Home   >   News   >   8 Erfolgsfaktoren für Datenschutz
8 Erfolgsfaktoren für Datenschutz

Die Datenschutzgrundverordnung hat vor drei Jahren den Datenschutz revolutioniert, aber damit auch eine große Unsicherheit in der Umsetzung erzeugt. Es gab Sorgen, dass jede noch so kleine Verfehlung mit drakonischen Bußgeldern belegt würde. Ganze Berufsstände, wie beispielsweise Fotografen, haben ihre Existenz bedroht gesehen. In der Folge haben einige Unternehmen mit teils überzogenen Maßnahmen reagiert, andere wiederum nur einmalig das absolute Minimum umgesetzt, um anschließend keinen weiteren Handlungsbedarf zu sehen.

Wirksamer Datenschutz muss jedoch tief in einer Organisation verwurzelt sein. Dabei darf aber nicht vergessen werden, dass die Umsetzung immer angemessen zur Datenverarbeitung sein muss. Der Erfolg des Datenschutzmanagements steht und fällt dabei mit der Akzeptanz im Unternehmen. Reibungslose und angemessene, nicht exzessive Abläufe sind daher ein Muss.

Ist ein Unternehmen nicht darauf vorbereitet, können eigentlich triviale Anfragen einen massiven Aufwand nach sich ziehen. Beispielsweise kann es ohne entsprechende Prozesse zu einer zeit- und kostenintensiven Herausforderung werden, ein Auskunftsersuchen oder andere Betroffenenrechte frist- und formgemäß zu bearbeiten.

Die TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA hat aus ihren Erfahrungen acht Erfolgsfaktoren für ein gelungenes Datenschutzmanagement zusammengestellt.

1.       Management Commitment

Ein Datenschutzmanagement muss tragfähig sein und getragen werden. Das Management muss dahinter stehen und dem Datenschutz den nötigen Raum geben, und diesen bei Bedarf auch umsetzen lassen, selbst wenn es nicht der direkte und bequeme, aber eben der erforderliche Weg ist.

2.       Awareness

Neben dem Management müssen auch alle anderen Mitarbeiter sich die Pflichten, die sich aus der Verarbeitung personenbezogener Daten ergeben, vergegenwärtigen. Das beinhaltet auch das Bewusstsein, dass Betroffene gewisse Rechte haben und Informationen zum richtigen Zeitpunkt oder in der richtigen Frist erhalten müssen. Daneben muss auch klar sein, dass Datenschutz nicht bei Formalitäten aufhört. Auch ein Virenangriff oder ein Betrugsversuch, der auf ein Unternehmen – und damit seine Kunden – zielt, ist von datenschutzrechtlicher Bedeutung.

3.       Prozesslandkarte

Die meisten Unternehmen wissen, welche IT-Anwendungen verwendet werden. Allerdings stützt sich der Datenschutz auf eine prozessuale Sicht. Wenn ein Datensatz aus einem IT-System ausgedruckt und abgelegt wird, verlässt er die digitale Welt. Gleichwohl sind beispielsweise Löschfristen zu beachten. Eine Steuerung ist daher nur möglich, wenn alle Datenverarbeitungsprozesse eines Unternehmens, die Personenbezug haben, bekannt sind.

4.       Datenklassifizierung

Wie in der Informationssicherheit ist es auch beim Datenschutz unerlässlich, Daten angemessen zu schützen. Eine Anschrift hat dabei sicherlich in der Regel einen anderen Stellenwert als eine Gesundheitsinformation. Es ist daher fehlgeleitet, sämtliche Personendaten gleich zu behandeln, sondern Schutzmaßnahmen müssen immer verhältnismäßig zur Sensibilität der Daten sein. Anderenfalls müssten selbst für triviale Daten maximale Sicherheitsvorkehrungen getroffen werden, was enormen Aufwand verursacht, oder es besteht das Risiko, dass besonders schützenswerte Informationen nicht angemessen geschützt werden, womit eine tatsächlich erheblich bußgeldrelevante Situation entsteht. Eine detaillierte Klassifizierung sämtlicher personenbezogener Daten ist daher ein wesentliches Merkmal wirksamen Datenschutzes.

5.       Beschaffungsprozesse

Softwarebeschaffung ist häufig ein formalisiertes Verfahren, worin fachliche Anforderungen,  kundenspezifischen Anpassungen und nicht zuletzt die Kosten wesentliche Rollen spielen. Die fortschreitende Digitalisierung sorgt dafür, dass auch Angebote „von der Stange“ eine große Rolle spielen, die mit wenig Aufwand schnell konfiguriert und eingesetzt werden können. Die kaufmännischen Befugnisse sind dabei weniger ein Problem. Entscheidend ist aber auch die nötige Awareness der Anforderer und Einkäufer, die anhand der betroffenen Daten ein Verständnis dafür haben müssen, ob eine Datenverarbeitung vorab geprüft und von anderen Stellen im Unternehmen freigegeben werden muss. Auch ist die Vereinbarung von Auftragsverarbeitungsverträgen an dieser Stelle bereits zu berücksichtigen. Es ist für alle Seiten äußerst unbefriedigend, wenn diese Frage kurz vor Inbetriebnahme aufkommt und dann noch sehr kurzfristig ausgehandelt werden muss.

6.       Change Management

Bestehende Datenverarbeitungen verändern sich. Modular aufgebaute Produkte werden erweitert, besonders in Zeiten der vorgefertigten Cloud-Dienste. Eine vorhandene Information wird neuen Berechtigten zur Verfügung gestellt. Daten werden korreliert, womit neue Aussagen mit Personenbezug entstehen. Hieran sind viele weitere Schritte angeknüpft, von der anzupassenden Datenschutzinformation, über eine eventuelle Folgenabschätzung bis hin zu einer neuen Klassifizierung einer betroffenen Anwendung, die schärfere Schutzmaßnahmen erfordert. Daher ist es auch hier wichtig, die Dimension „Datenschutz“ nicht außer Acht zu lassen.

7.       Mitbestimmungsrechte

Die Daten sind bekannt und klassifiziert, die Schutzmaßnahmen wurden für ausreichend erachtet, die Beschaffung ist soweit erledigt oder bei Fragen von Veränderungen an Anwendungen gab es keinerlei Unstimmigkeiten. Bei Datenverarbeitungen mit Mitarbeiterbezug darf jedoch der jeweilige Betriebsrat nicht übergangen werden, der mitunter Mitbestimmungsrechte hat. Während es empfehlenswert ist, Rahmenvereinbarungen zu schließen die allgemeine Grundsätze der Datenverarbeitung regeln, ist besonders bei sensiblen Daten oder Datenverarbeitungen mit Eignung zur Überwachung eine Zustimmung erforderlich. Es ist ratsam die Betriebsräte stets frühzeitig einzubinden.

8.       Datenschutzbeauftragte

Bei allen Fragestellungen, die sich im Datenschutz ergeben, ist eines immer ganz klar festzustellen: Unternehmen benötigen Sachverstand. Viele Unternehmen haben einen Datenschutzbeauftragten bestellt, entweder weil die Unternehmensgröße dies vorgibt, oder weil es sich aus der Art der Datenverarbeitung ergibt. Datenschutzmanagement kann abhängig vom Unternehmen dabei so komplex werden, dass auch eigene Datenschutzeinheiten in den Unternehmen etabliert werden. Ein hinreichend qualifizierter und erfahrener Datenschutzbeauftragter ist in der Lage, dies zu steuern. Die teilweise sehr formalistischen Datenschutzabläufe können so vereinheitlicht und standardisiert werden, um möglichst schnelle Entscheidungen herbeizuführen und viele Probleme, wie sie hier skizziert wurden, gar nicht erst entstehen zu lassen.

Zur Newsübersicht