In einer Welt der zunehmenden Digitalisierung sind technisch komplexe Produkte nicht mehr wegzudenken. Doch mit technischen Fortschritten wachsen auch die rechtlichen Herausforderungen, z. B. im Bereich Datenschutz. Gerade im IoT-Sektor sind viele Geräte Teil kritischer Infrastrukturen, verarbeiten sensible Daten und sind miteinander vernetzt. Deshalb beschäftigt sich Dr. Christian Oliver Dressel, Director im Technology Consulting bei EY, mit der Frage: Wie können Hersteller:innen die Cybersicherheit gewährleisten?
EU bringt Cyber-Resilienz-Verordnung auf den Weg
Die Einführung der Cyber-Resilienz-Verordnung durch die EU 2022 ist bereits ein wichtiger Schritt. Sie legt gemeinsame Cybersicherheitsregeln für Hersteller:innen und Entwickler:innen von Produkten mit digitalen Elementen fest, sei es Hardware oder Software. So sollen Sicherheitslücken im IoT-Bereich geschlossen werden.
„Schon das Hacken eines vermeintlich unwichtigen Geräts kann verheerende Auswirkungen auf die gesamte Organisation oder Lieferkette haben“, so Dr. Dressel. Die neue Vorschrift stellt sicher, dass vernetzte Produkte und Software wie Smart-Speakers, Videospiele und Festplatten strenge Cybersicherheitsstandards erfüllen. Unternehmen sind dabei zur Selbst- und Fremdbewertung verpflichtet. Doch wie kommen Unternehmen dieser Pflicht am effizientesten nach?
Datenschutz durch Produktdesign
Die Datenschutzgrundverordnung (DSGVO) fordert, Datenschutzfragen bereits in der Planungs- und Entwicklungsphase von Produkten zu klären. „Leider wird Datenschutz bisher oft erst nach Verstößen oder Pannen relevant und viele Unternehmen haben das Thema noch nicht angemessen in ihre Abläufe integriert“, bedauert Dr. Dressel. Immerhin: Verstöße gegen die DSGVO können mit Bußgeldern in Höhe von bis zu zwei Prozent des jährlichen weltweiten Unternehmensumsatzes bestraft werden.
Daher rät der Experte, die Prozesse im Unternehmen rechtzeitig anzupassen, um den Produktdatenschutz gebührend zu berücksichtigen. Das diene nicht nur der Rechtskonformität, sondern auch dem Vertrauenserhalt von Verbraucher:innen und Geschäftspartner:innen.
Was bedeutet das für Produkthersteller:innen?
Für Hersteller:innen ergeben sich daraus verschiedene Anforderungen an Datenschutz und Produktsicherheit. Entscheidend ist, Anforderungen an die Datenschutzkonformität bereits in der frühen Planungsphase zu berücksichtigen. Beteiligte Geschäftsbereiche wie Datenschutz und Recht sollten frühzeitig einbezogen werden, auch wenn dies eine Anpassung der Unternehmensorganisation erfordert.
Darüber hinaus empfiehlt Dr. Dressel Hersteller:innen, sich mit folgenden Punkten zu befassen: Erstens sollten Daten rechtskonform gelöscht und Einwilligungen zur Datenverarbeitung dokumentiert und widerrufen werden können. Zweitens sollten Produkte nicht unbemerkt personenbezogene Daten sammeln: Automatisierte Einzelentscheidungen werden durch die DSGVO eingeschränkt.
Ein weiterer wichtiger Aspekt ist Transparenz gegenüber Betroffenen. Die Produktarchitektur muss den Kommunikationsfluss mit externen IT-Systemen dokumentieren und offenlegen, insbesondere bei Datenübertragungen in unsichere Drittstaaten.
Fazit: Verbraucher:innendatenschutz ist keine Option, sondern eine Notwendigkeit
Deshalb setzt EY Impulse für die Herausforderungen einer digitalisierten Welt, sei es im Bereich der Sicherheit kritischer Infrastrukturen, der Lieferketten oder der Abwehr von Cyberattacken. Das Unternehmen begleitet Organisationen aller Branchen präventiv und reaktiv mit interdisziplinären Teams, einschlägiger Expertise und höchsten ISO-Standards.
Daraus ergeben sich bei EY vielfältige Chancen, die digitale Zukunft sicher zu gestalten. Auf der Karriereseite finden Tech-Begeisterte diverse Digital-Jobs und Einstiegsmöglichkeiten. Spannende Einblicke in Projekte und Arbeitskultur bietet EY auch auf Instagram und Facebook.