Wem gehören Ihre Sicherheitsdaten wirklich? (Und warum ist das beim Anbieterwechsel wichtig?) 

Bei der Bewertung von Plattformen für das Sicherheitspersonalmanagement konzentrieren sich die meisten Unternehmen auf Funktionen, Preise und Benutzererfahrung. Es gibt jedoch einen entscheidenden Faktor, der oft übersehen wird, bis es zu spät ist: die Datenhoheit.  

Wo Ihre Sicherheitsdaten gespeichert sind, wer sie kontrolliert und wie einfach Sie darauf zugreifen können, sind nicht nur technische Details – es sind strategische Entscheidungen, die darüber entscheiden können, ob Ihr Unternehmen seine Betriebskontinuität aufrechterhält oder eine katastrophale Geschäftsunterbrechung erleidet. 

Wem gehören Ihre Sicherheitsdaten eigentlich, wenn Sie Cloud-Software verwenden? 

Hier ist eine Frage, die viele Sicherheitsleiter überrascht: Wenn Sie eine cloudbasierte Plattform für das Sicherheitspersonalmanagement verwenden, wer ist dann rechtlich gesehen Eigentümer der in diesem System gespeicherten Vorfallberichte, Patrouillenprotokolle, Mitarbeiterdaten und Kundeninformationen? 

Die Antwort ist nicht so einfach, wie Sie vielleicht denken. Dateneigentum und Datenhosting sind zwei grundlegend unterschiedliche Konzepte, die von den meisten Unternehmen verwechselt werden. Wenn Sie Daten auf der Cloud-Plattform eines Anbieters hosten, erhalten Sie in der Regel eine Lizenz zur Nutzung und zum Zugriff auf diese Daten, aber der Anbieter behält oft erhebliche Kontrolle darüber, wie diese Daten gespeichert, verarbeitet und, was noch wichtiger ist, wie sie exportiert werden. 

Dieser Unterschied ist wichtig. Wahre Dateneigentümerschaft bedeutet, dass Sie uneingeschränkte Rechte an Ihren Daten in einem Format haben, das Sie tatsächlich nutzen können. Das bedeutet, dass Sie jeden Vorfallsbericht, jeden zeitgestempelten Patrouillen-Checkpoint, jede Mitarbeiterzertifizierungsaufzeichnung und jede Kundenkommunikation ohne Einschränkungen, Beeinträchtigungen oder Gatekeeping durch Anbieter extrahieren können. 

Viele Anbieter von Sicherheitssoftware behaupten, dass Sie „Eigentümer Ihrer Daten“ sind, machen es Ihnen jedoch gleichzeitig fast unmöglich, diese Daten in einem vollständigen, nutzbaren Format zu exportieren. Sie bieten möglicherweise begrenzte Exportfunktionen – beispielsweise Vorfallsberichte im PDF-Format oder Mitarbeiterlisten im CSV-Format –, aber eine umfassende Datenextraktion, die relationale Verbindungen, benutzerdefinierte Felder, historische Überarbeitungen und Systemmetadaten umfasst? Das ist oft eine ganz andere Geschichte. 

Bevor Sie einen Vertrag unterzeichnen, sollten Sie sich mit den rechtlichen Rahmenbedingungen für Ihre Daten vertraut machen. Lesen Sie die Nutzungsbedingungen sorgfältig durch. Ist in der Vereinbarung ausdrücklich festgelegt, dass Sie das vollständige Eigentumsrecht behalten? Können Sie die Beziehung kündigen und innerhalb eines angemessenen Zeitraums einen vollständigen Datenexport erhalten? In welchem Format werden diese Daten vorliegen, und benötigen Sie die Unterstützung des Anbieters, um sie zu verstehen? 

Was passiert, wenn Sie den Sicherheitsdienstleister wechseln? 

Hier kommt der Datenbesitz eine entscheidende Bedeutung zu, und viele Unternehmen sind auf ein solches Szenario völlig unvorbereitet. 

Stellen Sie sich folgende Situation vor: Ein Krankenhaus hat in den letzten fünf Jahren einen Vertrag mit dem Sicherheitsunternehmen A abgeschlossen. Während dieser Zeit hat das Sicherheitsunternehmen A mithilfe seiner Workforce-Management-Plattform Tausende von Vorfällen dokumentiert – medizinische Notfälle, Streitigkeiten zwischen Besuchern, Vorfälle auf Parkplätzen, Diebstahlmeldungen, Probleme mit Gewalt am Arbeitsplatz und Sicherheitslücken. All diese Daten wurden sorgfältig protokolliert, kategorisiert und auf der Plattform des Sicherheitsunternehmens A gespeichert. 

Nun steht die Verlängerung des Sicherheitsvertrags des Krankenhauses an. Nach einem Ausschreibungsverfahren entscheiden sie sich, den Auftrag an das Sicherheitsunternehmen B zu vergeben, das eine völlig andere Personalmanagementplattform verwendet. Der Sicherheitsdirektor des Krankenhauses geht davon aus, dass sie weiterhin Zugriff auf die Vorfälle, Patrouillendaten und Sicherheitsinformationen der letzten fünf Jahre haben werden. Schließlich ereigneten sich diese Vorfälle in ihrer Einrichtung, betrafen ihre Mitarbeiter und Besucher und stellen wichtige institutionelle Kenntnisse dar. 

Das Problem dabei ist jedoch, dass diese Daten auf der Plattform des Anbieters von Sicherheitsunternehmen A gespeichert sind. Was passiert mit den Daten, wenn Sicherheitsunternehmen A den Auftrag verliert? In vielen Fällen ist die Antwort verheerend: Das Krankenhaus verliert den Zugriff vollständig. 

Dies ist kein hypothetisches Szenario. Es kommt regelmäßig in verschiedenen Branchen vor. Ein Unternehmenscampus wechselt den Sicherheitsdienstleister und verliert drei Jahre an Daten zu Vorfallstrends, die Aufschluss über seine Sicherheitslage gaben. Eine Universität wechselt den Anbieter und kann nicht mehr auf historische Aufzeichnungen zugreifen, die für Title IX-Untersuchungen benötigt werden. Eine Produktionsstätte verliert die dokumentierten Sicherheitsvorfälle, die wichtige Beweise in einem laufenden Verfahren zur Arbeitnehmerentschädigung waren. 

Das Unternehmen – der eigentliche Eigentümer der Einrichtung, in der sich diese Vorfälle ereignet haben – steht oft in keiner direkten Beziehung zum Anbieter der Sicherheitssoftware. Sein Vertrag besteht mit dem Sicherheitsunternehmen, das wiederum einen Vertrag mit dem Softwareanbieter hat. Wenn die Beziehung zum Sicherheitsunternehmen endet, endet auch der Datenzugriff. 

Dies führt zu ernsthaften Problemen, die über den Verlust historischer Aufzeichnungen hinausgehen. Bei Compliance-Audits müssen Sie möglicherweise Sicherheitsvorfallsdaten aus früheren Jahren vorlegen. Im Rahmen von Gerichtsverfahren kann der Zugriff auf bestimmte Vorfallberichte oder Patrouillenprotokolle erforderlich sein. Versicherungsansprüche können von dokumentierten Sicherheitsmaßnahmen und Vorfallreaktionen abhängen. Trendanalysen erfordern kontinuierliche historische Daten, um Muster zu erkennen und Sicherheitsverbesserungen zu ermöglichen. 

Fragen, die Unternehmen ihren Sicherheitsdienstleistern stellen sollten: 

Vor der Unterzeichnung oder Verlängerung eines Vertrags über Sicherheitsdienstleistungen müssen Unternehmen ausdrücklich die Fragen des Eigentums an Daten und der Aufbewahrung von Daten klären: 

• Wem gehören die in unserer Einrichtung generierten Sicherheitsdaten?Dies sollte ausdrücklich im Vertrag festgelegt werden. Das Unternehmen sollte das Eigentumsrecht an allen Vorfallberichten, Patrouillenprotokollen, Zugangsaufzeichnungen und Sicherheitsdaten behalten, die an seinen Standorten generiert werden. 

• Was passiert mit unseren Daten, wenn wir diesen Vertrag kündigen?In der Vereinbarung sollte festgelegt werden, dass das Unternehmen innerhalb einer bestimmten Frist (maximal 30 Tage) nach Vertragsende einen vollständigen Export aller Daten in einem nutzbaren Standardformat erhält. 

• Können wir während der Vertragslaufzeit direkt auf unsere Daten zugreifen?Warten Sie nicht bis zum Ende der Geschäftsbeziehung, um Datenzugriff zu beantragen. Unternehmen sollten jederzeit die Möglichkeit haben, ihre Sicherheitsdaten zu exportieren und zu überprüfen, entweder durch direkten Plattformzugriff oder durch regelmäßig geplante Exporte. 

• In welchem Format werden die Datenexporte bereitgestellt?Bestehen Sie auf strukturierten, maschinenlesbaren Formaten (JSON, XML oder ordnungsgemäß formatierte CSV-Dateien), die alle Datenbeziehungen beibehalten, und nicht nur auf PDF-Berichten, die schwer zu analysieren oder auf neue Systeme zu migrieren sind. 

• Fallen für die Datenextraktion Gebühren an?Einige Anbieter verlangen erhebliche Gebühren für Datenexporte. Diese sollten ausdrücklich in der Dienstleistungsvereinbarung geregelt werden, um überraschende Kosten während der Umstellung zu vermeiden. 

• Wie stellen Sie die Datenkontinuität sicher, wenn wir den Anbieter wechseln?Die besten Sicherheitsdienstleister verstehen diese Sorge und gehen proaktiv darauf ein. Sie sollten bereit sein, mit Ihrem neuen Anbieter zusammenzuarbeiten, um die Datenübertragung zu erleichtern und die Betriebskontinuität sicherzustellen. 

Einige zukunftsorientierte Unternehmen lösen dieses Problem, indem sie ein eigenes Sicherheitsdaten-Repository unterhalten, das von der Plattform ihres Dienstleisters getrennt ist. Sie verlangen von ihrem Sicherheitsanbieter regelmäßige Datenexporte (wöchentlich oder monatlich), die in das unternehmenseigene Data Warehouse oder Security Operations Center eingespeist werden. Dadurch wird die kontinuierliche Datenhoheit gewährleistet, unabhängig davon, welches Sicherheitsunternehmen den Auftrag hat. 

Ein weiterer neuer Ansatz besteht darin, dass Unternehmen die Workforce-Management-Plattform direkt lizenzieren und ihrem Sicherheitsdienstleister Zugriff darauf gewähren. Damit kehrt sich das übliche Verhältnis um: Das Unternehmen kontrolliert die Plattform und die Daten, während das Sicherheitsunternehmen lediglich ein Nutzer ist. Bei Vertragsänderungen bleibt die Datenkontinuität für das Unternehmen vollständig erhalten, und der neue Sicherheitsdienstleister muss lediglich in die bestehende Plattform integriert werden. 

Die wahren Kosten eines Fehlers 

Überlegen Sie, was passiert, wenn Sie den Anbieter wechseln müssen, aber feststellen, dass Ihre Daten gefangen sind. Sie stehen vor einer Vertragsverlängerung mit ungünstigen Konditionen, aber es ist fast unmöglich, die Vorfallberichte, Wachrundgangsdaten, Schulungsunterlagen und Kundenkommunikationen der letzten drei Jahre zu extrahieren. Der Anbieter stellt zwar Exporte zur Verfügung, aber diese sind in Formaten, die die Beziehungen zwischen den Datensätzen nicht beibehalten. Benutzerdefinierte Felder, auf die Sie sich verlassen haben, werden überhaupt nicht exportiert. Historische Daten sind nur in 90-Tage-Schritten verfügbar, für die jeweils ein Support-Ticket und eine Bearbeitungszeit von drei Wochen erforderlich sind. 

Bevor Sie den nächsten Vertrag unterzeichnen oder Ihre aktuelle Plattform verlängern, sollten Sie den Exporttest ernst nehmen. Fordern Sie noch heute einen vollständigen Datenexport an, solange Sie noch ein gutes Verhältnis zu Ihrem Anbieter haben. Prüfen Sie, was Sie erhalten. Könnten Sie mit diesen Daten auf eine neue Plattform migrieren? Könnten Sie Ihren Betrieb bei Bedarf wiederherstellen? Wenn die Antwort nicht „auf jeden Fall ja“ lautet, ist es an der Zeit, ein ernsthaftes Gespräch über Dateneigentum, Portabilität und die langfristige operative Unabhängigkeit Ihres Unternehmens zu führen. 

Ihre Sicherheitsdaten repräsentieren jahrelange operative Erkenntnisse, Kundenbeziehungen, Erfahrungen aus Vorfällen und Einblicke in die Belegschaft. Stellen Sie sicher, dass diese Daten auch wirklich Ihnen gehören – nicht nur in der Theorie, sondern auch in der Praxis.