Der Erfolg des Datenschutzmanagements steht und fällt mit der Akzeptanz im Unternehmen. Reibungslose und angemessene, nicht exzessive Abläufe sind daher ein Muss.
Ist ein Unternehmen nicht darauf vorbereitet, können eigentlich triviale Anfragen einen massiven Aufwand nach sich ziehen. Beispielsweise kann es ohne entsprechende Prozesse zu einer zeit- und kostenintensiven Herausforderung werden, ein Auskunftsersuchen oder andere Betroffenenrechte frist- und formgemäß zu bearbeiten.
Die TÜV TRUST IT hat aus ihren Erfahrungen acht Erfolgsfaktoren für ein gelungenes Datenschutzmanagement zusammengestellt.
- Management Commitment
Ein Datenschutzmanagement muss tragfähig sein und getragen werden. Das Management muss dahinter stehen und dem Datenschutz den nötigen Raum geben.
- Awareness
Neben dem Management müssen auch alle anderen Mitarbeiter sich die Pflichten, die sich aus der Verarbeitung personenbezogener Daten ergeben, vergegenwärtigen. Datenschutz endet nicht bei Formalitäten.
- Prozesslandkarte
Eine Steuerung ist nur möglich, wenn alle Datenverarbeitungsprozesse eines Unternehmens, die Personenbezug haben, bekannt sind.
- Datenklassifizierung
Es ist fehlgeleitet, sämtliche Personendaten gleich zu behandeln, sondern Schutzmaßnahmen müssen immer verhältnismäßig zur Sensibilität der Daten sein. Anderenfalls müssten selbst für triviale Daten maximale Sicherheitsvorkehrungen getroffen werden, oder es besteht das Risiko, dass besonders schützenswerte Informationen nicht angemessen geschützt werden.
- Beschaffungsprozesse
Softwarebeschaffung ist häufig ein formalisiertes Verfahren, worin fachliche Anforderungen, kundenspezifischen Anpassungen und nicht zuletzt die Kosten wesentliche Rollen spielen. Anforderer und Einkäufer müssen ein Verständnis dafür haben, ob eine Datenverarbeitung vorab geprüft und von anderen Stellen im Unternehmen freigegeben werden muss..
- Change Management
Bestehende Datenverarbeitungen verändern sich. Modular aufgebaute Produkte werden erweitert, besonders in Zeiten der vorgefertigten Cloud-Dienste. Daten werden korreliert, womit neue Aussagen mit Personenbezug entstehen. Hieran sind viele weitere Schritte geknüpft, von der anzupassenden Datenschutzinformation, über eine eventuelle Folgenabschätzung bis hin zu einer neuen Klassifizierung einer betroffenen Anwendung, die schärfere Schutzmaßnahmen erfordert.
- Mitbestimmungsrechte
Bei Datenverarbeitungen mit Mitarbeiterbezug darf der Betriebsrat nicht übergangen werden, der mitunter Mitbestimmungsrechte hat.
- Datenschutzbeauftragte
Bei allen Fragestellungen, die sich im Datenschutz ergeben, ist eines immer ganz klar festzustellen: Unternehmen benötigen Sachverstand. Viele Unternehmen haben einen Datenschutzbeauftragten bestellt, entweder weil die Unternehmensgröße dies vorgibt, oder weil es sich aus der Art der Datenverarbeitung ergibt.
Foto: Colourbox
Messe
Seminare
Termine
Weiterbildung
sonstige Veranstaltung