Warum es keinen effizienten Datenschutz oder eine wirksame Informationssicherheit von der Stange gibt.
Zuhören ist die Grundlage für eine gute Beratung zu wirkungsvollen Management-Systemen.
Man könnte fragen, warum bei einer im Wesentlichen identischen gesetzlichen Vorgabe nicht auch immer gleiche Lösungen entstehen. Immerhin gilt die DSGVO doch EU-weit, das BDSGneu für ganz Deutschland. Und man könnte wohl auch ein Muster-Datenschutz-Management-System entwickeln, das die gesetzlichen Anforderungen sicher abdeckt.
Auch in der Informationssicherheit basiert vieles auf gesetzlichen Anforderungen (z.B: NIS 2, IT-Sicherheitsgesetz) oder internationalen Standards wie ISO 27.001 ff., TISAX und anderen.
Aber kann eine Einheitslösung sinnvoll sein? Meiner Erfahrung nach ginge eine solcher Standardansatz nur, wenn das entsprechende Management-System, also das DSMS bzw. ISMS, auf der grünen Wiese entstünde. In der Regel besteht aber schon eine Viel-, teils eine Unzahl von Management-Systemen im Unternehmen. Häufig war das Qualitäts-Management-System das erste, das formalisiert wurde. Evtl. gab es Organisationshandbücher, z.B. für Projekte oder Prozess, noch früher. Heute haben, getrieben vor allem durch die ISO, viele andere Fachbereiche auch ihr Management-System. In eine solche Umgebung sollte kein weiteres Stand-alone-System für den Datenschutz oder die Informationssicherheit eingepflanzt werden. Viel mehr gilt es, die notwendigen Tätigkeiten dort zu beschrieben, wo sie schon gut beschrieben sind. Je nach Unternehmen kann das sehr unterschiedlich gehandhabt werden. Wird die QM-Dokumentation wirklich als Beschreibung der gelebten Prozesse verwendet oder dient sie dazu, sicher zum Zertifikat zu kommen? Basiert aber das tagtägliche Arbeiten auf einer guten Dokumentation, kann mit wenigen Eingriffen dort ein wesentlicher Fortschritt auch für den
Datenschutz erreicht werden. Flankiert von guten Entscheidungen über die jeweiligen Rollen und ausreichendem Training. Beispielsweise kommt dem Einkauf in einer Welt der Cloud-Dienste und „Datenverarbeitung im Auftrag“ eine wesentliche Rolle im Datenschutz und der Informationssicherheit zu. Die notwendigen Schritte sollten demnach dort verankert werden, woher die Beschaffung auch tatsächlich ihre Prozessinformationen bezieht. So fängt ein Datenschutz-Management-System mit Zuhören an. Erst einmal muss verstanden sein, wie ein Unternehmen wirklich arbeitet. Dann lassen sich passgenaue und effiziente Prozesse gestalten, die auch wirklich angenommen und durchgeführt werden. Alles andere ist häufig vergebliche Liebesmüh‘ und versandet schneller, als es eingeführt wurde.
Beratung
Gerne berate ich zu den Themen Datenschutz und Informationssicherheit. Mein Schwerpunkt liegt auf der organisatorischen Ebene. Die Gestaltung von selbststeuernden Prozessen, das Einbinden in die tägliche Arbeit und das risikoorientierte Verbessern von Datenschutz und Informationssicherheit sind mein Fokus.
Für alle Datenschutz-Fragen kann ich ein kompetenter Ansprechpartner sein. Für die Rechtsberatungen oder einzelne technische Umsetzung gibt es Spezialisten, etwa Ihre eigenen ITler oder Rechtsbeistände. Auch kann ich IT-Sicherheitsexperten und spezialisierte Anwälte einbinden, mit denen ich eng zusammenarbeite. Der Vorteil für Sie besteht darin, dass alle Aspekte des Datenschutzes gleichermaßen berücksichtigt werden, die organisatorischen, und wirtschaftlichen ebenso wie die technischen und rechtlichen. So entstehen effiziente und wirksame Lösungen. Rein rechtliche oder technische Herangehensweisen können dies in der Regel nicht leisten.
Externer Datenschutzbeauftragter
Für Unternehmen, die einen Datenschutzbeauftragten benennen müssen, kann es sinnvoll sein, diese Rolle extern zu vergeben. In flexiblen, an Ihr Unternehmen angepassten Modellen, übernehme ich diese Aufgabe gerne. Zusammen mit Ihren Mitarbeitern aus den Fachbereichen suche ich nach Wegen, deren Prozessideen datenschutzgerecht umsetzen zu können.
Schulung
Zielgerichtete Schulungen sind ein weiterer Schwerpunkt. Datenschutz und Informationssicherheit sind People-Business. Heutige erfolgreiche Cyber-Attacken richten sich meist nicht gegen technische Systeme, sondern werden gegen und über Menschen geführt. Datenpannen entstehen nicht, sie werden bewusst oder unwissentlich von Personen erzeugt. Hier gilt es anzusetzen.
Kontakt aufnehmen
Sie haben Fragen oder wünschen eine Beratung bezüglich Datenschutz?
Dann nehmen Sie gerne Kontakt mit mir auf.