Lücken im Datenschutz-Management vermeiden

Viele Datenpannen könnten vermieden werden, wenn der Datenschutz besser organisiert wäre. Oftmals fehlt eine Qualitätssicherung im Datenschutz.

Dieser Artikel behandelt

Datenschutz

Jedes fünfte befragte Unternehmen im deutschen Mittelstand hat keine Prozesse zur Informationssicherheit definiert oder kann hierzu keine näheren Angaben machen, so eine Studie der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Etwa die Hälfte der Unternehmen will nicht verstärkt in die Datensicherheit investieren, obwohl bereits 20 Prozent Ziel einer Cyberattacke waren.

Der offensichtliche Handlungsbedarf sollte aber nicht nur auf die technische Seite des Datenschutzes bezogen werden. Wie eine Studie von Dell zeigt, gilt es auch, die betriebliche Organisation im Bereich IT-Sicherheit, Datenschutz und Compliance zu optimieren.

Mehr Qualität im Datenschutz erforderlich

Anders als im Qualitätsmanagement sind strukturierte Prozesse und Verfahren im Datenschutz leider noch Mangelware. Tätigkeitsberichte der Aufsichtsbehörden zeigen, dass der betriebliche Datenschutz in vielen Unternehmen noch zahlreiche Lücken aufweist. Gründe sind oft Personalmangel, aber auch fehlende Datenschutzkonzepte.

Genau wie bei der technischen Datensicherheit darf es im organisatorischen Datenschutz keine Lücken geben, um die Gefahr für eine Datenpanne frühzeitig erkennen und abstellen zu können. Unternehmen sollten sich deshalb auf die Schwachstellensuche auch in ihrem Datenschutz-Management machen.

Datenschutz-Richtlinien und -Unterweisungen müssen sein

Ein vollständiges Datenschutz-Management benötigt als Grundlage neben dem Bundesdatenschutzgesetz, dem jeweiligen Landesdatenschutzgesetz beziehungsweise in Zukunft der EU-Datenschutz-Grundverordnung auch interne Richtlinien, also eine Datenschutz-Policy. In dieser Policy müssen die generellen rechtlichen Vorgaben auf die betrieblichen Bedürfnisse angewandt werden. Leider fehlt oftmals dieser fundamentale Schritt, was dazu führt, dass die Datenschutzvorgaben in so manchen Unternehmen als nicht passend angesehen werden.

Die internen Datenschutz-Richtlinien müssen aber nicht nur entwickelt, sondern auch im Unternehmen umgesetzt werden. Dazu werden einerseits bestimmte IT-Sicherheitslösungen benötigt, aber auch entsprechend geschulte und sensibilisierte Mitarbeiterinnen und Mitarbeiter. Deshalb ist auch die Datenschutzunterweisung ein zentraler Baustein im Datenschutz-Management.

Im Bundesdatenschutzgesetz (BDSG) findet man dazu, dass der Datenschutzbeauftragte die bei der Verarbeitung personenbezogener Daten tätigen Personen

  • durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes
  • sowie anderen Vorschriften über den Datenschutz
  • und mit den jeweiligen besonderen Erfordernissen des Datenschutzes

vertraut zu machen hat.

Datenschutz-Audits nicht nur bei Vorabkontrollen

Die Umsetzung der Datenschutz-Policy und der rechtlichen Datenschutzvorschriften muss auch überprüft werden: So hat der betriebliche Datenschutzbeauftragte die ordnungsgemäße Anwendung der Datenverarbeitungs-Programme zu überwachen, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen. Dafür müssen Datenschutzkontrollen oder interne Datenschutz-Audits stattfinden. Diese Kontrollen sind nicht etwa auf die Fälle beschränkt, bei denen eine Datenschutz-Folgenabschätzung beziehungsweise eine Vorabkontrolle notwendig ist, sondern sie sind generell ein Teil des Datenschutz-Managements.

Zu einem solchen Datenschutz-Audit gehören Prüfungen wie

  • Welche Verfahren der Verarbeitung personenbezogener Daten gibt es?
  • Welche Daten und Datenkategorien werden erhoben, aus welchen Datenquellen, zu welchem Zweck?
  • Gibt es eine Dokumentation zu der Datenverarbeitung?
  • Werden die Prinzipien der Datensparsamkeit und Datenvermeidung beachtet?
  • Werden die Daten hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität geschützt?
  • Werden geeignete technische und organisatorische Maßnahmen ergriffen?
  • Werden Daten übermittelt, an wen und zu welchem Zweck?
  • Werden die Daten fristgerecht gelöscht beziehungsweise gesperrt?
  • Werden die Betroffenenrechte beachtet?

Dabei sollte klar sein, dass festgestellte Mängel der verantwortlichen Stelle für die Datenverarbeitung (meist die Geschäftsleitung) gemeldet werden und die Abstellung der Mängel überprüft wird. Zudem müssen sich Unternehmen deutlich machen, dass sowohl die Datenschutzkontrollen als auch die Datenschutzunterweisung und die Pflege der Datenschutz-Policy regelmäßige Aufgaben sind. Nur dann können auch organisatorische Lücken im Datenschutz dauerhaft vermieden werden.

Artikel wurde zuletzt im September 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close