ob man richtig reagiert hat.

Cybercrime ist mittlerweile auch Nicht-Hackern zugänglich, über „Cybercrime-as-a-service“ können Hackerangriffe wie eine Dienstleistung eingekauft  werden. Wie beunruhigend ist dieser Gedanke?

Alexander Geschonneck: In der klassischen Kriminalität muss sich der „Hintermann“ auch nicht mehr die Hände schmutzig machen, sondern setzt auf Arbeitsteilung und Spezialisten. Und diese Spezialisten kann man sich mieten, inklusive Tools.

Zur Person

Alexander Geschonneck gilt als IT-Forensik-Spezialist und leitet als Partner den Bereich Compliance & Forensic bei KPMG. Sein Tätigkeitsschwerpunkt ist neben der Durchführung forensischer Sonderuntersuchungen bei Verdacht auf wirtschaftskriminelle Handlungen die Sicherstellung und Analyse von digitalen Beweismitteln im Rahmen der Korruptions- und Betrugsbekämpfung sowie die Aufklärung von IT-Sicherheits- und Cybercrimevorfällen. Darüber hinaus leitet er den Arbeitskreis „Compliance und Digitale Transformation“ des Deutschen Instituts für Compliance (DICO e.V.).

 

Für den direkten Einsatz in Ihrer betrieblichen Praxis - Download für Abonnenten inklusive

Arbeitshilfen unter pingdigital Hier finden Sie Checklisten, Leitfäden, Mustervorlagen und andere Arbeitsdokumente zu aktuellen Themen. Das Angebot, erstellt von renommierten Experten, wird ständig erweitert Datenschutz-Folgenabschätzung: Ausfüllbare Vorlage zu Art. 35 DS-GVO - Für Unternehmen, die personenbezogene Daten automatisiert verarbeiten. Die Vorlage empfiehlt sich dann, wenn das Erhebungsverfahren aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für den betroffenen Kunden oder Mitarbeiter zur Folge hat. Datenschutzhinweise für den Fernabsatz: Editierbare Vorlage und Checkliste zu Art. 13 DS-GVO: Checkliste und Erläuterungen, welche Datenschutz-Informationen Unternehmen nach DS-GVO zu erteilen haben. Verzeichnis der Verarbeitungstätigkeiten: Editierbare Vorlage und Checkliste zu Art. 30 DS-GVO: Unternehmen, die automatisiert personenbezogene Daten verarbeiten, sind zur Dokumentation dieser Datenverarbeitung verpflichtet. Sie haben dieses Verzeichnis der Verarbeitungstätigkeiten zu führen.

(ESV/bp, ps)