Datenschutz & digitale Zukunftsgestaltung: Was bedeutet das für den öffentlichen Sektor?

​veröffentlicht am 4. April 2018, von Armin Wilting

Die Entwicklung des unternehmerischen Erfolges, auch für Städte, Kommunen und öffentliche Stellen, hängt heutzutage im Wesentlichen davon ab, wie die digitale Transformation gemeistert wird. Die Bedürfnisse sowie das Konsumverhalten von Kunden, Partnern und Lieferanten haben sich gewandelt. Kommunikation und Prozesse sind nahezu vollständig digitalisiert. Um den Kurs erfolgreich zu meistern und mitzugestalten, sind eine sichere Systemumgebung, die lückenlose IT-Sicherheit und die Anwendung der 2018 umsetzungspflichtigen DSGVO (Daten­schutz­grund­verord­nung) Pflichtprogramm. Wir wollen Ihnen anhand von verschiedenen Phasen zeigen, wie wir Sie bei Ihrer digitalen Zukunftsgestaltung unterstützen können.

Phase 1: Check-up der IT-Systeme

Phase 1 der Analyse das Reifegrads Ihrer Cybersecurity ist es, dass Ihre eingesetzten IT-Systeme durch uns geprüft und verstanden werden. Vor allem werden die Technologien „Information, Operation und Konsumenten” geprüft. Informations-Technologien sind speziell jene, die zur Verarbeitung und Verwaltung von Daten im Rahmen der Unterstützung von Organisation und Transaktion eigesetzt werden. Operations-Systeme stellen die Überwachung von Prozessen der Produktion oder Steuerung der Anlagen dar, wohingegen Konsumenten-Systeme als externe, sich an den Endkunden richtende Ressourcen verstanden werden.

Das Ziel des Check-ups wird es sein, dass ein Risikoprofil über Ihre IT-Systeme in Verbindung mit den bereits operativ umgesetzten IT-Sicherheits-Maßnahmen erstellt wird und etwaigen Lücken und Risiken identifiziert werden.

Phase 2: Datenschutz-Audit

Im Datenschutz nimmt die Cybersicherheit einen immer größeren Stellenwert ein. Nachdem am 25. Mai 2018 die DSGVO unionsweit umzusetzen ist, muss das Zusammenspiel aus Cybersicherheit und Datenschutz verstanden werden. Beide Themengebiete sind zwar eigenständig zu betrachten, erzeugen aber Synergieeffekte.

Das Datenschutz-Audit dient dazu, die gesetzesrelevanten Umsetzungspflichten zum Schutz personenbezogener Daten zu prüfen. Das Ergebnis aus Phase 1 fließt in die Betrachtung selbstverständlich mit ein. Damit die Daten Ihrer Kunden, Lieferanten, Mitarbeiter oder Bewerber sicher vor dem Angriff von Hackern, Spionen oder Datendieben sind, müssen Ihre IT-Systeme es möglich machen, IT-Sicherheitsvorfälle schon im Frühstadium zu identifizieren und Attacken rechtzeitig abzuwehren.

Phase 3: Datenschutzmanagement und Umsetzung der Datenschutz Grundverordnung (DSGVO)

Um Ihre Prozesse, vor allem die, in denen die Verarbeitung, Speicherung und Löschung von personenbezogenen Daten eingebunden sind, sicher und konform den entsprechenden Gesetzestexten zu gestalten, ist das Datenschutzmanagement unerlässlich. Stellen Sie sicher, dass die relevanten Stellen innerhalb des Unternehmens mit der Wichtigkeit und Tragweite des Themas vertraut sind. „Nur” einen Datenschutzbeauftragten zu bestellen, heißt nicht, dass der Großteil der Arbeit damit getan wäre. In der Praxis stellen wir immer wieder fest, dass die unternehmensinternen Datenschutzbeauftragten ihre Tätigkeit im Nebenamt ausüben. Damit wird eine rechtssichere Bearbeitung von datenschutzrelevanten Aufgaben möglicherweise nicht mehr gewährleistet. Die Geschäftsleitung sollte dahingehend sensibilisiert werden, dass der Datenschutzbeauftragte nicht nur das nötige Know-how braucht, sondern auch entsprechende zeitliche Ressourcen. Sofern dies sichergestellt ist, sollte ein Konzept zur sauberen und nachhaltigen Dokumentation der anstehenden Aufgaben und deren Umsetzung entwickelt werden. Das Führen von Word-Dokumenten oder Excel-Tabellen ist laut DSGVO nicht mehr praktikabel. Es sollte ein Management-Prozess erkennbar sein, entsprechend dem PDCA-Ansatz (Plan Do Check Act). In dieser Phase können wir Sie dabei unterstützen, die Anforderungen in der Breite zu erkennen, zu verstehen, umzusetzen und zu kontrollieren. Dabei will der Gesetzgeber vor allem von Ihnen wissen, wie Sie organisatorisch und technisch dafür sorgen, dass personenbezogene Daten zu jeder Zeit die höchste Sicherheit genießen. Dabei beginnen wir die Betrachtung bei der Ausgangsbasis und wollen über einfache Rückkopplungsansätze erfahren, wie sich der aktuelle IST-Stand darstellt. Wichtig ist diese Ausgangsbasis deshalb, weil auf dieser Grundlage bereits eventuelle Missstände, zwingend notwendige Informationen oder Sicherheitslücken entdeckt werden. Folgende Fragen dienen der Orientierung: 

• Ist der Überblick über das Unternehmen/die Behörde/öffentliche Stelle gegeben?
• Sind Verantwortlichkeiten – zumindest im Überblick – bekannt?
• Sind Aufgabenzuordnungen bekannt?
• Steht fest, wer verantwortlich für den Datenschutz ist?
• Sind die Einheiten bekannt, die IT-Services für das Unternehmen/die Behörde/öffentliche Stelle erbringen?
• Ist der Überblick über die Netzwerkstruktur gegeben?
• Ist der Überblick über die Applikationen gegeben?
• Ist der Überblick über Dienstleister gegeben?
• Wurde ein Team bestimmt, das sich mit den Vorbereitungsarbeiten (Projektorganisation) und den Inhalten der DSGVO befasst? (Team besteht z.B. aus einem Teil der Geschäftsführung, dem IT-Leiter sowie den Abteilungsleitern)
• Hat dieses Team einen Aktions- und Zeitplan erstellt?
• Orientiert sich der Zeitplan inhaltlich an den notwendig werdenden Schritten?

Eine softwaregestützte Lösung sowohl zur Dokumentation als auch der auf Checklisten und Prüffragen basierenden Management-Lösung, bietet der „Datenschutz Assistent®”, ein Werkzeug, das Sie bei der Arbeit als Datenschutzbeauftragter begleitet und unterstützt.

Phase 4: Das Information Security Management System (ISMS)

Die gesamte Wertschöpfungskette des Reifegrads Ihrer Cybersicherheit sowie die Ergebnisse des Datenschutz-Audits und sukzessive Entwicklung des Datenschutzmanagements werden ausgewertet und analysiert. Mithilfe des Einsatzes eines Information Security Management Systems (ISMS) wird Ihnen aufgezeigt, welche Anforderungen die Gesetzgebung an Ihre Behörde, Stadtverwaltung, Kommune oder öffentliche Stelle stellt. Auf Grundlage von Checklisten werden die wesentlichen und für den Datenschutz relevanten Bereiche durchleuchtet. Beispielhafte Fragen eines ISMS-Checks könnten sein:

• Ihr Gebäude: Sind genaue Lage und Anzahl der Zutrittsmöglichkeiten zum Gebäude dokumentiert?
• Ihr Gebäude: Ist dokumentiert, welche Eingänge stets geschlossen zu halten sind?
• Ihr Gebäude: Ist dokumentiert, wie welche Türen gesichert sind und sind diese Türen nach Möglichkeit von außen nicht mit Türklinke ausgestattet, sondern mit einem nicht drehbaren Knauf?
• Ihre IT: Muss ein Nutzer sowohl beim Login an seinem PC-Arbeitsplatz als auch in den einzelnen Verfahren ein sicheres Passwort eingeben?
• Ihre Behörde: Gibt es einen Verantwortlichen für die Durchführung oder Koordination von Schulungsmaßnahmen in der Behörde?
• Ihre Behörde: Verfügt dieser Verantwortliche über ausreichend Zeit und Mittel zur Planung und Durchführung von kurz-, mittel- und langfristigen Schulungsmaßnahmen?
• Ihre Verträge und externen Auftragsdatenverarbeiter: Existiert eine Übersicht über alle Fälle von Auftragsdatenverarbeitung und deren Dienstleister?
• Ihre Verträge und externen Auftragsdatenverarbeiter: Wird für jeden Fall die Zulässigkeit der Auftragsdatenverarbeitung geprüft?

Auch an dieser Stelle bietet der Datenschutz-Assistent mit seiner integrierten ISMS-Checkliste einen optimalen Lösungsansatz.

Der Datenschutz und die digitale Sicherheit sind im Jahr 2018 kein Bagatelldelikt mehr, sondern sollten von Führungs- und Leitungspositionen als ernsthaftes und wichtiges Thema behandelt werden. Mit den vier vorgestellten Phasen können wir Sie dabei unterstützen, die abstrakte Thematik der Datenschutz-Grundverordnung (DSGVO) sowie Ihre Cybersecurity zu verstehen und letztlich in der Praxis anzuwenden und umzusetzen. Unsere Experten für IT- Datenschutz- und Recht helfen Ihnen gerne.