Compliance-Experten sind überlastet: Das muss sich ändern

Privatsphäre und Datenschutz wurden mit der Einführung der DSGVO im Jahr 2018 ins allgemeine Bewusstsein katapultiert. Seitdem haben Verbraucher von den Organisationen, mit denen sie Geschäfte machen, mehr verlangt – im Umgang mit ihren persönlichen Daten, im Umgang mit Zugriffs- und Löschungs-/Übertragungsanfragen, und die Einwilligung einholen. Die Herausforderung für Unternehmen besteht darin, dass gerade zu einem Zeitpunkt, an dem sie mehr Compliance-Experten benötigen, um die erhöhte Arbeitsbelastung zu bewältigen, weniger verfügbar sind.

Zwei neue Studien verdeutlichen das Ausmaß der Herausforderung. Experten glauben, dass verbesserte Schulungsprogramme von entscheidender Bedeutung sein werden und dass automatisierte Werkzeuge auch dazu beitragen könnten, einige anhaltende Qualifikationslücken zu schließen.

Was ist das Problem?

Die erste schlechte Nachricht kommt vom E-Learning-Anbieter Skillcast. Die Firma Schätzungen dass ein einzelner Compliance-Experte für die Daten von über 14,300 Personen und Unternehmen verantwortlich sein könnte. Seine Berechnungen basieren auf LinkedIn-Daten zu Compliance-Experten und Schätzungen zur Größe der durchschnittlichen Belegschaft und des Kundenstamms von FTSE-250-Unternehmen. Wenn dies zutrifft, deutet dies auf einen gravierenden Mangel an qualifizierten Fachkräften in diesem Bereich hin.

Eine weitere Bestätigung kommt von der IT-Governance-Organisation ISACA. Die Hälfte (48 %) der Befragten hat kürzlich Veröffentlichungen des Berufsverbandes veröffentlicht Datenschutz in der Praxis 2024 Stellen im Bereich der Einhaltung von Datenschutzbestimmungen und im juristischen Bereich werden immer stärker nachgefragt. Noch mehr (55 %) sagen, dass Unternehmen mehr technische Datenschutzfunktionen benötigen. Tatsächlich wird die Erfahrung mit verschiedenen Arten von Technologien und/oder Anwendungen von einer Mehrheit (65 %) als größte Qualifikationslücke genannt. Der Mangel an kompetenten Ressourcen wird von über zwei Fünfteln (43 %) der Organisationen als eines der Haupthindernisse für die Erstellung eines Datenschutzprogramms genannt.

Auch die Finanzierung ist eindeutig ein Problem: 41 % sagen, ihr Programm sei unterfinanziert und nur 42 % geben an, dass ihr Programm ausreichend finanziert sei. Chris Dimitriadis, Chief Global Strategy Officer von ISACA, erklärt gegenüber ISMS.online, dass Finanzierungsdefizite darauf hindeuten, dass der Datenschutz für Organisationen keine Priorität hat.

„Das heißt nicht, dass sie es nicht für wichtig halten – stattdessen erkennen sie möglicherweise nicht, wie der Datenschutz ihnen hilft, die Ziele ihrer Organisation zu erreichen, insbesondere weil die Ergebnisse nicht unbedingt greifbar sind“, fährt er fort.

„Aber das ist falsch. Die Priorisierung des Datenschutzes erfordert zwar Vorabaufwendungen, ermöglicht es Unternehmen aber, ihre Daten zu schützen und so das Vertrauen der Verbraucher aufzubauen und Lieferantenbeziehungen aufrechtzuerhalten – was alles zum Geschäftswachstum beiträgt.“

Umgekehrt könnten Qualifikationsdefizite schwerwiegende Auswirkungen auf die Fähigkeit von Organisationen haben, Datenschutz- und Datenschutz-Compliance-Risiken wirksam zu verwalten. Nur ein Drittel (36 %) der Befragten gibt an, dass es ihnen leicht fällt, ihre Datenschutzpflichten zu verstehen. Und weniger als die Hälfte (45 %) gibt an, dass sie „sehr oder völlig zuversichtlich“ sind, dass ihr Datenschutzteam neue Gesetze und Vorschriften einhalten kann.

Wie können Unternehmen die Qualifikationslücken in der Branche schließen?

Die Herausforderung besteht darin, dass die Nachfrage nach Datenschutz-Compliance-Fähigkeiten weiter zunehmen wird.

„Die Kombination aus rasanten Fortschritten bei digitalen Technologien und laufenden regulatorischen Änderungen führt dazu, dass Unternehmen ständig aufholen müssen. Selbst wenn sich die Regulierung nicht ändert, wenn sich ein digitales Ökosystem ändert, kann die Auslegung des Gesetzes im Hinblick auf die Besonderheiten einer neuen Technologie wie KI anders sein“, argumentiert Dimitriadis.

„Unternehmen können es sich nicht leisten, gegen neue Vorschriften zu verstoßen oder einen Reputationsschaden zu riskieren. Die Nachfrage nach technischen und Compliance-Kenntnissen wird nur noch zunehmen, da Verbraucher und Unternehmen die Organisationen, mit denen sie interagieren, zunehmend auf der Grundlage ihres Datenschutzansatzes prüfen.“

Was ist also die Lösung? Organisationen haben mehrere Möglichkeiten:

Konzentrieren Sie sich auf übertragbare Fähigkeiten

Der ISACA-Bericht zeigt, dass für 97 % der Befragten frühere Erfahrung in den Bereichen Recht oder Compliance der wichtigste Einstellungsfaktor ist, gefolgt von vorheriger praktischer Erfahrung in einer Datenschutzfunktion (92 %). Durch die Konzentration auf diese Eigenschaften riskieren Arbeitgeber jedoch, den Kandidatenpool zu schrumpfen, argumentiert Dimitriadis.

„Arbeitgeber müssen einen Vertrauensvorschuss wagen und anerkennen, dass Menschen über wertvolle, übertragbare Fähigkeiten verfügen – und es lohnt sich, jemanden vom Einstiegsniveau auszubilden oder sogar jemanden aus einer anderen Branche umzuschulen“, fügt er hinzu.

Bestehende Mitarbeiter umschulen

Auf ähnliche Weise könnten Organisationen bestehende Mitarbeiter umschulen, die derzeit möglicherweise nicht im Bereich Datenschutz-Compliance tätig sind, aber über übertragbare Fähigkeiten verfügen, die ihnen die Lernkurve verkürzen würden. Laut ISACA bieten derzeit mehr als die Hälfte (52 %) der antwortenden Organisationen Schulungen an, um Mitarbeitern, die nicht im Datenschutz tätig sind, den Wechsel in Datenschutzfunktionen zu ermöglichen.

Nutzen Sie externe Berater

Laut ISACA haben 39 % der Unternehmen den Einsatz von Vertragsmitarbeitern oder externen Beratern erhöht. Obwohl es teuer und manchmal eine Notlösung ist, kann es der Organisation eine Atempause verschaffen und ihr helfen, ihren Compliance-Verpflichtungen nachzukommen und gleichzeitig eine längerfristige Strategie zu formulieren.

Nutzen Sie KI und Automatisierung besser

Die gute Nachricht ist, dass Compliance-Tools zunehmend über integrierte Intelligenz verfügen. Die besten sind darauf ausgelegt, Prozesse zu rationalisieren, die für Mitarbeiter früher eine schwere manuelle Arbeit waren. Dadurch können begrenzte interne Ressourcen freigesetzt werden, damit sie sich auf höherwertige Aufgaben konzentrieren können, und/oder neue Mitarbeiter können sich schnell einarbeiten.

„Im Zusammenhang mit der Einführung der DSGVO gab es viele Aktivitäten im Bereich Daten-Compliance. Viele Berater haben sich für diesen Anlass qualifiziert. Es scheint nun, dass die Leute weitergezogen sind, was zu Mängeln bei der Einhaltung des Datenschutzes geführt hat“, sagt Vivek Dodd, CEO von Skillcast, gegenüber ISMS.online.

„Organisationen müssen ihre Fachkräfte durch eine bessere Delegation und Produktivität nutzen. Beides kann durch den stärkeren Einsatz von Softwaretools und KI erreicht werden, um die Compliance-Überwachung zu erleichtern.“

Dimitriadis von ISACA stimmt bis zu einem gewissen Punkt zu.

„KI ist in der Lage, bestimmte Datenschutzprobleme zu lösen und die Arbeit des Menschen zu verbessern, indem sie beispielsweise für Menschen unsichtbare Muster erkennt und in Echtzeit darauf reagiert“, schließt er.

„Es kann zwar menschliche Arbeitskräfte nicht ersetzen, aber es kann den Druck, dem Datenschutzteams ausgesetzt sind, etwas verringern.“ Um sicherzustellen, dass KI richtig und sicher eingesetzt, geschult und konfiguriert wird, werden immer geschulte Arbeitskräfte benötigt.“