Datenschutz sinnvoll und strukturiert anzugehen, ist für jedes Unternehmen essenziell. Oft jedoch hapert es daran. Entweder, weil nur das Nötigste getan wird, um die regulatorischen Anforderungen zu erfüllen. Oder, weil über die Jahre ein System aus punktuellen Einzellösungen gewachsen ist, das kaum noch zu bändigen ist, geschweige denn zentral gesteuert werden kann. Den Schalter umzulegen, ist indes kein Hexenwerk. Es gilt, Silos aufzulösen und bewährte Lösungen gemeinsam mit neuen in ein Gesamtkonzept zum Datenschutz zu überführen.

Viele Unternehmen nutzen zwar bereits ein Informationssicherheits-Managementsystem (ISMS), doch werden damit teilweise andere Schutzziele verfolgt. Solche Systeme haben das primäre Ziel, Unternehmen vor Schaden zu schützen – beispielsweise vor Cyberattacken. Beim Datenschutz hingegen geht es um den Schutz der Grundrechte einer natürlichen Person. Konkrete rechtliche Vorgaben dazu geben die Europäische Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Sie verlangen unter anderem, dass betroffene Personen über Zweck, Inhalt und Dauer der Datenverarbeitung aufgeklärt werden. Darüber hinaus müssen sie über ihre Rechte informiert werden, etwa die Berichtigung oder Löschung personenbezogener Daten.

Die Vorgaben umzusetzen, ist leichter gesagt als getan. Denn es bedarf eines ganzheitlichen Ansatzes, um alle internen und externen Prozesse so aufzustellen, dass sie den Anforderungen genügen. So verlangt die DSGVO beispielsweise, dass Verletzungen des Datenschutzes unverzüglich und möglichst binnen 72 Stunden den zuständigen Aufsichtsbehörden gemeldet werden müssen. Wer im Falle eines Falles erst prüfen muss, wer was zu tun hat, gerät unter Druck, macht möglicherweise weitere Fehler und überschreitet schlimmstenfalls die Frist.

In der Praxis sind es erfahrungsgemäß mehrere Gründe, die Unternehmen bei der Umsetzung des Datenschutzes Kopfschmerzen bereiten. Einer davon ist die Überforderung durch die Vielzahl an Herausforderungen wie die Corona-Pandemie oder Lieferkettenschwierigkeiten, die vermeintlich Priorität haben. Der Datenschutz ist aber nicht weniger wichtig – im Gegenteil: Die Risiken, die man ansonsten in Kauf nimmt, reichen von Cyberangriffen über drohende Reputationsverluste bei einem Datenabfluss oder -verlust bis hin zu Bußgeldern bei Verstößen gegen die DSGVO. Denn diese gibt auch die Risikominimierung als Grundverpflichtung einer jeden Organisation vor, die persönliche Daten erhebt oder verarbeitet.

Erschwerend kommt für viele Unternehmen hinzu, dass es ihnen schwerfällt, das Preis-Leistungs-Verhältnis und die benötigte Qualität von externen Sachverständigen einzuschätzen. Das führt oftmals zu Eigenentwicklungen, die einzelne, aktuell auftretende Probleme beheben, aber am Ende doch immer ein Flickenteppich bleiben. Noch risikobehafteter wird dieses Vorgehen dadurch, dass solche Datenschutzprojekte oftmals nicht nachhaltig weiterverfolgt werden.

Daneben gibt es noch viele weitere Argumente für einen ganzheitlichen Datenschutzansatz. Dazu zählt eine bessere Übersicht über die Unternehmensprozesse. Audits belegen die eigenen Schutzmaßnahmen und stärken das Vertrauen von Kund:innen, Geschäftspartner:innen und allen weiteren Beteiligten. Willkommener Nebeneffekt: Erhöht sich das Schutzniveau persönlicher Daten, steigt automatisch auch das Niveau der Informationssicherheit eines Unternehmens.

Datenschutz muss als fortlaufender Prozess und Angelegenheit aller Mitarbeitenden betrachtet werden und nicht als Stichtagsmaßnahme. Um dieses Mindset zu fördern und entsprechende operative Maßnahmen zum Datenschutz zu implementieren, hat Bechtle ein strukturiertes Vorgehensmodell entwickelt. Es startet mit der Klärung von Rollen und Verantwortlichkeiten. Außerdem wird mittels einer Gap-Analyse festgestellt, wo der Handlungsbedarf am größten ist – und auf welchen Grundlagen aufgebaut werden kann.

Danach werden Internetpräsenzen und E-Mail-Marketing unter die Lupe genommen. Aus gutem Grund: Hier liegen zum einen besonders viele Stolperfallen, die Außenstehende leicht erkennen und gegebenenfalls auch ausnutzen können. Zum anderen sind diese mit vergleichsweise wenig Aufwand zu entschärfen. Schnelle Erfolge fördern die Motivation, sich auch schwierigeren Themen offensiv zu widmen. Ein solcher größerer – aber gleichfalls lohnender – Brocken ist das Verfahrensverzeichnis, das die DSGVO ohnehin fordert. Angereichert mit weiteren sinnvollen Informationen kann es zum zentralen Dokument des eigenen Datenschutzes ausgebaut werden. Nun ist es Zeit, sich um weitere Details zu kümmern. Dazu gehört unter anderem ein Check etwaiger Betriebsvereinbarungen und der Verträge mit Dienstleistern. Auch hier können viele Fehler gemacht werden.

Sind diese „Hausaufgaben“ erfolgreich erledigt, geht es darum, die technischen und organisatorischen Maßnahmen zum Datenschutz zu verstetigen. Ein Beispiel ist die Definition neuer Prozesse, damit künftig jede und jeder weiß, was wann zu tun ist. Auf dieser Grundlage sollten in der Folge auch die Mitarbeitenden regelmäßig geschult werden. Sie sind es, die die Vorgaben leben und die Sicherheit im täglichen Umgang mit dem Datenschutz benötigen. Anschließende Auditierungen bescheinigen, dass ein durchgängig hohes Schutzniveau erreicht ist. Sie werden schnell feststellen: Es ist Gold wert, ein solches Rahmenwerk aus strukturierten Prozessen und Maßnahmen zu haben, um den Datenschutz in Ihrem Unternehmen sicherzustellen und zu erleichtern.

In Abgrenzung zu einem ISMS werden solche Konzepte als Datenschutz-Managementsysteme (DSMS) bezeichnet. Davon sollte sich aber niemand einschüchtern lassen. Welches Schutzniveau sich für welches Unternehmen eignet, ist individuell und hängt unter anderem von der Größe und der Branche ab. Natürlich müssen Grundvoraussetzungen wie die Vorgaben der DSGVO eingehalten werden, es gibt aber viele weitere Maßnahmen, die freiwillig, nützlich oder dringend anzuraten sind – und manchmal sogar alles zusammen. Wie hoch das individuelle Schutzbedürfnis eines Unternehmens ist, lässt sich nur für den jeweiligen Einzelfall feststellen.

Bechtle hat mit dem Fach- und Praxiswissen aus zahlreichen Projekten mit Unternehmen aus verschiedensten Branchen Best Practices entwickelt, die Hilfestellung leisten.

Wir sind Ihr kompetenter Berater für

• Datenschutzprozesse, -bewertungen, -analysen und -prüfungen

• Die Durchführung von Datenschutzaudits

• Das Mentoring und die Entlastung Ihrer Datenschutzbeauftragten

Sofern Sie noch keine:n Datenschutzbeauftragte:n benannt haben, können wir diese Rolle für Sie übernehmen.

Setzen Sie sich gerne mit uns in Verbindung und erfahren Sie mehr über unsere Datenschutzlösungen oder unsere vielen Services und Lösungen rund um das Thema IT-Security.

Dieser Beitrag ist ursprünglich auf dem Bechtle Blog erschienen.