VON OBEN HERAB - Datenschutzkultur - DataTree AG
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
ExperSite Das Magazin für Informationssicherheit und Datenschutz
Ausgabe 03 | 2019
HERAB
Datenschutzkultur
VON OBEN
// INHALT // EDITORIAL
Datenschutz braucht
Sich dem Kulturthema zu widmen, ist eine Mammutaufgabe ab S. 14
Organisation und Kultur
EDITORIAL3
PROFILING Mitarbeiter, denen das entsprechende Umfeld geschaf-
Auf der Suche nach dem richtigen Umgang mit Fehlern 4 fen werden muss. Das Gerüst dafür ist eine Matrix
aus Organisation und
UNTERNEHMENSNEUIGKEITEN Erfolgsfaktor Kultur. Die Organi-
Risiken vermeiden oder prozessgesteuert bewerten?
Rückblick und Ausblick10 Mitarbeiter*innen sation ist als der Pro-
28 zess zu betrachten, in
dem man kontinuierlich handelnd, vernünftige Ziele
AKADEMIE erreicht. Die Kultur spiegelt das lebendige Selbstver-
Einblick12 ständnis wider.
Die Datenschutzorganisation ist daher elementarer
SCHWERPUNKT: DATENSCHUTZKULTUR 14 Grundpfeiler, und die Kultur ist das Selbstverständnis
Datenschutzkultur entwickelt sich zeitverzögert – S. 16 der Mitarbeiter beim Umgang mit personenbezogenen
Das Datenschutz-Management-System – mehr als eine Software – S. 18 Daten. Eine Mammutaufgabe für alle Beteiligten, die
Was der Datenschutz vom Triathlon lernen kann – S. 22 teilweise schier unmöglich erscheint, denn während
Selbstverständlich ist Datenschutz Chefsache. Selbst- an Themen wie einer offenen Fehlerkultur (S. 4) ge-
verständlich kümmert sich der Datenschutzbeauf- arbeitet wird, gilt es gleichzeitig, organisatorische und
DER DATENSCHUTZBEAUFTRAGTE 24 trage darum. Nur zwei der Aussagen, wie sie seit der prozessuale Basics zu schaffen (ab S. 14). Wir widmen
Richtig mit Fehlern umgehen 4
Seien Sie Vorreiter der Kultur DSGVO noch häufiger zu hören sind. Im Kern ist es uns in dieser Ausgabe den Herausforderungen, Hür-
richtig, dass die Haftung bei allen Themen der Com- den, Emotionen und Werkzeugen, die Ihnen ermög-
pliance beim Geschäftsführer bzw. Vorstand liegen. lichen, das Thema multi-dimensional anzugehen und
HOW TO
Und der Datenschutzbeauftrage mit seinem Kompe- zu betrachten.
Datenschutzleitlinie 26 tenzteam hilft dabei, die Leitplanken der gesetzlichen
Anforderungen aber auch der selbst auferlegten Rah- Ich wünsche Ihnen viel Freude mit unserer aktuellen
INFORMATIONSSICHERHEIT28 menbedingungen einzuhalten. Erfolgreicher Daten- Ausgabe der ExperSite – Ihrem Magazin für Informa-
schutz gelingt aber nicht von oben herab und auch tionssicherheit und Datenschutz.
Richtiges Handeln durch richtige Entscheidungen
nicht durch eine Dokumentation, die in einem Akten-
ordner im Schrank verstaubt.
VORSCHAU / IMPRESSUM 32
Erfolgsfaktoren für einen funktionierenden Daten- Prof. Dr. Thomas Jäschke
schutz sind am Ende aber die Mitarbeiterinnen und Vorstand DATATREE AG
www.datatree.eu
2 3
// PROFILING
JAN HAGEN
Auf der Suche ist Associate Professor der European School of Management and
Technology (ESMT) in Berlin. Im Mittelpunkt seiner Forschung und
Lehre stehen die Themen Führung, Fehlermanagement und Krisen-
management, darunter insbesondere die Art und Weise, wie Orga-
nach dem richtigen Umgang
nisationen und Teams mit Fehlern umgehen. Neben Fachbeiträgen
hat er 2013 das Buch „Fatale Fehler: Oder warum Organisationen ein
Fehlermanagement brauchen” (Palgrave Macmillan) veröffentlicht.
Im Frühjahr 2018 erschien sein letztes Buch „How could this hap-
mit Fehlern
pen – Managing errors in organizations“ (Palgrave Macmillan). Über
seine Forschung wurde unter anderem bei der BBC, „ The Economist”,
„ Financial Times”, „ FAZ” und „ Handelsblatt” sowie „ Spiegel Online”
berichtet. Er unterrichtet in Programmen für Topführungskräfte in
Fehler gehören zu unserem Alltag. Der Umgang mit ihnen ist aber nach wie vor problematisch. Unternehmen, aber auch für die deutsche Luftwaffe.
Wir können nur schwer Fehler eingestehen und noch schwerer über Fehler miteinander sprechen.
Fatalerweise legen wir so die Grundlage für den nächsten Fehler. Aus Fehlern lernen, setzt die
Auseinandersetzung mit ihnen voraus.
Wieso wir uns mehr mit unseren Fehlern beschäftigen müssen und Organisationen sich mit einem
Fehlermanagement auseinandersetzen sollten, erläutert Prof. Dr. Jan Hagen.
Interview: Jörg Fecke
Herr Hagen, dass man aus Richtig, obwohl wir alle den Spruch „Aus Fehlern lernt man“ kennen, so
Fehlern lernt, ist eine Gewissheit, richtig daran glauben wollen wir nicht. Nach wie vor ist ein Fehler sehr
die wir schon seit unserer negativ konnotiert, es ist etwas schiefgelaufen. Gerade das soll ja tunlichst
Kindheit kennen. Und dennoch vermieden werden. Die Vermeidung von Fehlern hat in der schulischen
gibt es gerade im Berufsalltag Erziehung einen hohen Stellenwert. Daher kommt dann das schlechte Ge-
große Probleme, mit Fehlern fühl, wenn einem ein Fehler unterläuft. Versagensängste sind weit ver-
richtig umzugehen, wieso? breitet. Schnell heißt es dann, wer Fehler macht, der ist seiner Aufgabe
nicht gewachsen. Dabei hat ein weiteres Sprichwort ebenfalls Gültigkeit:
„Irren ist menschlich!“.
Aber wir wollen immer richtig Zunächst einmal ist mir kein Kulturkreis bekannt, wo sich Menschen
liegen, woher kommt das? freuen, Fehler zu begehen. Vielleicht haben wir in Deutschland aber auch
aufgrund unserer Arbeitskultur ein ganz besonderes Verständnis. Die er-
folgreichsten Branchen, Maschinenbau und die Automobilindustrie, sind
stark von einem Drang nach Perfektion getrieben. Völlig nachvollziehbar,
ein einziger Fehler im System eines Motors kann sich gravierend auf ein
gesamtes Unternehmen auswirken.
Die Fehlerkultur oder ein Eine funktionierende Fehlerkultur ist ein Prozess. Etablierte Routinen
Fehlermanagement wird oft als und Standards werden hinterfragt, das stößt selbstverständlich auf Wi-
lästig empfunden, muss das so derstand. Außerdem müssen wir uns selbst reflektieren und ganz wich-
sein? tig, daraus unsere Schlüsse ziehen. Das ist für viele Menschen eine große
Herausforderung, wer will sich schon ausführlich mit seinen Schwächen
auseinandersetzen? Dennoch, nur wenn wir unser Tun aufrichtig hinter-
fragen, sind wir überhaupt in der Lage, Dinge besser zu machen und so
Fortschritt zu ermöglichen.
4 5
// PROFILING
Ein funktionierendes Es ist sicher kein Zufall, dass sich gerade in der Luftfahrtbranche ein Fehlerma- Inwiefern haben diese Hierarchien Hierarchien sind erst einmal grundsätzlich nicht schlecht, aber wir müssen die
Fehlermanagement ist nagement, das Crew Resource Management (siehe Infokasten), etabliert hat. Hier einen besonderen Einfluss auf ein negativen Auswirkungen auf die Kommunikation im Blick behalten. Das Militär
beispielsweise in der Luftfahrt haben Fehler oft gravierende Auswirkungen. Es gibt aber noch einen weiteren funktionierendes Fehlermanagement? ist ein gutes Beispiel. Es existieren mittlerweile gleichzeitig eine sehr ausgepräg-
üblich, wie funktioniert das? wichtigen Grund, wieso gerade hier ein Fehlermanagement vorhanden ist. Mit te Hierarchie und eine Fehlerkultur, insbesondere beim Einsatz in Krisen- und
dem Cockpit Voice Recorder und dem Flight Data Recorder werden große Men- Kampfgebieten. Nach jedem
gen an Daten gesammelt. Bei den Auswertungen nach Flugunfällen wurde in den Einsatz führen die Beteilig- „Stress begünstigt Fehlverhalten “
späten 1970er-Jahren ein Aspekt deutlich: Kapitäne, die eigentlich immer über ten sogenannte After Action
mehr Erfahrung als Co-Piloten verfügen, verursachen fast 80% der Unfälle. Reviews durch. Das ist sinnvoll, da in Einsätzen oft stressige Situationen vorkom-
men, Stress begünstigt Fehlverhalten. Alle Beteiligten, unabhängig vom Dienst-
Wie passt das zusammen? Kapitäne sind ganz normale Menschen und dementsprechend nicht fehlerfrei. grad, reflektieren nach einem Einsatz das Geschehene und ziehen gemeinsam
Allerdings stehen sie am oberen Ende der Hierarchie im Cockpit. Es sind zahl- daraus ihre Schlüsse. So werden Fehler in Zukunft aktiv minimiert.
reiche Fälle belegt, in denen ein Co-Pilot oder Flugingenieur einen Fehler be-
merkt, aber seinen Wie kann man es besser machen? Im Rahmen eines Forschungsprojekts habe ich gemeinsam mit Kollegen bei
Kapitän nicht darauf „Kapitäne sind ganz normale Menschen israelischen Piloten eine interessante Beobachtung gemacht. Ihr Verhalten un-
hinweist. Dafür gibt und dementsprechend nicht fehlerfrei. “ terschied sich in einem Detail maßgeblich von dem ihrer deutschen Kollegen.
es mehrere Gründe. Israelische Kommandanten sind sich ihrer hie-
Vor allen Dingen liegt die Hemmschwelle, den Vorgesetzten auf seinen Fehler „Durch eine aktive Feedbackkultur und rarchischen Stellung bewusst und reagieren
hinzuweisen, oft zu hoch, aber es kann auch daran liegen, dass die eigene Kom- viele offene Fragen“ ensprechend. Durch eine aktive Feedbackkul-
petenz als zu gering betrachtet wir. Macht der Co-Pilot dagegen einen Fehler, ist tur und viele offene Fragen ermuntern sie ihre
die Korrektur durch den Kapitän ein ganz einfacher Vorgang. Das ist der einfache Co-Piloten, Prozesse zu kommentieren. Dadurch fallen Hürden, und die Kom-
Hintergrund für dieses scheinbare Paradoxon. munikation gelingt, Fehler werden schneller erkannt und angesprochen, so dass
genügend Zeit für eine Reaktion bleibt.
Es müssen also strukturelle
Sicherlich gibt es Unternehmen und Branchen, in denen sich eine Fehlerkultur
Hindernisse überwunden
besser umsetzen lässt als in anderen. Stark ausgeprägte Hierarchien behindern Seit mehr als zehn Jahren kursiert Diese Rankings sind mit Vorsicht zu genießen, und es überrascht mich auch ein
werden?
oft eine offene Feedbackkultur. Dabei sind die Hierarchien selbst nicht das ei- immer wieder ein Ranking der gelebten Stück weit. In den asiatischen Kulturen kommt das Eingestehen eines Fehlers
gentliche Problem, vielmehr sind es die damit verbun- Fehlerkultur. Deutschland belegt von 61 viel mehr einem Ge- sichtsverlust gleich.
„Je stärker das Hierarchiegefälle ist, desto schwieriger denen Vorstellungen der Menschen. Wenn eine OP-Ärz- untersuchten Ländern den vorletzten Im Vergleich zu den „Allerdings hat sich angelsächsischen
ist es, Vorgesetzte auf Fehler hinzuweisen. “ tin beispielsweise ihre Hände nicht desinfiziert, dann Platz. Entspricht das dem Alltag in den Unternehmenskulturen in den letzten Jahren haben wir allerdings
große Probleme, mit
hat eine Pflegekraft eine größere Hürde, dies ihr gegen- Unternehmen?
viel getan. “ dem Scheitern um-
über zu kommunizieren als anders herum. Je stärker das Hierarchiegefälle ist, zugehen. Nach einer ge- scheiterten Unter-
desto schwieriger ist es, Vorgesetzte auf Fehler hinzuweisen. nehmensgründung gilt man schnell als Versager. Diesen Makel wird man dann in
Deutschland nach wie vor schlecht los. Allerdings hat sich in den letzten Jahren
viel getan. Regelmäßige Feedbacks oder Lessons Learned gehören immer öfter
zur Unternehmenskultur.
Exkurs
Crew Resource Management
Das Crew Resource Management (CRM) ist in der zivilen Luftfahrt seit den 1980er-Jah-
ren Bestandteil der Ausbildung von Flugbesatzungen. Mit dem CRM wird die Kom-
munikation zwischen den einzelnen Crewmitgliedern gestärkt, hierarchisch bedingte
Hemmschwellen abgebaut und so Möglichkeiten zur Fehlervermeidung beziehungs-
weise Lösung aufgezeigt. Zahlreiche Fast-Katastrophen sind durch gelungenes CRM in
der Vergangenheit abgewendet worden.
6 7
// PROFILING // ANZEIGE
Fehler wollen weder Angestellte noch Erstaunlicherweise gibt es durchaus Parallelen: Natürlich hat die schon erwähn-
Führungskräfte gerne zugeben. Gibt es te Krankenschwester eine große Hürde, sich dem Chefarzt gegenüber offen zu SOFTWAREGESTÜTZTE MANAGEMENTSYSTEME
dennoch Unterschiede? äußern. Aber auch Vorgesetzte sind zurückhaltender bei der Fehleransprache als
vielleicht erwartet wird. Im Rahmen einer früheren Studie konnten wir zeigen, Unsere Software GAIMS unterstützt Sie auf Basis von Compliance-Richtlinien notwendige
dass sowohl Mitarbeiter als auch Führungskräfte ein Vier-Augen-Gespräch be- Sicherheitsmaßnahmen zu identifizieren und diese kontrolliert umzusetzen.
vorzugen. Man möchte auf keinen Fall jemanden bloßstellen.
Nicht zuletzt durch das Inkrafttreten der Der Zeitpunkt kann sicherlich vorteilhaft sein. In vielen Fällen ist die DSGVO
DSGVO im letzten Jahr ist viel Bewegung nicht vollständig umgesetzt, Abläufe noch nicht endgültig definiert. Dieser Vor-
in das Thema Datenschutz gekommen. Ist teil kann allerdings schnell zum Nachteil kippen. Wenn zum Beispiel Richtlinien
das eher von Vorteil oder Nachteil für eine eingeführt werden und sich herausstellt, dass diese sich mit dem Arbeitsalltag
gelebte Fehlerkultur? nicht in Einklang bringen lassen, dann haben wir ein Problem. Ändern wir die
Richtlinie? Oder ignorieren wir sie etwa? Genau
„Es kümmert sich schon irgendwer darum “ hier setzt übrigens das Fehlermanagement an. Mit
einer offenen Kommunikation werden Schwächen
angesprochen und Prozesse angepasst. Leider herrscht aber oft noch der Gedan-
ke „Es kümmert sich schon irgendwer darum, das ist nicht meine Baustelle“ vor.
Cyberattacken nehmen seit geraumer Beim Fehlermanagement geht es ja vor allem darum, was passiert, nachdem der
Zeit stetig zu. Mailanhänge entpuppen Fehler begangen wurde, also die Korrektur. Sicher, wenn die Mitarbeiter richtig
sich als Malware und legen ganze geschult und sensibilisiert sind, dann wissen sie mit verdächtigen Mailanhängen
Krankenhausinfrastrukturen lahm. Kann umzugehen. Bei frühzeitiger Entdeckung kann eine Ransomware noch entschei-
ein funktionierendes Fehlermanagement dend gestoppt werden. Dafür
hier eine Lösung sein? muss aber reagiert werden, „Bei frühzeitiger Entdeckung
und das heißt auch, dass Mit-
arbeiter keine Angst vor Strafe
kann eine Ransomware noch
haben dürfen, wenn Sie der IT entscheidend gestoppt werden “
mitteilen, dass sie einen zwei-
felhaften Anhang geöffnet haben. In den allerwenigsten Fällen ist ein Fehler al-
lein verantwortlich für eine Katastrophe. Erst aus der fehlenden Korrektur kann
sich eine Fehlerkette entwickeln bis zu einem Punkt, wo es dann zu spät ist.
Was sind denn letztlich die Zunächst einmal muss in vielen Fällen ein Bewusstseinswandel stattfinden. Feh-
Voraussetzungen für ein funktionierendes ler sind nicht toll, aber sie passieren nun einmal. Ein aktives Fehlermanagement
Fehlermanagement? ist eine besondere Form des Trainings. Man bereitet sich in gewisser Weise auf
eine unbequeme Situation vor. Je häufiger das Training, um so wirksamer ist DIE DIGITALISIERUNG BEGINNT MIT DER
das Fehlermanagement. Das setzt aber voraus, dass wir uns aktiv mit unserer INFORMATIONSSICHERHEIT
Situation auseinandersetzen. Selbstreflexion und eine ausgeprägte Kommuni-
kation sind unumgänglich. Führungskräfte tun gut daran, ehrlich offene Fragen
Unsere Software GAIMS unterstützt Sie auf Basis von
zu stellen. Erst so entsteht ein Austausch über Hierarchiegrenzen hinweg, und
es zeigen sich Schwächen, die so vielleicht vorher überhaupt nicht ersichtlich
Compliance-Richtlinien notwendige Sicherheitsmaßnahmen
waren. // zu identifizieren und diese kontrolliert umzusetzen.
GAIMS GmbH
Simrockallee 2
D-53173 Bonn
Telefon: +49 (0) 228 / 20778858
Mobil: +49 (0) 176 / 3292 0474
E-Mail: office@gaimssoftware.de
8 9
// UNTERNEHMENSNEUIGKEITEN
Rückblick
Ausblick Ausblick
_GDPR4H – Tagungsprogramm mit
Datenschutzexperten _Internet Security Days
Liebe Geschäftspartner, _DIGITAL FUTURE-
congress
Fachmesse, Konferenz, Networking, Spaß – dafür stehen die Internet Security Days auch in
Messe // 27. – 28. Septemeber
ihrer achten Auflage im Phantasialand Brühl bei Köln. Am 26. und 27. September 2019 tre en
Fachtagung // 11.–12. Juli 2019 // sich erneut Experten und Anwender für Internetsicherheit, um sich über neue Entwicklungen
2019 // Brühl
zu informieren und auszutauschen.
Datenschutz als Chance // Dortmund Messe // 5. November 2019 //
Neben dem Dauerthema Cyber-Angri e fokussiert das Event jährlich die zukünftigen Trends
der IT-Sicherheit und zeigt praktische Use Cases, die direkt in das eigene Unternehmen über-
Ausblick nommen werden können.
IT-Sicherheitsexperten, Sicherheits- Essen
Neben Keynotes namhafter Referenten, den parallel stattfindenden Security Sessions und
verantwortliche
Workshops kommen natürlichund Anwenderunter-
auch Networking und Spaß nicht zu kurz. Dafür sorgt schon
die fantastische Veranstaltungsumgebung des Phantasialands und die Internet Security
nehmen
Night. treffen sich, um sich beim
Ausblick
_Prof. Dr. Thomas Jäsch- umfangreichen
Werden
Produkte Ausstellung
und Lösungen
Konferenzprogramm
auch Sie Partner der ISD und kommen Sie dorthin, wo die Pioniere der Online-
Sicherheit zusammentre en. Ob Sie nach interessanten Wegen suchen, um Ihre neuesten
und der vorzustellen,über aktuelle
Ihr Know-how zu teilenBe-
oder um neue Kontakte zu
ke als Keynote Speaker
knüpfen: Wir haben das passende Paket für Sie. Sprechen Sie uns gerne persönlich an.
drohungen sowie neue Strategien zu
Wir freuen uns auf Ihre Nachricht!
_Treffen der Initiative für Informations- informieren und Erfahrungen auszu-
auf der expopharm tauschen. Prof. Dr. Thomas Jäschke
sicherheit im Gesundheitswesen Messe // 27. – 28. Septemeber
wird mit seinem Vortrag „Über das all-
tägliche Scheitern der Informationssi-
Werner Theiner Peter Joniec Markus S rin
Expertenkreis – Arbeitstreffen // 2019 // Düsseldorf cherheit"
eco e.V. einen Einblick eco
ine.V.
die Heraus- eco e.V.
10. September 2019 // Dortmund forderungen der Branche geben.
Auf der größten Netzwerk-Veranstal-
tung für IT-Business-Anwender im Her-
Vertreter der Gesundheitsbranche aus dem gesamten Bundes- zen des Ruhrgebietes, gibt Dipl.-Kfm.
gebiet nutzten am 11. und 12. Juli den Fachkongress zum Er- Fabian Rüter, Berater Datenschutz bei
fahrungsaustausch. Im Dortmunder TOP Tagungszentrum, in 26. / 27. 9. 2019, Phantasialand, Brühl
der DATATREE AG, in seinem Vortrag
direkter Nachbarschaft zur TU-Dortmund, diskutierten Teilneh- praxisnahe Tipps zur Umsetztung der
mer und Referenten über eine der aktuellsten Herausforderun- Liebe Geschäftspartner, DSGVO.
gen der Branche: den Datenschutz. Eine breit angelegte Studie Fachmesse, Konferenz, Networking, Spaß – dafür stehen die Internet Security Days auch in
ihrer achten Auflage im Phantasialand Brühl bei Köln. Am 26. und 27. September 2019 tre en
des EU-geförderten Projektes „GDPR4H“ gab wesentliche Im- sich erneut Experten und Anwender für Internetsicherheit, um sich über neue Entwicklungen
zu informieren und auszutauschen.
pulse. Hieran beteiligten sich Institutionen und Einrichtungen Wir freuen uns, dass die DATATREE AGNeben dem Dauerthema Cyber-Angri e fokussiert das Event jährlich die zukünftigen Trends ISD.ECO.DE
aus Belgien, Griechenland, Rumänien und Deutschland. „Wir mit Prof. Dr. Thomas Jäschke auf derder IT-Sicherheit und zeigt praktische Use Cases, die direkt in das eigene Unternehmen über-
wollen ein Curriculum für Datenschutzbeauftragte entwickeln,
Ausblick
nommen werden können.
größten Apothekermesse vertreten ist. Neben Keynotes namhafter Referenten, den parallel stattfindenden Security Sessions und
damit einheitliche Standards eingeführt und umgesetzt werden. Thomas Jäschke liefert im Rahmen desWorkshops kommen natürlich auch Networking und Spaß nicht zu kurz. Dafür sorgt schon
die fantastische Veranstaltungsumgebung des Phantasialands und die Internet Security
Viele Menschen fühlen sich auch heute noch mit der DSGVO al- InspirationLAB praxisnahe Tipps ausNight.
lein gelassen“, erläuterte Dr. Erik Malchow, Projektmitarbeiter dem eigenen Unternehmen zum The-Werden _HEALTH – The Digital Leaders
auch Sie Partner der ISD und kommen Sie dorthin, wo die Pioniere der Online-
Sicherheit zusammentre en. Ob Sie nach interessanten Wegen suchen, um Ihre neuesten
und Dozent für interkulturelle Kommunikation. Bereits seit 2016 trifft sich die Initiative für Informationssicher- ma „Informationssicherheit: Erfolgrei-knüpfen: Wir
Produkte und Lösungen vorzustellen, Ihr Know-how zu teilen oder um neue Kontakte zu
heit im Gesundheitswesen regelmäßig und bringt Experten der che digitale Kundenbindung”. DarüberWir freuen uns auf Ihre Nachricht!
Jahrestagung // 5. – 6. November 2019 // Berlin
haben das passende Paket für Sie. Sprechen Sie uns gerne persönlich an.
Weitere Themenschwerpunkte waren das Spannungsfeld zwi- Branche an einen Tisch. hinaus steht Thomas Jäschke nach sei- Das „Handelsblatt" und
schen Social-Media-Nutzung und einer belastbaren Daten- nem Vortrag allen Besuchern des apo- HIMMS, der weltweit
schutzkonformität sowie die aktuelle Rolle des Datenschutzbe- Der Zusammenschluss von Verantwortlichen der IT und Infor- camps Rede und Antwort. führende Verband für
auftragten im Gesundheitswesen. mationssicherheit, Geschäftsführern und Datenschutzbeauf- Werner TheinerDigitalisierungPeterim Joniec Ge- Markus S rin
eco e.V. eco e.V. eco e.V.
tragten arbeitet an der Sicherheit von Deutschlands Kranken- Wir freuen uns auf Ihren Besuch auf sundheitswesen, ver-
häusern, sowie dem Schutz hochsensibler Gesundheitsdaten. der expopharm in Düsseldorf. einen ihre Kräfte. Im
Gemeinsam leisten die Teilnehmer Aufklärungsarbeit im Be- Mittelpunkt der Konfe-
reich der Informationssicherheit. Es werden praxisnahe Hand- Mehr Informationen und Tickets fin- renz: die Wertschöpfung
lungsempfehlungen und Tools für die Krankenhauslandschaft den Sie unter www.expopharm.de einer digitalen Gesund-
entwickelt und diskutiert. Wirken Sie aktiv mit! heitsversorgung für Leis-
tungserbringer,
26. / 27. 9. 2019, Phantasialand, Brühl Gesellschaft, Wirtschaft und Patienten. In Kooperation mit HIMSS
Entscheider der Gesundheitsbranche diskutieren über Be- HEALTH
reisgrenzen hinweg den Nutzen von innovativen Geschäfts- THE DIGITAL LEADERS.
Die Jahrestagung für Führungskräfte und
Entscheider der Gesundheitswirtschaft.
und Versorgungsmodellen. Digitale Vordenker aus dem In-
5. und 6. November 2019 in Berlin
und Ausland zeigen innovative Ansätze auf und stellen die
bestimmenden Trends der nächsten Jahre vor. ISD.ECO.DE
10 11
// AKADEMIE
Bauen Sie Ihr Kompetenzprofil aus! DSB-Kaminabend
KAMINABEND
Als Ansprechpartner für Datenschutz und Informationssicherheit müssen Sie kontinuierlich auf dem neusten Die Kaminabende richten sich an Personen, die bereits an Semi-
Stand sein. Egal, ob es um Ihre Fachkompetenz innerhalb gesetzlicher Komponenten oder branchen- und naren der DATATREE-Akademie teilgenommen haben, sowie die-
fächerübergreifendes Know-how geht. Auch weiche Faktoren, wie Präsentationstechniken, können Sie mit uns jenigen, die sich den regelmäßigen Austausch zu Branchenthemen
wünschen. Treffen Sie Fachkollegen und diskutieren Sie mit Exper-
verbessern. Wir statten Sie mit dem nötigen Werkzeug aus und bauen Ihr Kompetenzprofil weiter aus. Unsere ten in lockerer Atmosphäre.
Referenten und Dozenten sind Datenschutzbeauftragte, IT-Sicherheitsexperten und Fachanwälte für IT-Recht.
Termin: 24. September 2019
Datenschutz für
Datenschützer – Datenschutz in der Medizin –
datenschutzkonforme Update BDSG 2019
FACHTAGUNG
Websitegestalung Das Jahr 2018 war datenschutzrechtlich geprägt durch
Seminar das Bemühen vieler Fachgremien und politisch ver-
antwortlicher Stellen, die notwendige rechtliche Klar-
Impressum, Datenschutzerklärung, Coo- heit zu schaffen für die Anwendung der DSGVO ab dem
kies, Einbindung von Social Media, Infor- 25.05.2018. Dieser Prozess wird sich 2019 fortsetzen.
mationspflichten und Auftragsverarbeitung
… Sowohl auf der gesetzlichen, als auch der Termin: September 2019
organisatorischen und technischen Ebene
gibt es eine Vielzahl von Aspekten, die Da-
tenschutzbeauftragte berücksichtigen müs-
sen, wenn sie eine datenschutzkonforme
Website erstellen. Gemeinsam mit unseren Datenschutz für
Referenten geben wir Ihnen Umsetzungs-
tipps für Ihr eigenes Websiteprojekt und
zeigen die technische Umsetzung an einem
Datenschützer –
Best-Practice-Beispiel.
Termin: 28. August 2019
Ehemaligentreffen
Seminar
Bei der Tätigkeit des Datenschutzbeauf-
Datenschutz für Betriebsräte tragten gilt es, vielseitige Kompetenzen
vorzuweisen und sich stetig weiterzubil-
Workshop den. Auch der Austausch mit Fachkollegen
ist von enormer Bedeutung. Wir laden die
Datenschutz für Betriebsräte bringt einige gesetzliche Absolventen unserer Kurse zum Daten-
und organisatorische Besonderheiten mit. Gemeinsam schutzbeauftragten zum regelmäßigen
mit unseren Datenschutzexperten erarbeiten Sie speziel- Austausch ein. Der Call for Papers läuft
le Themen für Ihren beruflichen Alltag. noch bis zum 05.09.2019.
Kompaktseminar zum Im Rahmen des Kompaktkurses zur/zum Datenschutz-
beauftragten erlangen die Teilnehmer in rund 30 Unter- Termin: November 2019 Termin: Oktober 2019
Datenschutzbeauftragten
richtsstunden das notwendige Expertenwissen, um als
gesetzlich geforderte Datenschutzbeauftragte unterneh-
mensintern wie -extern agieren zu können. Ihr Kontakt zur DATATREE-Akademie:
LEHRGANG
Termine: 4 x freitags ganztags: Nina Richard Julia Kleineberg
07.09., 14.09., 21.09. und 28.09.2019 Bereichsvorstand Marketing & Kommunikation Assistenz Marketing & Kommunikation
Prüfung: Die Teilnehmer erhalten nach erfolgreich ab- T 0231 54380333 T 0231 543803330
solvierter schriftlicher Prüfung ein Teilnahmezertifikat. nina.richard@datatree.eu julia.kleineberg@datatree.eu
www.datatree.eu
12 13
// SCHWERPUNKT: DATENSCHUTZKULTUR
Datenschutzkultur
Kultur allgemein
Text: Nina Richard
Mit Kultur meint man im allerweitesten Sinn alles, was der nehmenskultur ein veritables Unternehmensimage. Genauso
Mensch schafft und gestaltet. Demgegenüber steht das Chaos verhält es sich übrigens anders herum: Verzichtet ein Unter-
der Natur, das Natürliche. nehmen auf allzu viele Normen und moralische Eckpfeiler,
wirkt sich das in der Regel nachhaltig negativ auf das Image aus.
Im Laufe der Jahrtausende menschlichen Wirkens hat sich der
Kulturbegriff gewandelt. Von den ersten noch heute bekann- Der Datenschutz bildet dabei keine Ausnahme. In immer mehr
ten Höhlenmalereien von EL Castillo in Spanien, der oder die Fällen wird der Datenschutz elementarer Bestandteil der jewei-
Künstler haben vor 40.800 Jahren ihren Beitrag zur menschli- ligen Unternehmenskultur. Doch was heißt das konkret? Genau
chen Kultur geleistet, bis in die Gegenwart hat der Mensch stetig wie bei allen Standards und Regeln, nach denen ein Unterneh-
am Begriff selbst gefeilt, ihn verfeinert, verworfen und neu ge- men handeln will, muss der Datenschutz von allen Mitarbeitern
dacht. wirklich in die Tat umgesetzt werden. Slogans und Aufrufe al-
lein sind nichts weiter als Schall und Rauch.
Auch in der Wirtschaft gibt es selbstverständlich einen Kultur-
begriff und einen stetigen Kulturwandel, selbst wenn sich die Selbstverständlich lässt sich eine gelebte Datenschutzkultur
Abläufe in der Regel nicht über viele Jahrtausende erstrecken. nicht von jetzt auf gleich in einem Unternehmen erfolgreich
Eine Unternehmenskultur wird gerne als ein Rahmen, eine implementieren. Wandel ist ein zentraler Aspekt, wir befinden
Sammlung von gemeinsamen Werten, Normen und Einstellun- uns im ständigen Wandel, und das Thema Datenschutz unter-
gen aller am Unternehmen Beteiligter verstanden. Eine Unter- liegt seit einiger Zeit einem enormen Wandlungsprozess.
nehmenskultur definiert so den Handlungsspielraum und dient
nicht zuletzt als Orientierung für Mitarbeiter und Kunden. Einerseits wird der Schutz unserer Daten durch die explosions-
artige Vermehrung eben dieser Daten für jeden einzelnen immer
Eine Unternehmenskultur funktioniert nur, wenn sie von allen relevanter, andererseits wird für immer mehr Unternehmen der
Beteiligten über alle Strukturgrenzen hinweg auch glaubhaft Schutz ihrer Daten (und der ihrer Kunden) ein elementarer As-
umgesetzt wird. Im Idealfall entsteht so aus der gelebten Unter- pekt ihres wirtschaftlichen Erfolges.
14 15
// SCHWERPUNKT: DATENSCHUTZKULTUR
Datenschutzkultur Kulturveränderung benötigt Zeit Schnelle Strukturveränderung
Die Bedeutung des Datenschutzes hat aufgrund der gesetzli-
chen Veränderungen durch die DSGVO zugenommen. Die Ursa-
chen für den Bedeutungswandel sind vor allem die ausgereiften Das Vorhaben, eine Kulturveränderung herbeizuführen, gilt Auf dem Papier können Strukturveränderungen schnell herbei-
Bußgeldkataloge. Allerdings geht der Bedeutungswandel häu- als langfristige Investition, die in solchen sozialen Systemen, geführt werden. So wird mit einer Datenschutzleitlinie das The-
entwickelt sich
fig nicht mit einem Wertewandel einher. Zwar ist Mitarbeitern wie sie Unternehmen sind, trotz Controllingsystemen nie voll- ma Datenschutz als Kultur- und Prozessthema verschriftlicht
bewusst, dass das Thema wichtig ist – wie sie jetzt aber mit ständig kontrollierbar sein wird. In jedem System gibt es Lü- und kommuniziert. Dazu gibt es noch ein neues Organigramm,
konkreten Themen umgehen sollen, bleibt oft eine große Fra- cken. Mitarbeiter finden und nutzen sie, schaffen sich so Frei- das die Organisationsstruktur und Position des Datenschutz-
ge. Auch wenn die Geschäftsführung rechtlich abgesichert sein räume. Freiräume die oft sogar benötigt werden. Beispielsweise beauftragten deutlich macht und fertig. In der Praxis funktio-
zeitverzögert
möchte, reicht dies bei Weitem nicht aus, um Fehler und damit kann die Übermittlung von Daten per Whatsapp zwar untersagt niert dieses Vorgehen allerdings nicht – an dieser Stelle muss
auch Bußgelder tatsächlich zu vermeiden (siehe Interview Pro- werden, wenn aber keine praktischen Alternativen aufgezeigt fest davon ausgegangen werden, dass die alten Strukturen nach
filing). Solange kein kulturelles Verständnis innerhalb der Orga- werden, wird das Verbot konterkariert und ist somit schwer wie vor weiterlaufen und nicht an die neue Struktur angepasst
nisation existiert, wird sich auch nichts ändern. durchsetzbar. Verantwortliche sollten sich demnach von einem werden. //
kontrollierenden Ansatz verabschieden.
Die Schaffung einer Datenschutzkultur für Ihr Unter- Kultur – existent und greifbar
nehmen ist ein hochkomplexes Thema, das als mittel- Viele Verantwortliche möchten schnell Ergebnisse erzielen.
bis langfristige Investition gesehen werden muss. Eini- Der Kulturbegriff bezeichnet in der Sozialforschung bzw. inner- Aufgrund des verzögerten Ursache-Wirkungs-Prinzips wird Wie stark ist Ihre
ge Faktoren können gesteuert werden, die wenigsten halb einer Menschengruppe das Vorhandensein zum Beispiel dies nicht funktionieren. Während der Umsetzung von Einzel-
allerdings kontrolliert. Mit unserer Checkliste befinden bestimmter Werte-, Einstellungen oder Moralvorstellungen, um maßnahmen (Ursache) innerhalb des Datenschutz-Manage- Datenschutzkultur?
Sie sich auf dem richtigen Kulturpfad. sich von anderen Gruppen, in diesem Fall Unternehmen abzu- ment-Systems wird die Umsetzung (Wirkung) innerhalb des
heben. Vergleichbar ist die Unternehmenskultur mit der DNA Unternehmens zeitverzögert stattfinden. Auch die genaue Stelle 1. Die Maßnahmen zum Datenschutz werden gar nicht
von uns Menschen. Resultierend aus mitgelieferten Bausteinen, und die Intensität der Umsetzung ist zum Wirkungszeitpunkt oder nur sehr widerwillig umgesetzt?
Text: Nina Richard
ist deren Komplexität und Variabilität kaum zu greifen – und noch nicht klar. 2. Trotz kommunizierter Anpassungen in der Organisa-
ebenso schwer veränderbar. tion funktioniert die Einbindung des Datenschutzbe-
auftragten nicht?
3. Trotz Maßnahmen zur Förderung des Themas Daten-
schutz funktioniert die Teamarbeit nicht?
4. Trotz Meetings zur Abstimmung von Datenschutzthe-
men müssen Themen zum Datenschutz ständig nach-
verhandelt werden?
5. Haben die Mitarbeiter Angst, Entscheidungen zu tref-
fen, die das Thema Datenschutz betreffen, sodass sie
sich ständig rückversichern, auf Arbeitsanweisungen
beharren oder Themen aussitzen?
Antworten:
0–1 Frage mit ja beantwortet: Sehr gut. Das Thema Daten-
schutz ist kulturell auf einem guten Weg. Versuchen Sie
bei den Aspekten, die mit ja beantwortet wurden, die Ursa-
che herauszufinden und leiten Sie frühzeitig Gegenmaß-
nahmen ein.
2–3 Fragen mit ja beantwortet: Alarmstufe rot. Sie sollten
das Thema dringend angehen.
4–5 Fragen mit ja beantwortet: Sie stehen kurz vor einem
Datenschutz-Organisationsversagen. Folgende Fragen
sollten Sie sich und der Unternehmensführung dringend
stellen: Variante 1: Sollten wir unsere Datenschutzziele
und -strategie an unsere Unternehmenskultur anpassen
oder Variante 2: Sollten wir die bestehende Datenschutz-
kultur so weiterentwickeln, dass sie unsere Unterneh-
mensziele und Strategie unterstützt?
16 17
// SCHWERPUNKT: DATENSCHUTZKULTUR – DSMS
Die Anforderungen an ein Datenschutz-Management-System genutzt werden muss, um den Datenschutz zu erfassen. Viel-
zeigen sich an den verschiedensten Stellen der DSGVO (siehe mehr handelt es sich um einen ganzheitlichen Managementan-
Das Datenschutz-
Infokasten). Zum größten Teil offen bleibt die Frage, wie genau satz, der sich über alle Geschäftsbereiche eines Unternehmens
ein Datenschutz-Management-System aussehen soll? Darüber erstreckt und damit den Wandel zu einer Datenschutzorganisa-
wurde im vergangenen Jahr viel diskutiert und zahlreiche Ideen tion vollzieht. Dies führte dazu, dass relativ eindeutig war, wie
entwickelt. Dabei wurde schnell deutlich, dass an den verschie- ein Datenschutz-Management-System in seinen Grundsätzen
Management-System –
densten Stellen der DSGVO Bezug auf die Anforderungen, die aussehen kann bzw. welche Mindeststandards erfüllt werden
das DSMS stellt, genommen wird und beispielsweise ein Ver- müssen. Dennoch bringt das Ganze einige Herausforderungen
fahrensverzeichnis für Verarbeitungstätigkeiten und eine Risi- mit sich, denn die Erfüllung von Mindeststandards macht noch
kofolgenabschätzung erstellt werden müssen. Es wurde außer- keine Datenschutzorganisation.
dem deutlich, dass es sich nicht um eine Software handelt, die
mehr als eine Software
Eine erhebliche Herausforderung, die die Datenschutzgrundverord-
nung mit sich bringt, ist die Verpflichtung zur Einführung eines Daten-
schutz-Management-Systems. Während ein Teil der Akteure am Markt Beispieldokumente im DSMS und ihre Vorteile und Heraus-
forderungen:
über ein Softwareprodukt spricht, meint der andere Teil, dass es sich
um ein Managementthema handelt – was aber, wenn man noch einen
Schritt weiter geht und es zu einem Kulturthema erklärt? Datenschutzkonzept mit
Verantwortlichen und Meldewesen
Text: Nina Richard Das Datenschutzkonzept ist die schriftliche Fixierung innerhalb
einer Organisation, die darlegt, wie das Thema intern umgesetzt
werden soll. Zentraler Bestandteil ist die Nennung von Verant-
wortlichen und das Anlegen eines Notfallplans.
Ihr Vorteil: Die schriftliche Benennung der Inhalte Ihres Daten-
schutzkonzeptes hilft bei der Weiterentwicklung von Maßnah-
men und Lösungsansätzen. Außerdem: Für den Fall einer Da-
tenschutzprüfung haben Sie einen Plan.
Ihre Herausforderung: Ein Datenschutzkonzept liefert die
Grundlage für die komplette Datenschutzarbeit. Was nicht ver-
gessen werden darf, ist die Umsetzung.
Verzeichnis der
Verarbeitungstätigkeiten (VVT)
Das VVT ist gemäß Artikel 30 der DSGVO gesetzlich vorgeschrie-
ben und verpflichtet jeden Verantwortlichen zum Führen eines
Verzeichnisses der Verarbeitungstätigkeiten.
Ihr Vorteil: Die Dokumentation von Verfahren und deren regel-
mäßige Anpassung bedeuten zunächst mehr Aufwand, aller-
dings einen Aufwand der sich lohnt. Durch die Digitalisierung
von Geschäftsprozessen haben zahlreiche Unternehmen bereits
einen Großteil ihres Prozessmanagements erledigt. Ein weiterer
Vorteil: Es ergeben sich viele Synergien mit Ihrem Qualitätsma-
nagement.
Ihre Herausforderung: Nutzen Sie das VVT zur Prozessoptimie-
rung, denn relativ schnell wird sich zeigen, wo Prozesse in einer
nicht notwendigen Quantität vorliegen und mehrfach durchge-
führt werden.
18 19// SCHWERPUNKT: DATENSCHUTZKULTUR - DSMS
Übersicht über bestehende
Datenschutzdokumente/Verträge mit
Datenschutzfolgenabschätzung
von Maßnahmen
Die Wahrheit: Das allein reicht nicht aus!
externen Dienstleistern Ein großer Irrglaube ist die Tatsache, dass Datenschutz ein The- • Umgang mit Datenpannen
Zur Erstellung der Datenschutzfolgenabschätzung besteht dann ma ist, das an einer bestimmten Person innerhalb eines Unter- »» Meldefristen
Wer ein Datenschutz-Management-System aufbauen möch- eine gesetzliche Verpflichtung, wenn ein hohes Risiko für die nehmens hängt – dem Datenschutzbeauftragten. Egal ob diese »» Veröffentlichungen
te, muss sich erst einmal einen Überblick verschaffen. Wer Rechte und Freiheit von Betroffenen besteht. Für diese Risiken Position intern oder extern besetzt ist: Der Erfolg des Daten- • Betroffenenrechte
kümmert sich bereits um das Thema Datenschutz? Existieren gilt es, eine Abschätzung über etwaige Folgen durchzuführen schutzes hängt nicht von einer einzelnen Person ab. Vielmehr »» Auskünfte
Schulungsmaterialien, Vorlagen oder Arbeitsanweisungen? und diese zu bewerten. Abhängig von der Höhe des Risikos gilt ist er eine Aufgabe, die von allen Beteiligten zusammen ange- »» Informationspflichten
Existieren Übersichten mit externen Dienstleistern? Sind Daten es, entsprechende Schutzmaßnahmen und Verhaltensregeln nommen und gelöst werden muss. »» Einwilligungserklärungen
kategorisiert, und wo fließen die Datenströme? festzulegen. Und hier entsteht eine weitere Mammutaufgabe. Eine Aufgabe, • Dokumentation/Nachweis Sicherheit
die Projektmanagement, Unternehmenskultur, Überzeugungs- • Kultur
Ihr Vorteil: Aktuelle Übersichten über Lieferanten und Prozesse Einwilligungserklärungen kraft, Kommunikation und Begeisterungsfähigkeit fordert und »» Offene Fehlerkultur
sind wichtige Grundlagenarbeit. Hier entstehen Synergien, und letztendlich eine Bewusstseinsänderung herbeiführt – aber wie? »» Datenschutz ein Managementthema
Ressourcen werden gespart. Eine Einwilligung ist die Voraussetzung für einen Großteil von Vier Tipps zur besseren Datenschutzorganisation: • Kommunikation/Information
Verarbeitungsvorgängen. Zwingend zu prüfen ist deshalb, in- »» Awarenessmaßnahmen
Ihre Herausforderung: Behalten Sie den Überblick. Dies funktio- wieweit alle notwendigen Einwilligungserklärungen vorliegen Tipp 1: Iststand-Aufnahme first »» Schulungen
niert nur mit regelmäßiger Aktualisierung und dem Bewusstsein und diese den gesetzlichen Ansprüchen genügen. Stichworte
für die Notwendigkeit einer kontinuierlichen Pflege solcher In- sind hier beispielsweise die Rechtskonformität und Verständ- Getreu dem Motto „Besser irgendetwas im Datenschutz machen,
formationsbestände. lichkeit für Laien. als gar nichts tun“, starten einige Unternehmen mit purem Ak- Tipp 3: Tue Gutes und rede darüber
tionismus in die Datenschutzthematik. Problematisch wird das
Informationspflichten Thema sehr schnell bei größeren Unternehmen, denn hier kann Datenschutz ist zu wichtig, als dass er totgeschwiegen werden
es passieren, dass Mitarbeiter bereits eigene Ideen entwickelt könnte. Das sollte man zumindest meinen. Doch die Realität
Auch die Informationspflicht ist zwingend einzuhalten. So gilt und Themen vorangetrieben haben. Vielleicht existieren auch zeigt ein anderes Bild: Wir schweigen. In den allermeisten Un-
es, Betroffene über Art und Umfang der Datenverarbeitung auf- Parallelstrukturen mit Verbesserungspotenzial. Dies müssen ternehmenskontexten wird Datenschutz als Problem und Hürde
zuklären. Sie als Verantwortlicher für den Datenschutz erfassen. Erst wahrgenommen. Er wird als ungeliebtes Kind nur allzu schnell
wenn Sie im Rahmen einer Iststand Ermittlung alle bereits vor- ins hintere Drittel sämtlicher To-do- Listen verbannt. Doch wo-
(Die aufgeführte Übersicht hat keinen Anspruch auf Vollständig- handenen Entwicklungen erfasst haben, können Sie Lücken und ran liegt das? Datenschutz bedeutet erst einmal mehr Aufwand
keit, sondern ist vielmehr zur Orientierung gedacht) Potenziale auffinden und davon abhängig Prioritäten setzen und für alle Beteiligten. Doch warum die Thematik nicht einfach mal
gezielte Maßnahmen entwickeln. umdrehen und das Positive herausarbeiten? Zeigen Sie auf, was
Sie alles bereits geschafft haben. Und das Wichtigste: Seien Sie
Tipp 2: Pimp your DSMS leidenschaftlich, charismatisch und sichtbar. Verleihen Sie dem
Datenschutz ein Gesicht.
Über die oben aufgeführten Mindeststandards hinaus sollten
Sie Ihr DSMS ausbauen. Dies geht nicht mit Mindestanforderun- Tipp 4: Budget
gen, die erfüllt werden, um möglichst sicher vor Geldbußen zu
sein – und wissen Sie auch warum? Jeder einzelne Mitarbeiter Datenschützer stehen oft vor der großen Hürde, dass ihr Bud-
Begriffserläuterung Ihres Unternehmens muss ein Bewusstsein für den Datenschutz
entwickeln, denn ohne Bewusstseinsänderung gibt es kein gu-
get bei Weitem nicht ausreicht. Geld ist und bleibt knapp, aber
Datenschutz hat große Schnittmengen mit vielen Unterneh-
tes Datenschutzniveau. Packen Sie das Thema Datenschutz auf mensbereichen. IT, HR und Marketing sind natürliche Partner
Datenschutz-Management-System die allgemeine Agenda. Entwickeln Sie Werkzeuge, die alle Mit- des Datenschutzes. Seien Sie kreativ, und schauen Sie unbedingt
arbeiter Ihres Unternehmens in die Datenschutzprozesse ein- über den eigenen Tellerrand.
binden.
Entgegen einem verbreiteten Irrglauben handelt es sich bei ei- Auch wenn es der Name vermuten lässt, ein Datenschutz-Ma-
nem Datenschutz-Management-System nicht etwa um ein Soft- Ergänzen Sie deshalb Ihr DSMS um folgende Punkte: nagement-System ist in seiner Grundidee eines ganz sicher
wareprodukt. Die Experten meinen hiermit die Planung, Steue- • Festlegung von Verantwortlichkeiten nicht: eine Software!
rung und Überprüfung von Maßnahmen zum Datenschutz. Die • Verzeichnis von Verarbeitungstätigkeiten
DSGVO formuliert folgende Anforderungen an ein DSMS: • Iststand-Aufnahme/Assessment Hinter dem trockenen Begriff steht vielmehr eine eindeutige
• Art. 30 – Führung eines Verfahrensverzeichnisses »» Übersicht über bestehende Datenschutzdoku- Haltung, eine Einstellung und ein klares Bekenntnis zur eigenen
• Art. 32 – Technische und organisatorische Maßnahmen mente/- berichte/-konzepte Verantwortlichkeit innerhalb, aber auch außerhalb des Unter-
• Art. 35 – Datenschutzfolgenabschätzung »» Verträge nehmens. Bis zu einem endgültigen Imagewandel des Daten-
• Art. 5 – Grundsätze für die Verarbeitung von Daten »» Kommunikationswege schutzes ist es noch ein langer Weg, doch die ersten Schritte
• Art. 83 II d – Bußgelder • Risikoabschätzung von Maßnahmen sind bereits zurückgelegt – mit Erfolg. //
20 21// SCHWERPUNKT: DATENSCHUTZKULTUR – TRIATHLON
Im beruflichen Alltag ist es mittlerweile gang und gäbe, dass und mein Puls, alles wird gemessen und ist Teil meiner KPIs. Und mit diesem Gefühl starte ich auch in den nächsten beruf-
Leistung anhand von Kennzahlen gemessen wird. Bei Abwei- Der Trainingsplan ist abgespeichert. Bei jeder noch so kleinen lichen Tag und merke, dass ich etwas aus meiner letzten Trai-
chungen greifen Verantwortliche ein und leiten gegebenenfalls Abweichung erhalte ich umgehend ein Feedback von meinem ningseinheit mitgenommen habe.
Gegenmaßnahmen ein. Auch die Anforderungen an den Daten- virtuellen Trainer. Was nicht aufgezeichnet wird, gilt nicht als
Was der schutz sind gestiegen. Um den aktuellen Stand eines Daten- trainiert, sagen wir in unserer Trainingsgruppe oft spaßeshal- Was wir hieraus für die Datenschutzpraxis mitnehmen können?
schutz-Managementsystems zu erörtern, kontinuierlich hand- ber. Weniger spaßig finde ich es allerdings, wenn ich tatsäch- Genau wie ein ausgearbeiteter Trainingsplan sinnvoll ist, um
lungsfähig zu sein und Geschäftsführern und Fachabteilungen lich meinen Fitnesstracker vergessen habe Ziele zu erreichen, gilt es auch im berufli-
Rede und Antwort stehen zu können, bedarf es Kennzahlen. Nur – so wie am vergangenen Freitag. Ich durch- chen Kontext, Kennzahlen als Basis inner-
Datenschutz
so gelingt überhaupt eine objektive Einschätzung des täglichen wühlte panisch meine komplette Sportta- Und das erste Mal seit halb des Datenschutz-Management-Systems
sche, in der Hoffnung doch noch fündig zu Monaten bin ich wieder frei zu controllen, um zum einen einer einwand-
Immer 100% geben werden. „Mist, was mache ich jetzt? Was freien Dokumentation nachzukommen,
sind meine Alternativen? Training ausfal- aber auch um Fortschritte, Abweichungen
vom Triathlon
Handelns. Ein Verhalten, das einen gewissen Druck auf uns aus- len lassen? Eine Stunde meiner Zeit im Berufsverkehr vergeu- und damit auch notwendige Maßnahmen frühzeitig einleiten
übt. Immer 100 % geben, immer den Zahlen entsprechen, Ziele den, um die Uhr zu holen? Ohne Uhr und Plan trainieren?“ Puh, zu können. Was wir hiervon aber mitnehmen können, und ich
erfüllen – die klassische Leistungsgesellschaft. Für Ausgleich irgendwie alles nicht das Gelbe vom Ei. nach diesem Erlebnis auch für mich mitgenommen habe: Kenn-
sorgt bei vielen von uns ein Hobby – am liebsten auch wieder zahlen geben uns eine wichtige Orientierung in Bezug auf unse-
lernen kann
mit einem Leistungsaspekt. Na gut, das Training ausfallen lassen, ist keine Option. In der re Datenschutz-Ziele; sie dienen als Frühindikatoren für Risi-
prallen Hitze auf der Autobahn im Feierabendverkehr zu stehen ken, unterstützen Ist-Stand Prüfungen oder dokumentieren den
Ich persönlich brauche nach einem Büroarbeitstag vor allem auch nicht. Also schnüre ich mir die Schuhe und laufe einfach Fortschritt. Der Spirit einer Organisation lässt sich allerdings
Bewegung. Sitzen ist das neue Rauchen. Der Sport, insbesonde- los. Laufe nicht nach Zeit und vorgegebenem Tempo, sondern nicht in Zahlen messen. Für eine gesunde Datenschutzkultur
re Triathlon, gibt mir so regelmäßig meinen persönlichen Aus- höre einfach auf meinen Körper und das was ihm guttut. muss das Thema auf den jeweiligen Führungsebenen platziert
Mit Mustern brechen, gleich. Aber auch hier überlasse ich, ebenso wenig wie im beruf- und ein wirksames Bewusstsein entwickelt werden. Von hier
um wieder zu neuer Stärke zu gelangen. lichen Alltag, etwas dem Zufall. Und das erste Mal seit Monaten bin ich wieder frei beim Sport, aus müssen Führungskräfte kooperativ kommunizieren und
lasse meine Gedanken schweifen, genieße die Natur und ge- ihren Mitarbeitern die Notwendigkeit einer funktionierenden
Text: Nina Richard Jeden Sonntagabend geht es los. Der Überblick über meine Ein- nieße einen unglaublich kreativen Schub, den ich schon lange Datenschutzkultur näherbringen, sie begeistern und gemein-
heiten für die kommende Woche. Rund zwölf Stunden Training nicht mehr erlebt habe. sam den Datenschutz leb- und erlebbar machen.
stehen auf meinem Plan. Schwimmen, Radfahren, Laufen, Kraft-
training. Das will getaktet sein. Der Trainingsplan gibt mir die Entgegen meiner Befürchtung, dass mir dieses Training all Mein persönliches Fazit: Es lohnt sich, hin und wieder mal auf
Zahlen vor. 200 m Einschwimmen, 6 x 400 m Steigerungsbah- meine vorab perfekt gesetzten Trainingsreize zunichte macht, die Faktenbasis zu schauen und sich des Spirits innerhalb einer
nen in Wettkampftempo am Morgen. Abends gibt es dann einen waren unbegründet. Diese Einheit tat mir nicht nur körperlich Abteilung, eines Fachbereichs oder Themas anzunehmen und
lockeren Dauerlauf über 60 Minuten in einer 6er-Pace. Begleitet unglaublich gut. Ich verspüre neue Motivation in einem lange die richtigen Fragen zu stellen. Dieser Spirit kann Berge verset-
werde ich von meiner Fitnessuhr. Schritte, Kilometer, Höhen- nicht mehr gefühlten Ausmaß. zen, neue Motivation und Begeisterung für Datenschutz schaf-
meter, Geschwindigkeit, Schrittfrequenz, verbrauchte Kalorien fen und das Thema emotional aufladen. //
22 2323// DER DATENSCHUTZBEAUFTRAGTE
e r d e r Ku l t u r
Sie als Datenschutzbeauftragter beraten vor allen Dingen die Mitarbeiter. Letztendlich hängt es von
reit
Ihnen ab, ob eine Umsetzung der komplexen Datenschutzvorschriften gelingt. Den Aufwand, der
r
hiermit verbunden ist, sollte der Datenschutzbeauftragte nicht unterschätzen. Manchmal können
o
aber auch bereits kleine Taten eine große Wirkung haben. So beispielsweise Ihre eigene Vorbild-
ei V
funktion. Sorgen Sie dafür, dass Mitarbeiter zu Ihnen aufschauen und sich Kleinigkeiten im Alltag
von Ihnen abschauen.
n S hme n einen D
a te n s c h u t z b e a u f t r a
g te n e
Wir geben Ihnen 5 Praxistipps, damit Sie schnell als Vorbild wahrgenommen werden.
e
te r n e insetz
i n Un t, be
i k om Tipp 1_Auch privat ein Datenschützer
Se
e me mt
t, in d das
of So banal es klingen mag: Beruflich als Datenschützer tätig zu sein und privat sehr aktiv auf Facebook
n t
o me und Whatsapp unterwegs zu sein, kann schnell an Ihrer Glaubwürdigkeit kratzen. Wie sollen Ihre
ab
M Kollegen Ihre Tipps ernsthaft umsetzen wollen, wenn sie sehen, dass sich der Datenschutzbeauf-
s t r a k te Th
m
tragte selbst nicht daran hält? Versuchen Sie deshalb praxisnahe Lösungen zu schaffen, die Sie selbst
de
umsetzen würden.
Ab
em
m
ai Tipp 2_Vertrauen ist alles
wa
s te
hr Als Datenschutzbeauftragter vertraut man Ihnen. Kollegen fragen nicht nur nach einer Expertenmei-
n nung, sie wollen auch sicher sein, dass ihre Angelegenheiten sensibel behandelt werden. Vertrauen
ist alles. Wenn der Ruf des Datenschutzbeauftragten Schaden nimmt, dann steigt die Hemmschwelle,
S
in
sich zu Vorfällen zu äußern oder auf Probleme hinzuweisen.
n
e des Wor tes e
Tipp 3_Experte mit einem ausgeprägten Servicegedanken
Im Vergleich zu seinen Kollegen verfügt der Datenschutzbeauftragter über einen enormen Wissens-
vorsprung in Bezug auf datenschutzrelevante Themen. Dieses Wissen muss den Mitarbeitern des
Ge
in
Betriebs vermittelt werden – und zwar auf Augenhöhe. Niemand erhält gerne nur Ratschläge, seien
sic
ht. M sie auch noch so gut gemeint. Wichtig ist, dass die Kollegen merken, dass Sie Angebote und Lösungen
it d
e anbieten. Praxisnähe ist enorm wichtig; einfache Floskeln aus der letzten Powerpoint-Präsentation
sind dagegen unnötig.
rR
olle
Tipp 4_Leben Sie eine offene Feedbackkultur
geht eine Menge Vera Als Datenschutzbeauftragter haben Sie nicht die Rolle des Feelgood-Managers. Widerstände gehören
zum Berufsalltag. Nicht zuletzt dank des Medienechaos haftet dem Datenschutz immer der Makel des
Bürokratie-Monsters an. Die Skepsis der Kollegen lässt sich nicht verhindern, aber in den meisten
Fällen durch eine offene Feedbackkultur und permanenten Dialog umkehren. Datenschutzbeauftrag-
te müssen die Fähigkeit besitzen, auf Konflikte einzugehen und diese mit pragmatischen Lösungen
zu entkräften. Ein ausgeprägtes Durchhaltevermögen gehört übrigens ebenfalls zum Erfolgsrezept
eines Datenschutzberaters.
wo r t u nt
Tipp 5_Datenschutz in der Unternehmenskultur verankern
ng einher
Wenn Datenschutz als signifikanter Teil einer Unternehmenskultur wahrgenommen werden soll,
dann wartet in der Regel eine Menge Arbeit auf den Datenschutzbeauftragten. Wer die auf den ersten
Blick scheinbar undankbare und in jedem Fall herausfordernde Aufgabe annimmt, benötigt neben
einem langen Atem folgende Eigenschaften: Das eigene Verhalten ist immer datenschutzkonform, die
Ko.
Kollegen gewinnen Vertrauen. Mit starken kommunikativen Fähigkeiten gelingt es dem Datenschutz-
mm
beauftragten, sowohl die Geschäftsleitung als auch die Mitarbeiter von der Notwendigkeit eines kon-
en
tar
Th sequent gelebten Datenschutzes zu überzeugen.
:
o
m
as S
Wenn das alles gelingt, dann haben Datenschutzbeauftragte einen sehr wichtigen Beitrag für ein da-
öh n c h e
tenschutzkonformes Unternehmen geleistet. //
n
24 25// HOW TO
in Kenntnis gesetzt wird. Eine schlichte Mail ist erfahrungs- besteht die Chance, dass es zu einem Bewusstseinswandel
Die Datenschutz- Leitlinie
gemäß nicht ausreichend. Ratsam ist zusätzlich eine kurze kommt als eine Voraussetzung für ein funktionierendes
Infoveranstaltung mit der Geschäftsführung oder eine Prä- Datenschutz-Management-System. Das geschieht sicher-
sentation bei der nächsten Schulung zum Datenschutz. Hier lich nicht an einem Tag, ist aber für den weiteren Erfolg ei-
können die Gründe für die Leitlinie und natürlich den Daten- nes Unternehmens nicht unerheblich. Heute kommt auch
Ein erster Schritt zu einem nachhaltigen Datenschutz schutz erörtert werden, Fragen beantwortet und Befürchtun- niemand mehr auf die Idee, einen Sicherheitsgurt infrage
gen entkräftet werden. Nutzen Sie bei neuen Mitarbeitern zu stellen, was übrigens zum Zeitpunkt der Einführung
den Onboarding-Prozess, um direkt am ersten Arbeitstag auf massenhaft geschah. Erst durch das beherzte Handeln
Text: Alexander Vogel die Leitlinie und natürlich den Stellenwert des Datenschutzes aller Teilnehmenden wird aus der Leitlinie ein wichtiger
im Unternehmen aufmerksam zu machen. So wächst nicht Bestandteil für einen gelebten Datenschutz – unterneh-
nur das Verständnis für einen aktiven Datenschutz, vielmehr mensweit. //
Der erste Schritt zu einem funktionierenden DSMS ist die
Datenschutzleitlinie. Dabei handelt es sich um mehr als Von der Idee zum Unternehmenserfolg – so gelingt die Datenschutzleitlinie:
eine Absichtserklärung: Mit der Leitlinie bekennt sich ein
Unternehmen zu einem aktiv gelebten Datenschutz. ZIELSETZUNG
Jede Leitlinie sollte einer Zielsetzung folgen. Ein einheitliches Verständnis aller Beteiligten vom Datenschutz gehört hier zur
Neben dem Stellenwert als Fundament eines DSMS kom- Basis.
men weitere wichtige Eigenschaften hinzu.
LEITSÄTZE
Die Datenschutzleitlinie: Eine Handvoll festgelegter Leitsätze übersetzt das oft abstrakte Thema Datenschutz in die operative Ebene und macht ihn greif-
●● dient als Orientierungshilfe für die Mitarbeitenden im bar.
Umgang mit dem Thema Datenschutz,
●● definiert die individuellen Anforderungen an das je- PRINZIPIEN
weilige Unternehmen in Bezug auf Datenschutz, Nach welchen Prinzipien sollen Maßnahmen zum Datenschutz ein- und durchgeführt werden?
●● bildet in Hinblick auf den Umgang mit personenbezo-
genen Daten die gesetzlichen Anforderungen ab. BEGLEITENDE MASSNAHMEN
Eine verfasste und unterzeichnete Leitlinie bringt allerdings nur Erfolg, wenn Mitarbeiter zusätzlich für den Datenschutz sensi-
Eine Datenschutzleitlinie entwickelt sich allerdings nicht bilisiert werden, und dieses Bewusstsein auch mit regelmäßigen Awarenessmaßnahmen, wie Mailings oder Schulungen, auf-
von selbst. Vielmehr handelt es sich um einen Prozess, rechterhalten und verfeinert wird.
der von ständigem Austausch zwischen Geschäftsfüh-
rung, internem oder externem Datenschutzbeauftragtem ANSPRECHPARTNER
und weiteren Führungskräften abhängt. Zusammen ent- Bennen Sie die Verantwortlichen für diese Leitlinie sowie den Datenschutz.
wickeln alle Teilnehmer die Ziele und Leitsätze zum Da-
tenschutz. Eine Datenschutzleitlinie ist daher immer VERSTÖSSE
ein Einzelstück, sie ist auf die individuellen Bedürf- Auch sollte geregelt sein, was passiert, wenn sich Mitarbeiter nicht an die verabschiedete Leitlinie halten.
nisse des jeweiligen Unternehmens zugeschnitten.
DATENSCHUTZ IST „CHEFSACHE“
Die Kommunikation spielt für das Gelingen der Es ist von elementarer Bedeutung, dass die Geschäftsführung mit gutem Beispiel vorangeht und die Leitlinie unterzeichnet.
Datenschutzleitlinie eine zentrale Rolle. Eine sau-
ber definierte Leitlinie nützt leider nichts, wenn
diese unbeachtet in der nächsten Schublade
verschwindet. Es ist wichtig, dass die gesam-
te Belegschaft eines Unternehmens davon
26 27Sie können auch lesen
