Aufbau eines Datenschutz-Managementsystems

Das prinzipielle Vorgehen der UIMC in der Beratung zeichnet sich durch eine Mischung aus vorstrukturierten und standardisierten Verfahrensweisen mit unterstützenden Hilfsmitteln sowie individuellen Problemlösungen aus. Hierbei hat sich ein Vorgehensmodell bewährt, das in Anlehnung an gängige Standards erarbeitet worden ist. Dieses Vorgehensmodell ist top-down-orientiert, d. h. die Erarbeitung der Strategie-/Zielkomponente steht am Anfang und bildet die Basis aller weiteren Entscheidungen.

Orientierung an der Erweiterung einer anerkannten Best-Practice-Norm

Unsere Vorgehensweise beim Aufbau des Datenschutz-Managementsystems (DSMS) lehnt sich an den Anforderungen der ISO 27701 an, welche eine Erweiterung der Best-Practice-Norm der ISO/IEC 27001 und ISO/IEC 27002 um ein Datenschutzmanagement ist. Hierdurch können analoge Vorteile und ähnlicher Nutzen wie bei einem Informationssicherheits-Management generiert werden.

Erhebung des Ist-Zustands

Ausgangspunkt ist stets ein Datenschutz-Checkup, um eine Bewertung der aktuellen Ist-Situation vorzunehmen. Dies tun wir stets mit Hilfe des UIMC-Tools für Analyse und Berichterstellung (UTAB). Innerhalb eines Interviews bzw. Workshops werden die Informationen anhand eines computergestützen Fragenkatalogs erfasst sowie durch die UIMC ausgewertet und in Form eines Status-Quo-Berichts inkl. Schwachstellen und eines Maßnahmenkatalogs zur Verbesserung dokumentiert.

Am Datenschutz-Checkup sollte neben dem internen Ansprechpartner eine Person teilnehmen, die die internen Strukturen und bereits getroffenen Regelungen und die Prozesse gut kennt. Die Teilnahme aus den datenschutzrelevanten Fachbereichen (wie z. B. Personal, Vertrieb, Marketing, IT) ist zumindest temporär empfehlenswert, wobei es zielführend für die Auditergebnisse und die Sensibilisierung in Ihrem Hause ist, wenn die Ansprechpartner den gesamten Zeitraum anwesend sind.

[siehe auch: Audits, Revision, Checkups]

Maßnahmenplanung zur struktruierten Verbesserung

Die vorgeschlagenen Maßnahmen können durch die UIMC innerhalb einer Aktivitätenliste so vorpriorisiert werden, dass eine sukzessive Abarbeitung der Schwachstellen vorgenommen werden kann. Dies ist erforderlich, weil Erfahrungswerte zeigen, dass ein gleichzeitiges Beseitigen verschiedenster Schwachstellen u. a. aus Effizienz-, Akzeptanz- und Effektivitätsgründen nicht sinnvoll ist.

Optimale Organisation

Zentrales Instrument für die Umsetzung des Datenschutzes ist das Datenschutzhandbuch. Es enthält alle wesentlichen Anweisungen, Vorgaben, Formblätter etc. und umfasst alle aufbau- und ablauforganisatorischen Fragestellungen, welche allgemein verbindlich sind.

Das Handbuch ist ein auf langjähriger Erfahrung und den Datenschutzgesetzen basierendes Regelwerk. Es ist modular aufgebaut, wodurch es an jede Institution spezifisch anpassbar ist. Neben der Einzellösung (Datenschutz oder Informationssicherheit) kann/sollte diese Lösung aufgrund der großen Nähe der beiden Gebiete sinnvollerweise auch in Form eines integrierten Informationssicherheits- und Datenschutz-Handbuchs eingesetzt werden.

Hinzu kommen Formulare, Muster, Checklisten etc., die wir in unserem Online-Formular-Center bereithalten. Somit ist sichergestellt, dass Sie stets die aktuellen Versionen der Unterlagen nutzen.

Faktor Mensch berücksichtigen

Ferner ist es unerlässlich, die Mitarbeiter im Hinblick auf die Risiken zu sensibilisieren und auf die Maßnahmen zu schulen. Aus unserer langjährigen Erfahrung sind vor allem folgende Formen zielführend, welche wir auch umsetzen und zumeist auch sinnvoll miteinander kombinieren, wobei wir gerne ein individuelles Schulungskonzept erstellen: Präsenz-Schulungen durch einen erfahrenen Referenten und/oder E-Learning zur Selbstschulung mittels eCollege.

Kontinuierliche Verbesserung

Durch regelmäßige Besuche, Revisionsgespräche und Audits sowie durch die kontinuierliche Anpassung der Hilfsmittel wie Handbuch und Schulungen an technische und rechtliche Änderungen werden wir den Datenschutz und die Informationssicherheit laufend optiminieren. Auch Veränderungen des Unternehmens können berücksichtigt werden, indem Regelungen, Prozesse usw. entsprechend modifiziert werden.

Im Übrigen kann – spätestens seit Einführung der Datenschutz-Grundverordnung – eine gleichzeitige Betrachtung von Datenschutz und von Informationssicherheit nicht nur fachlich sinnvoll und empfehlenswert sein, es werden auch Synergien erzeugt, die wir an Sie weitergeben können.