Datenschutzmanagement 360°

Ihr Unternehmen arbeitet mit einer Vielzahl sensibler, vertraulicher, personenbezogener wie auch nicht-personenbezogener Daten. Der sichere Umgang mit diesen Daten ist geschäftskritisch, das Vertrauen der Geschäftspartner ein wichtiger Teil der Geschäftsgrundlage. Mögliche Datenpannen und Sicherheitsvorfälle hätten entsprechenden Vertrauens- und Reputationsverlusts mit den damit verbundenen wirtschaftlichen Schäden zur Folge. Darüber hinaus ist das operative Tagesgeschäfts von der Sicherheit und Verfügbarkeit der IT abhängig. So ergänzen sich Maßnahmen des Datenschutzes, der IT-Sicherheit und der Business Continuity auf sinnvolle Weise.

Das aufzubauende Datenschutzmanagement sollte daher nicht nur die gesetzlichen Anforderungen an den Datenschutz personenbezogener Daten erfüllen sondern auch der Sensibilität der übrigen Geschäftsdaten sowie den Anforderungen an die Sicherheit und Verfügbarkeit der IT Rechnung tragen.

Insbesondere sind die Vorschriften der DSGVO in Verbindung mit der Neufassung des BDSG zu berücksichtigen. 

Das Konzept „Datenschutz 360°“ besteht aus mehreren Komponenten. Es integriert alle für den Datenschutz und die Datensicherheit relevanten Bereiche in ein schlüssiges Gesamtkonzept:

• Sicherheitsstrategie (Rahmensetzung im Unternehmen.)
• Gesetzliche Anforderungen (technisch-organisatorischer Datenschutz)
• Personalentwicklung (Schulungen, Sensibilisierung, Verhaltenskodex)
• Organisation (Integration von Datenschutz und Sicherheit in die Organisation)
• Technologie (Einsatz technischer Mittel zur Erhöhung der Sicherheit)

Das Ziel ist es, einen stabilen Orientierungsrahmen für sensibilisierte Mitarbeiter zu schaffen, die durch technische und organisatorische Maßnahmen bei der Erfüllung der gesetzlichen und betrieblichen Anforderungen an den Datenschutz und die Informationssicherheit unterstützt werden. Eine Verankerung des Datenschutzes in der Organisation sorgt für eine stetige Anpassung an die sich verändernden Rahmenbedingungen des Unternehmens. Durch die stringente Organisation aller datenschutzrelevanten Aktivitäten werden auch die weitreichenderen Rechenschafts- und Dokumentationspflichten der DSGVO erfüllt.

Das Datenschutzmanagement besteht aus einem Standardprozess, der die nachfolgend beschriebenen Aktivitäten regelmäßig durchläuft und somit einen kontinuierlichen Verbesserungsprozess darstellt. Auch dies entspricht im Wesentlichen den Anforderungen der DSGVO:

1.      Erstellung bzw. Anpassung einer Datenschutz- und IT-Sicherheitsrichtlinie als Eckpfeiler des Datenschutzes.

Die Richtlinie legt die wesentlichen Anforderungen des Unternehmens an den Umgang mit seinen vertraulichen Daten fest und beschreibt die zu erreichenden Sicherheits- und Compliance-Ziele. Sie sollte von der Geschäftsleitung beschlossen werden und für alle Bereiche des Unternehmens verbindlich gelten.

2.     Verhaltenskodex

Zur Orientierung der Mitarbeiter in den verschiedenen Unternehmensbereichen werden anhand der Sicherheitsziele konkrete Handlungsempfehlungen erstellt und Sensibilisierungsmaßnahmen ergriffen. Konkrete Sicherheitsmaßnahmen werden auf die Sicherheitsrichtlinie abgestützt und erscheinen so weit weniger als „Willkürakt“.

3.     Schulung und Sensibilisierung der Mitarbeiter.

Bereitstellung von Schulungsmaterialien und Durchführung von Präsenzschulungen. Vermittlung von „Sicherheits-Werten“,  die nachvollziehbar und umsetzbar sind: Jeder Mitarbeiter ist Teil der Sicherheitskette und trägt seinen Teil zur Sicherheit des Unternehmens bei, beginnend bei der Nutzung von mobilen Endgeräten über das sichere Bewegen im Internet, den richtigen Umgangs mit E-Mails, über die Nutzung von Kennwörtern und Zugängen, bis hin zur Behandlung von personenbezogenen oder hoch sensiblen Daten.

4.      Datenschutz-Audit und Erstellung eines Maßnahmenkatalogs.

Auf Basis der internen Sicherheitsziele sowie der gesetzlichen Vorschriften wird eine Schwachstellenanalyse durchgeführt und weitere Handlungsfelder identifiziert. 

5.     Umsetzung des technisch-organisatorischen Datenschutzes 

Umsetzung von Datenschutzmaßnahmen entsprechend der Vorgaben aus der Sicherheitsrichtlinie und den gesetzlichen Anforderungen. Umsetzung von Maßnahmen aus einem vorherigen Datenschutz-Audit.

Erstellung von notwendigen Dokumentationen, Verträgen, Organisationsanweisungen, Verpflichtung von Mitarbeitern auf das Datengeheimnis bzw. eine adäquate Nachfolgeregelung unter der DSGVO, Organisation der Auftragsdatenverarbeitung usw.

6.     Erfolgskontrolle und Anpassungen der Sicherheitsrichtlinie

Gemäß einer gemeinsamen Gefahreneinschätzung und entsprechender Priorisierung der zuvor ermittelten Handlungsfelder werden Maßnahmen geplant. Die Sicherheitsrichtlinie wird entsprechend veränderter Rahmenbedingungen sowie der Praxiserfahrungen regelmäßig geprüft und angepasst. Der Erfolg der umgesetzten Maßnahmen wird kontrolliert und entsprechende Korrekturen geplant. 

Die Einführung des „Datenschutz 360°“ basiert auf vier Schritten:

1.      Initiale Bestandsaufnahme.

Zu Beginn steht eine Orientierungsphase über die Struktur des Unternehmens, die verschiedenen Abteilungen und Bereiche sowie den Stand des Datenschutzes im Unternehmen. Insbesondere werden vorliegende Dokumente, Arbeitsanweisungen, Richtlinien und Prozesse ausgewertet. In einem Datenschutzaudit werden die verschiedenen Regelungsbereiche des Datenschutzes geprüft und Unternehmensanforderungen an die IT-Sicherheit und den Datenschutz entwickelt. Hierbei sind die neuen Anforderungen der EU-DSGVO an die Datenschutzorganisation des Unternehmens zu prüfen.

2.     Erstellung/Aktualisierung einer Sicherheitsrichtlinie und eines Verhaltenskodex

Auf Basis der Erkenntnis aus dem vorherigen Schritt wird eine grundlegende Sicherheitsrichtlinie entwickelt und von der Geschäftsleitung verabschiedet. Sie ist neben der Erfüllung gesetzlicher Anforderungen die Grundlage aller weiteren Arbeiten. Aus ihr wird auch ein grundlegender Verhaltenskodex entwickelt.

3.     Aufbau der grundlegenden Datenschutzorganisation 

Erstellung der Verfahrensverzeichnisse, Erfüllung formaler Anforderungen des Datenschutzes (Verträge zur Auftragsdatenverarbeitung, TOM-Prüfungen.

Definition und Einführung von Prozessen wie z.B. die automatische Verpflichtung der Mitarbeiter auf den Datenschutz. Erstellung und Anpassung vertraglicher Regelungen. 

Die Erfüllung der Rechte der Betroffenen muss ebenfalls durch entsprechende Prozesse gesichert werden. Ggf. müssen hierzu technische Anpassungen an den eingesetzten Systemen erfolgen (z.B. um die elektronische Bereitstellung von Personendaten zu gewährleisten)

Der Aufwand kann verbindlich erst nach der erfolgten Bestandsaufnahme geschätzt werden. 

4.     Überführung des Datenschutzes in den Standardprozess.

Nach der Einführungsphase erfolgt die Regelbetreuung und Weiterentwicklung des Datenschutzes und der Datensicherheit.