Datenschutzmanagement 360°

Ihr Unternehmen arbeitet mit einer Vielzahl sensibler, vertraulicher, personenbezogener wie auch nicht-personenbezogener Daten. Der sichere Umgang mit diesen Daten ist geschäftskritisch, das Vertrauen der Geschäftspartner ein wichtiger Teil der Geschäftsgrundlage. Mögliche Datenpannen und Sicherheitsvorfälle hätten entsprechenden Vertrauens- und Reputationsverlusts mit den damit verbundenen wirtschaftlichen Schäden zur Folge. Darüber hinaus ist das operative Tagesgeschäfts von der Sicherheit und Verfügbarkeit der IT abhängig. So ergänzen sich Maßnahmen des Datenschutzes, der IT-Sicherheit und der Business Continuity auf sinnvolle Weise.

Das aufzubauende Datenschutzmanagement sollte daher nicht nur die gesetzlichen Anforderungen an den Datenschutz personenbezogener Daten erfüllen sondern auch der Sensibilität der übrigen Geschäftsdaten sowie den Anforderungen an die Sicherheit und Verfügbarkeit der IT Rechnung tragen.

Insbesondere sind die Vorschriften der DSGVO in Verbindung mit der Neufassung des BDSG zu berücksichtigen. 

Das Konzept „Datenschutz 360°“ besteht aus mehreren Komponenten. Es integriert alle für den Datenschutz und die Datensicherheit relevanten Bereiche in ein schlüssiges Gesamtkonzept:

  • Sicherheitsstrategie (Rahmensetzung im Unternehmen.)
  • Gesetzliche Anforderungen (technisch-organisatorischer Datenschutz)
  • Personalentwicklung (Schulungen, Sensibilisierung, Verhaltenskodex)
  • Organisation (Integration von Datenschutz und Sicherheit in die Organisation)
  • Technologie (Einsatz technischer Mittel zur Erhöhung der Sicherheit)

Das Ziel ist es, einen stabilen Orientierungsrahmen für sensibilisierte Mitarbeiter zu schaffen, die durch technische und organisatorische Maßnahmen bei der Erfüllung der gesetzlichen und betrieblichen Anforderungen an den Datenschutz und die Informationssicherheit unterstützt werden. Eine Verankerung des Datenschutzes in der Organisation sorgt für eine stetige Anpassung an die sich verändernden Rahmenbedingungen des Unternehmens. Durch die stringente Organisation aller datenschutzrelevanten Aktivitäten werden auch die weitreichenderen Rechenschafts- und Dokumentationspflichten der DSGVO erfüllt.

Es wurde kein Alt-Text für dieses Bild angegeben.

Das Datenschutzmanagement besteht aus einem Standardprozess, der die nachfolgend beschriebenen Aktivitäten regelmäßig durchläuft und somit einen kontinuierlichen Verbesserungsprozess darstellt. Auch dies entspricht im Wesentlichen den Anforderungen der DSGVO:

1.      Erstellung bzw. Anpassung einer Datenschutz- und IT-Sicherheitsrichtlinie als Eckpfeiler des Datenschutzes.

Die Richtlinie legt die wesentlichen Anforderungen des Unternehmens an den Umgang mit seinen vertraulichen Daten fest und beschreibt die zu erreichenden Sicherheits- und Compliance-Ziele. Sie sollte von der Geschäftsleitung beschlossen werden und für alle Bereiche des Unternehmens verbindlich gelten.

2.     Verhaltenskodex

Zur Orientierung der Mitarbeiter in den verschiedenen Unternehmensbereichen werden anhand der Sicherheitsziele konkrete Handlungsempfehlungen erstellt und Sensibilisierungsmaßnahmen ergriffen. Konkrete Sicherheitsmaßnahmen werden auf die Sicherheitsrichtlinie abgestützt und erscheinen so weit weniger als „Willkürakt“.

3.     Schulung und Sensibilisierung der Mitarbeiter.

Bereitstellung von Schulungsmaterialien und Durchführung von Präsenzschulungen. Vermittlung von „Sicherheits-Werten“,  die nachvollziehbar und umsetzbar sind: Jeder Mitarbeiter ist Teil der Sicherheitskette und trägt seinen Teil zur Sicherheit des Unternehmens bei, beginnend bei der Nutzung von mobilen Endgeräten über das sichere Bewegen im Internet, den richtigen Umgangs mit E-Mails, über die Nutzung von Kennwörtern und Zugängen, bis hin zur Behandlung von personenbezogenen oder hoch sensiblen Daten.

4.      Datenschutz-Audit und Erstellung eines Maßnahmenkatalogs.

Auf Basis der internen Sicherheitsziele sowie der gesetzlichen Vorschriften wird eine Schwachstellenanalyse durchgeführt und weitere Handlungsfelder identifiziert. 

5.     Umsetzung des technisch-organisatorischen Datenschutzes 

Umsetzung von Datenschutzmaßnahmen entsprechend der Vorgaben aus der Sicherheitsrichtlinie und den gesetzlichen Anforderungen. Umsetzung von Maßnahmen aus einem vorherigen Datenschutz-Audit.

Erstellung von notwendigen Dokumentationen, Verträgen, Organisationsanweisungen, Verpflichtung von Mitarbeitern auf das Datengeheimnis bzw. eine adäquate Nachfolgeregelung unter der DSGVO, Organisation der Auftragsdatenverarbeitung usw.

6.     Erfolgskontrolle und Anpassungen der Sicherheitsrichtlinie

Gemäß einer gemeinsamen Gefahreneinschätzung und entsprechender Priorisierung der zuvor ermittelten Handlungsfelder werden Maßnahmen geplant. Die Sicherheitsrichtlinie wird entsprechend veränderter Rahmenbedingungen sowie der Praxiserfahrungen regelmäßig geprüft und angepasst. Der Erfolg der umgesetzten Maßnahmen wird kontrolliert und entsprechende Korrekturen geplant. 

Die Einführung des „Datenschutz 360°“ basiert auf vier Schritten:

1.      Initiale Bestandsaufnahme.

Zu Beginn steht eine Orientierungsphase über die Struktur des Unternehmens, die verschiedenen Abteilungen und Bereiche sowie den Stand des Datenschutzes im Unternehmen. Insbesondere werden vorliegende Dokumente, Arbeitsanweisungen, Richtlinien und Prozesse ausgewertet. In einem Datenschutzaudit werden die verschiedenen Regelungsbereiche des Datenschutzes geprüft und Unternehmensanforderungen an die IT-Sicherheit und den Datenschutz entwickelt. Hierbei sind die neuen Anforderungen der EU-DSGVO an die Datenschutzorganisation des Unternehmens zu prüfen.

2.     Erstellung/Aktualisierung einer Sicherheitsrichtlinie und eines Verhaltenskodex

Auf Basis der Erkenntnis aus dem vorherigen Schritt wird eine grundlegende Sicherheitsrichtlinie entwickelt und von der Geschäftsleitung verabschiedet. Sie ist neben der Erfüllung gesetzlicher Anforderungen die Grundlage aller weiteren Arbeiten. Aus ihr wird auch ein grundlegender Verhaltenskodex entwickelt.

3.     Aufbau der grundlegenden Datenschutzorganisation 

Erstellung der Verfahrensverzeichnisse, Erfüllung formaler Anforderungen des Datenschutzes (Verträge zur Auftragsdatenverarbeitung, TOM-Prüfungen.

Definition und Einführung von Prozessen wie z.B. die automatische Verpflichtung der Mitarbeiter auf den Datenschutz. Erstellung und Anpassung vertraglicher Regelungen. 

Die Erfüllung der Rechte der Betroffenen muss ebenfalls durch entsprechende Prozesse gesichert werden. Ggf. müssen hierzu technische Anpassungen an den eingesetzten Systemen erfolgen (z.B. um die elektronische Bereitstellung von Personendaten zu gewährleisten)

Der Aufwand kann verbindlich erst nach der erfolgten Bestandsaufnahme geschätzt werden. 

4.     Überführung des Datenschutzes in den Standardprozess.

Nach der Einführungsphase erfolgt die Regelbetreuung und Weiterentwicklung des Datenschutzes und der Datensicherheit.

Andere Artikel

Daten sind das neue Gold

Vertraust Du Deine Wertsachen einfach fremden Leuten an? Heute ist die Nutzung von Diensten oder Software über das Internet nichts ungewöhnliches mehr. Du kannst damit jede Menge Zeit und auch Geld sparen. Du musst weder für die Infrastruktur noch für

Weiterlesen »

Wie wirst Du in 15 Jahren leben?

Unsere Lebensbedingungen ändern sich. Wie wirst Du in 15 Jahren leben? 4 Beispiele für die hybride Welt von Morgen. Mein Leben findet heute schon digital-hybrid statt. Dieser Trend wird sich fortsetzen, beschleunigen, verfestigen. Das rein “analoge” Leben gibt es dann

Weiterlesen »

Motorrad oder Laufrad?

Wer von Euch fährt mit seinem Motorrad als wäre es nur ein Laufrad? Vermutlich keiner! Aber warum tut Ihr das dann bei anderen Dingen? Mit seinem Motorrad zu fahren als ob es nur ein Laufrad wäre, ist ja nur mäßig

Weiterlesen »

Sind Eure MitarbeiterInnen eigentlich informiert?

“Das wissen die doch! Das sind doch keine Geheimnisse!” Der respektvolle Umgang mit den Kolleginnen und Kollegen ist für Dich als UnternehmerIn selbstverständlich. Du bezahlst ein vernünftiges Gehalt und schaffst auch sonst eine angenehme und produktive Arbeitsumgebung. Dazu gehört auch,

Weiterlesen »

Wenn Projekte über Daten stolpern

In dieser Woche habe ich ein Thema mitgebracht, dass alle Projektleiter in mittleren und größeren, insbesondere auch in internationalen Projekten interessieren könnte. Dabei geht es nicht speziell um IT sondern um alle möglichen Projekte, vom Hausbau, über Bahnhöfe, Flughäfen oder

Weiterlesen »

2022 wird ein spannendes Jahr!

🔸2022 wird ein spannendes Jahr. Während ich mich in den letzten Monaten doch sehr auf den Datenschutz konzentriert habe, werde ich im neuen Jahr meinen fachlichen Radius wieder etwas weiter ziehen. 🔸Datenschutz wird weiterhin ein großer fachlicher Schwerpunkt bleiben, genauso

Weiterlesen »

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Immer gut informiert mit unserem Newsletter

Wenn Sie über die neuesten Entwicklungen rund um die rechtskonforme Verarbeitung von Daten informiert werden wollen, möchte ich Ihnen meinen Newsletter gerne ans Herz legen. In Abständen von vier bis sechs Wochen werden Sie von mir auf dem Laufenden gehalten.