News

10 Tipps für das Zusammenspiel von IT- und Datenschutz

Checkliste für eine gute Partnerschaft: die TÜV Nord Akademie gibt Tipps, wie IT-Sicherheits- und Datenschutzbeauftragte gemeinsam mehr erreichen können.

Spätestens seit dem verbindlichen Inkrafttreten der DSGVO im Mai 2018 hat Datenschutz für viele deutsche Unternehmen eine neue Relevanz bekommen. Vielerorts herrscht aber noch Unkenntnis über relevante Bestimmungen des Datenschutzes und welche Herausforderungen im Zusammenspiel mit der IT Sicherheit bestehen. Beide Bereiche beschäftigen sich mit dem Schutz von Daten. Und wenngleich es Unterschiede zwischen den Bereichen gibt, bestehen auf der anderen Seite – nicht zuletzt begründet durch die DSGVO – auch starke Überschneidungen, die von Unternehmen genutzt werden können, um ihre Effizienz zu steigern.

Unterschiedliche Risikobewertung

Verschlüsselungen, Zugriffsberechtigung, IT-Notfall-Konzepte – klassische Bereiche, die eigentlich der IT-Sicherheit zuzuordnen sind, erhalten durch die DSGVO auch eine Bedeutung für den Datenschutz. Eine der Herausforderungen: IT-Sicherheit und Datenschutz definieren unterschiedliche Risiken und haben deshalb unterschiedliche Schwerpunkte.

  • In der IT-Sicherheit will man wirtschaftliche Werte eines Unternehmens schützen, zum Beispiel wichtige Prozesse oder Rezepturen.
  • Beim Datenschutz stehen hingegen die Persönlichkeitsrechte von Menschen im Vordergrund. Entsprechend verschieben sich die Prioritäten.
  • Wenn IT-Sicherheitsbeauftragte zum Beispiel bestimmte Analysen für mehr Sicherheit durchführen möchten, könnte der Datenschutz aus Persönlichkeitsschutzrechten dagegen stehen.
  • Umgekehrt könnten Datenschutzbeauftragte die neueste Version eines Programms fordern, das sich aus IT-Sicht aber negativ auf die Virenscanner auswirkt.

Welche Schritte müssen Unternehmen ergreifen?

„Entgegen der allgemeinen Wahrnehmung ist der Datenschutzbeauftragte nicht in der Verantwortung, Prozesse umzusetzen. Seine Aufgabe liegt darin, zu überprüfen und zu beraten“, erklärt Seminarleiter Karsten Schulz vom IT-Dienstleister Datenschutz.systems. „Beide Parteien sollten sich zunächst zusammensetzen und klären, wo es Handlungsbedarf und gemeinsame Schnittstellen gibt.“ Denn um eine Umgebung zu schaffen, in der Datenschutz und IT-Sicherheit gut harmonieren, müssen die jeweiligen Beauftragten sich gegenseitig beraten und gemeinsam nach Lösungen suchen. Für solche Erkenntnisse braucht es gegenseitiges Verständnis. „Wenn beide nicht miteinander sprechen, habe ich betriebswirtschaftliche Risiken, aber auch immer Risiken für betroffene Personen“, erklärt Schulz.

Synergien nutzen!

Neben diesen Herausforderungen gibt es aber auch Synergien. „Die DSGVO fordert ein Management im Datenschutz“, sagt Seminarleiter Dr. Ralf Kollmann von der Unternehmensberatung FIDES IT Consultants. „Auf der IT-Seite wird in gut organisierten Unternehmen bereits ein strukturiertes IT-Sicherheitsmanagement betrieben. Hier können Synergien auftreten, denn viele Strukturen der Informationssicherheit lassen sich auch im Management des Datenschutzes verwenden.“ Aus Seminaren und Beratungen in Unternehmen, haben die beiden Experten einige Praxisbeispiele gesammelt, wie sich Synergien am besten nutzen lassen.

Checkliste für eine gute Partnerschaft von IT-Sicherheit und Datenschutz

  1. Bestandaufnahme: Beide Seiten ermitteln getrennt voneinander ihren Bedarf: Wo bestehen Risiken? Was fordern die Aufsichtsbehörden? etc.

  2. Interessenskonflikte überwinden: z. B. wenn aus IT-Sicht bestimmte Analysen notwendig sind, die aus Datenschutzsicht Persönlichkeitsrechte verletzen.

  3. Auf Augenhöhe sprechen: Datenschutzbeauftrage müssen in der Lage sein, die technische Sprache der Mitarbeitenden im IT-Bereich zu verstehen. IT-Beauftragte müssen wichtige Aspekte des Datenschutzes kennenlernen.

  4. Gemeinsamkeiten erkennen: Zum Beispiel, dass IT-Sicherheit nicht nur zur Wahrung von Betriebs- und Geschäftsgeheimnissen, sondern auch aus Datenschutzsicht erforderlich ist.

  5. Stärken herausarbeiten: Etwa mit ausgewiesenem IT- und Datenschutz Wettbewerbsvorteile generieren, Vertrauen beim Kunden gewinnen.

  6. Schnittstellen analysieren, Zuständigkeiten definieren: Bei welchen Aufgaben muss der oder die Datenschutzbeauftragte dazugeholt werden? Wer hat welche Kompetenzen? Ist sichergestellt, dass Datenschutzbeauftragte systematisch einbezogen werden?

  7. Maßnahmenplan erstellen: Der Maßnahmenplan muss IT-Sicherheit und Datenschutz gleichermaßen gerecht werden und beispielsweise festlegen, dass neue Software nur nach Freigabe beider Seiten angeschafft wird.

  8. Aufgaben clustern: Sowohl die Geschäftsleitung als auch die Mitarbeiterinnen und Mitarbeiter müssen notwendige Maßnahmen nachvollziehen können.

  9. Akzeptanz schaffen: Die Geschäftsleitung muss die Relevanz der Umsetzung erkennen und beiden Beauftragten den Rücken stärken. Die Mitarbeitenden sollten bei der Einführung neuer Verfahren und Programme „abgeholt“ und mit möglichen Bedenken ernst genommen werden.

  10. Gemeinsam gewinnen: Durch gute Zusammenarbeit Bußgelder und Reputationsverlust vermeiden.

Die TÜV Nord Akademie bietet für Unternehmen Unterstützung für die Praxis an. Genauere Informationen erhalten Interessierte hier:

Checkliste für eine gute Partnerschaft zwischen IT-Sicherheit und Datenschutz

Märkte

IT-Sicherheit im Unternehmen: Angst vor unbekannten Risiken

Laut einer Umfrage von DXC Technology sind drei Viertel der befragten Unternehmen der Meinung, dass IT-Security im Hinblick auf Industrie 4.0 eine zunehmend größere Rolle spielt und neue Risiken entstehen.

News

Schneidkongress: Schneiden ist erst der Anfang

Deutsche Schneidkongress beleuchtet spezielle Probleme der Schneidbetriebe in 39 Fachreferaten.

Interviews

Neue Fachmesse Cutting World fokussiert das Schneiden

Interview mit Gerhard Hoffmann, Geschäftsführer Schneidforum Consulting, zur Fachmesse Cutting World vom 17.04 - 19.04.2018 in der Messe Essen statt.

Unternehmen

KME und MKM-Eigentümer vereinbaren Übernahme

Die KME-Gruppe und die Eigentümer der MKM Mansfelder Kupfer und Messing GmbH haben einen Kaufvertrag unterzeichnet, der die vollständige Übernahme von MKM vorsieht.