Datenschutz
http://www.drqm.de/datenschutz.html

© 2012
http://www.drqm.de/

Vorbemerkungen: Datenschutz nur als Pflichtaufgabe?

... oder als Erfolgsfaktor einer langfristigen Kundenbindung, Kundenschutz und Verbesserung der Reputation?

1. Grundlage - Bundesdatenschutzgesetz [BDSG]

Mit Ablauf des 23.05.2004 endete die Übergangsfrist des Bundesdatenschutzgesetzes zur Angleichung der eigenen Datenverarbeitung an die aktuellen gesetzlichen Anforderungen.

Geschäftsführer und Vorstände haften seit dem, persönlich und gesamtschuldnerisch für die IT-Sicherheit und den Datenschutz in Ihrem Unternehmen.

Alle Unternehmen, in denen mehr als 10 Mitarbeiter/-innen mit personenbezogenen Daten (wie Personal-, Kunden- und Lieferantendaten etc.) in Kontakt kommen und diese maschinell verarbeiten, sind gesetzlich dem Datenschutz entsprechend BDSG und zur Bestellung eines betrieblichen oder externen Datenschutzbeauftragten verpflichtet.

Gemäß §43 Bundesdatenschutzgesetz ist eine Geldbuße bis zu 50.000 Euro festgelegt, wenn beispielsweise kein Datenschutzbeauftragter in der vorgeschriebenen Form bestimmt wurde, oder Betroffene nicht richtig oder nicht rechtzeitig unterrichtet wurden. Die vorsätzliche oder fahrlässige Handlung wird mit einer Geldbuße von bis zu 300.000 Euro geahndet. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die genannten Beträge hierfür nicht aus, so können sie überschritten werden.

2. Lösungsansatz - Datenschutz-Management

Mit dem ganzheitlichen Datenschutz-Management erfüllen Sie nicht nur die Verpflichtung zum BDSG, denn Sie reduzieren auch gleichzeitig rechtliche Risiken, mindern Folgekosten aus entgangenem Gewinn durch Kundenverlust und die Verbesserung der Reputation im Verdrängungswettbewerb. Gleichzeitig erwerben Sie ein erhöhtes Kundenvertrauen, denn Sie möchten doch sicherlich auch wissen, wie sorgfältig mit Ihren personenbezogenen Daten, z.B. von Kreditkarten, umgegangen wird? Oder?

Die Einführung vom Datenschutz-Management setzt in erster Linie eine tief greifende Prozesskenntnis im Unternehmen voraus. Des Weiteren sind fachliche und soziale Kompetenzen des Datenschutz-Beauftragten unabdingbare Voraussetzungen. In klein- und mittelständischen Unternehmen ist der Einsatz eines externen Datenschutz-Beauftragten eine kostengünstige und sichere Lösung, die den individuellen Bedürfnissen des Unternehmens angepasst ist.

3. Beispiele aus der Praxis - Risiken frühzeitig erkennen

Welche Probleme entstehen wenn die folgenden Ereignisse eintreten, bzw. was sind die langfristigen Folgen:

  • Ihr Sachbearbeiter verlässt das Unternehmen und nimmt die gesamten Kundendaten mit zur Konkurrenz?
  • Die gesamten Kundendaten werden durch eine Havarie zerstört und Sie haben keine Datensicherung für eine Rekonstruktion?
  • Die Mitarbeiter können die Gehaltsabrechnung der Geschäftsleitung, oder vom Vorstand einsehen?
  • Ihre Konkurrenz bekommt einen Zugriff auf Ihre gesamten Kundendaten?
  • Ihre Konkurrenz bekommt einen Einblick in Ihr Know-how?
  • Das Notebook vom Vorstand wird gestohlen und die Daten auf der Festplatte sind unverschlüsselt?

4. Und wieder das Argument:

                  „Bei uns kann das nicht passieren weil…!“

           Sind Sie wirklich sicher?

 

Nach oben

 

Vorgehensweise Datenschutz-Management

Phase / Prozess 1 - Datengrundschutz -

  • Bestellung des betrieblichen Datenschutzbeauftragten
  • Verschwiegenheitserklärung, einschließlich Dritter Stelle
  • Bestandsanalyse technisch / organisatorisch
  • Maßnahmenkatalog aus der Bestandsanalyse technisch / organisatorisch
  • Verfahrensverzeichnis mit Datensicherungsmaßnahmen

Phase / Prozess 2 - Sicherheitskonzept unter Betrachtung der Hauptprozesse -

2.1. Dokumente des SICHERHEITSKONZEPTES

  • Dokumentation über die Hauptprozesse des Unternehmens
  • Auflistung der zu schützenden Anlagen, Daten und Informationen
  • gefundene Verwundbarkeiten
  • erkannte Bedrohungen
  • definierte Maßnamen zum Schutz
  • Nutzungskontrolle/Zugriffsmöglichkeiten
  • Zuständigkeiten/Verantwortungen
  • grundsätzliche Regelungen zur Internet, E-Mail, Telediensten und Fernwartung etc.

Pos. 2.2. Analyse WIRTSCHAFTLICHER SCHÄDEN

  • Ausfall eines Teils oder des gesamten IT-Systems
  • Diebstahl von Daten und Systemen (z. B. Notebooks und PDAs)
  • unerlaubte Nutzung (z. B. Internetzugang, Telefonanlagen)
  • Öffentlichkeit (pb-Daten werden ungewollt offen gelegt)
  • Spionage (Patente etc.)
  • Systemfehler
  • physikalische Schäden an IT-Systemen (durch Feuer, Wasser etc.)
  • Lizenzmanagement

Pos. 2.3. Auswertung der Pos. 2.1. u. Pos. 2.2.

  • Vorschlag von Verbesserungsmaßnahmen an die verantwortliche Stelle
  • Bericht über die Einhaltung der Datenschutzmaßnahmen an die verantwortliche Stelle

Phase / Prozess 3 - Nachkontrolle und internes Audit -

  • internes Audit
  • Prüfung der Maßnahmen aus Phase / Prozess 2, unter Berücksichtung von wirtschaftlichen Erfordernissen, wenn erforderlich Korrekturvorschläge an verantwortliche Stelle
  • Anpassen der Datensicherungsmaßnahmen und des SICHERHEITSKONZEPTES an die aktuelle Gesetzgebung und Übergabe an das QM
  • Nachschulung bei wesentlicher Gesetzesänderung
  • Bericht über die Einhaltung der Datenschutzmaßnahmen an die verantwortliche Stelle
 

Nach oben

 

Aufwandsabschätzung für den betrieblichen Datenschutz

  • Wie viele Mitarbeiter gibt es an jedem Unternehmensstandort bzw. in jedem verbundenen Unternehmen?
  • Wie viele von ihnen arbeiten jeweils an Bildschirmarbeitsplätzen?
  • Wie viele Personen arbeiten jeweils mit personenbezogenen Daten?
  • Werden Daten außerhalb Deutschlands bzw. der EU verarbeitet? Wenn ja, welche und wo?
  • Gibt oder gab es bereits einen DSB im Unternehmen?
  • Existiert das gesetzlich vorgeschriebene Verfahrensverzeichnis?
  • Sind IT-Funktionen/Geschäftsprozesse ausgelagert? Wenn ja, welche?
  • Wurden die Mitarbeiter pflichtgemäß im Datenschutz geschult?
  • Entsprechen Hard- und Software beim zu schützenden Unternehmen dem aktuellen Stand der Technik?
  • Existiert eine Dokumentation der IT-Infrastruktur?
  • Existiert eine Dokumentation der wichtigsten Geschäftsprozesse?
  • Existieren unternehmensweit gültige Richtlinien zur IT-Nutzung und zum Datenschutz?
  • Schnittstellendefinition ext./int. Datenschutz, z.B. Einsatz eines Datenschutzassistenten
  • Einsatz von Software für die effiziente zeitnahe mandantenfähige Bearbeitung und Übergabe an das QM
 

Nach oben

 

Vorgehensweise Datenschutz

Im ersten Schritt wird ein kostenfreies und unverbindliches Gespräch über die zu erreichenden Ziele geführt. Der Fragen-katalog wird gemeinsam abgearbeitet und langfristige Ziele definiert. Aufgrund dieser Informationen wird ein Angebot mit Maßnahmenplan erarbeitet und die Vorgehensweise mit dem Kunden besprochen.

Bei komplexen Aufgabenstellungen ist eine Vorabpräsentation vor der Geschäftsführung und Entscheidungsträgern empfehlenswert. Dadurch werden frühzeitig Widerstände im Unternehmen abgebaut und der tatsächliche Leistungsbedarf ermittelt.

Beispiel für ein mittelständiges Unternehmen:

Aufgabenstellung: Einhaltung des BDSG und Datengrundschutz

-  Bestellung des externen Datenschutzbeauftragten für 36 Monate

- 20 Mitarbeiter GF, Verwaltung und Vertrieb arbeiten mit pb-Daten

- weitere Mitarbeiter haben nachweislich keinen Zugriff auf pb-Daten

Folgende Maßnahmen sind erforderlich:

  • Bestellung des betrieblichen Datenschutzbeauftragten (bDSB)
  • Verschwiegenheitserklärung
  • Bestandsanalyse technisch / organisatorisch
  • Maßnahmenkatalog aus Bestandsanalyse technisch / organisatorisch
  • Erarbeitung Nutzungsordnung Internet und E-Mail
  • Verfahrensverzeichnis
  • Mitarbeiterschulung
  • internes Audit und Bericht an die verantwortliche Stelle

Zeitbedarf: ca. 20 Stunden / Jahr

Halbjährlich, bzw. Einführung neuer Prozesse (Vorabkontrolle):

  • Nachkontrolle
  • Nachschulung bei wesentlichen Gesetzesänderungen
  • internes Audit und Bericht an die verantwortliche Stelle

Zeitbedarf: ca. 6 Stunden

... wir zeigen den Weg!

 

Nach oben