Wir Datenschutzbeauftragten wundern uns immer wieder, dass grundlegende Dinge in etablierten Mittelstandsunternehmen nicht organisiert sind. Wir haben nun über 1000 Auditierungen durchgeführt und staunen immer noch, was wir finden.
Nach über 1000 Auditierungen immer noch Überraschungen
Neulich sind wir zu einem Maschinenbauer in der sechsten Generation gerufen worden. Eigentlich würde man vermuten, dass dort alles gut organisiert ist. Man stellte nun allerdings fest, dass Daten abfließen, konnte sich aber nicht erklären, auf welchem Weg das passieren könnte.
Im Rahmen einer Begehung vor Ort am Unternehmensstandort wurden alle Bereiche gesichtet. In der Abteilung der Geschäftsleitung ging der Prüfer unter anderem auch an einem Schredder vorbei, der schon ein etwas betagteren Eindruck machte. Der Prüfer bat daraufhin den Geschäftsführer, doch die Entsorgungsmöglichkeit auf einen aktuellen und zeitgemäßen Stand zu heben. Der Schredder sollte ausgetauscht werden. Nach einigen Minuten kehrte der Prüfer erneut zu dem Schredder zurück, öffnete die Tür des Zerkleinerers und stellte fest, dass das Gerät fingerbreite Streifen produziert hat, die gesammelt in einen Beutel fielen. Diese Streifen waren so breit, dass es ohne Mühe gelang, den Text wieder zusammenzusetzen. Auf Nachfrage, was nun mit dem geschredderten Material passieren soll, teilte der Geschäftsführer mit, dass man damit in der Versandabteilung die Kisten ausstopft, die man weltweit mit Produkten versendet…
Das ist nur eines von zahllosen Beispielen, was bei Prüfungen vor Ort gefunden wird. Niemand macht so etwas extra, dennoch, noch passiert es. Gut gemeint, schlecht gemacht.
Da ist oftmals schon eine einfache Begehung mit einem erfahrenen Prüfer für eine Organisation sehr hilfreich, um das Sicherheitsniveau anzuheben.
Gut gemeint, aber oft schlecht gemacht
Datenschutz wird oft als eine juristische Bürde empfunden. Bei einer angemessenen Umsetzung und pragmatischen Herangehensweise sind die einzelnen Bausteine in der Datenschutzgrundverordnung sehr hilfreich, um generell das Niveau an Informationssicherheit in einer Organisation anzuheben.
Wenn Datenschutzbeauftragte über Informationen sprechen, geht es allerdings nicht nur um elektronische Informationen in Dateien, Datenbanken oder E-Mails, sondern auch um Daten auf Papier, auf den Tischen bis hin zur Entsorgung und, ganz besonders wichtig, das Verhalten von Mitarbeitenden mit dem gesprochenen Wort innerhalb und außerhalb der Organisation. 50% der Informationssicherheit beruht auf der Wachsamkeit von Mitarbeitenden.
Jeder Datenschutzbeauftragte lernt im Rahmen seiner Ausbildung, dass Datenschutz eine der interdisziplinärsten Auf- gaben ist, die derzeit organisiert werden muss. In guten Datenschutzbüros befinden sich daher verschiedene Talente mit verschiedenen Ausbildungsständen, um den vielfältigen Anforderungen überhaupt gerecht werden zu können.
Im Bereich Datenschutz muss immer organisiert werden: Technik, Organisation, Strategie und Recht.
Am Ende des Tages ist ein so genanntes Datenschutz Management System erstellt, dass im Wesentlichen aus folgenden Bau- steinen bestehen sollte:
- Auftragsverarbeitung nach Art. 28 DSGVO
- Verfahrensverzeichnisse nach Art. 30 DSGVO
- Sachgerechtes Auskunftsverfahren nach Art. 15 DSGVO
- Technisch organisatorische Maßnah- men nach Art. 32 DSGVO
- Private Nutzungsregelungen
- Mitarbeitersensibilisierungen
- Video-Compliance-Kennzeichnungen
- Webseiten-Prüfung
- Social Media Compliance
- IT-Nutzungs-Richtlinien
- Orientierungshilfen für die Nutzer
- …
Datenschutz ist Teamplay
Die Vielfältigkeit der Aufgaben und die Tiefe, in denen auch die im betrieblichen Datenschutz Beauftragten immer wieder gefor- dert werden, zum Beispiel zur Bewertung von cloudbasierten Lösungen, sind oftmals kaum zu bewältigen. Hier ist Teamplay gefragt! Mit anderen Spezialisten in anderen Abteilungen oder mit Datenschutzbeauftragten in anderen Unternehmen im Rahmen von ERFA-Kreisen (Erfahrungsaustausch) oder auch als Sparringspartner mit Datenschutzdienstleistern. Man kann nur voneinander lernen.
Oftmals teilen auch die Aufsichtsbehörden unscharf mit, dass die Verantwortlichen – sprich die Organisationen – Garantien dokumentieren müssen, was sie getan haben, um die Daten unter Kontrolle zu halten. Das fällt insbesondere bei modernen
IT-Lösungen sehr schwer, und es gibt hier keine konkreten Empfehlungen. Hier hilft nur die Erfahrung im Umgang mit modernen Prozessen und im Umgang mit den Aufsichtsbehörden.
Im Übrigen geht es nicht nur um Aufsichtsbehörden, sondern auch die Auftraggeber von Mandanten wollen wissen, ob diese, so wie meist in einer Vertraulichkeitserklärung vereinbart, mit deren Daten nachvollziehbar und sicher umgehen. So wollte zuletzt Tesla von einem Auftragnehmer, einem Mandanten von uns, wissen, wer denn nun die bereitgestellten Dateien und Informationen in den letzten sechs Monaten geöffnet, weitergeleitet, oder gedruckt hat. Das ist oftmals mit Bordmitteln kaum möglich, und auf so etwas muss man sich vorbereiten.
Am Ende des Tages bedeutet Datenverlust Erpressbarkeit oder noch viel schlimmer: Auftragsverlust und Reputationsverlust.
Es geht um Jobs!
Dr. Ralf Schadowski ist seit mehr 25 Jahren in der IT, zunächst als IT-Chef, später gründete er mehrere Unternehmen und fokussiert seit über 15 Jahren ausschließlich auf das Thema Informationssicherheit, IT-Compliance und Internationaler EU-Datenschutz.
Dr. Ralf Schadowski ist seit 2005 geschäftsführender Gesellschafter der ADDAG GmbH & Co. KG, TÜV-zertifizierter Datenschutzbeauftragter und spezialisiert auf Informationssicherheit. Er ist Fachgruppenleiter für Datenschutz und Mitglied des Vorstandes im Bundesfachverband der IT-Sachverständigen und Gutachter e.V.
schadowski@addag.de
www.addag.de
Kennen Sie schon den aixvox-Newsletter?
Lassen Sie sich einmal im Monat kostenlos über die aktuellsten Workshops, Messen, Seminare und Webinare informieren!
Sie haben erfolgreich den aixvox-Newsletter abonniert!
* Bitte senden Sie mir entsprechend Ihrer Datenschutzerklärung regelmäßig und jederzeit widerruflich Informationen zu folgendem Produktsortiment per E-Mail zu: Workshops, Messen, Seminare, Webinare, Blogbeiträge.