Ein Ziel kann zum Beispiel der Aufbau einer gesetzeskonformen Datenschutzorganisation sein. Oder einfach die Beantwortung der Frage, ob Ihr Unternehmen in Sachen Datenschutz und IT-Sicherheit gut aufgestellt ist. Geht es primär um den Schutz personenbezogener Daten wie ihn das Bundesdatenschutzgesetz fordert oder wollen Sie auch geprüft haben, wie Sie sensible Unternehmensdaten wie z.B. Patente oder Bilanzen vor fremden Blicken schützen können? Ihre Ziele sind so individuell wie Ihr Unternehmen. Bei uns gibt es keinen Datenschutz von der Stange!
Aufwand und angestrebter Schutzzweck müssen aber in einem angemessenen Verhältnis stehen - so fordert es übrigens auch der Gesetzgeber in § 9 BDSG. Sie müssen kein Fort Knox bauen! Aber auf bestimmte Sicherheitsstandards sollten wir schon achten.
Der Definition der Ziele schließt sich eine IST-Analyse der Unternehmensstrukturen und –prozesse aus dem Blickwinkel des Datenschutzes und der IT-Sicherheit an. Zentrale Fragenstellungen können hier z.B. sein, ob besondere Arten personenbezogener Daten verarbeitet werden, ob die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht oder ob eingesetzte Verfahren einer sogenannten Vorabkontrolle bedürfen. Neben diesen aus dem Datenschutzrecht entstammenden Kriterien spielt natürlich die eingesetzte Informationstechnologie eine bedeutende Rolle. Werden sicherer Passwortverfahren eingesetzt, ist die Verfügbarkeit der Daten gewährleistet oder sind die Sicherheitsstandards ausreichend? Gibt es unternehmensweite Sicherheitsrichtlinien, die auch den Mitarbeitern bekannt sind? Ist die private Nutzung von E-Mail erlaubt? Kennen Sie die damit zusammenhängenden rechtlichen und technischen Probleme?
Grundlage der Ist-Analyse sind Interviews und Workshops mit den verantwortlichen Mitarbeitern aus den Bereichen, in denen mit personenbezogenen Daten gearbeitet wird: Personal, Finanzen und IT, aber auch Vertrieb oder Marketing. Als methodische Basis der Befragungen hat sich unsere Checkliste bewährt, die das weitläufige Gebiet des Datenschutzes und der IT-Sicherheit systematisch betrachtet und abdeckt.
Als Ergebnis der IST-Analyse werden die unternehmensspezifischen Risiken in der Datenverarbeitung, im Datenschutzes und in der IT-Sicherheit aufgeführt. Ungeschminkt, offen und ehrlich.
Um die Risiken für Ihr Unternehmen zu minimieren, die IT-Sicherheit zu maximieren und gleichzeitig den gesetzlichen Anforderungen gerecht zu werden, schlagen wir in einem SOLL-Konzept entsprechende Maßnahmen vor, die auch den aktuellen Stand der Informationstechnologie berücksichtigen. Letzteres ist besonders wichtig, weil sich die technische Entwicklung in der IT oft überschlägt: Was heute noch als top gilt, kann morgen schon kalter Kaffee sein. Ein Beispiel aus jüngster Zeit ist das als absolut sicher geltende asymmetrische Kryptographiesystem RSA 768, das Ende 2010 geknackt wurde: http://www.heise.de/security/meldung/RSA-768-geknackt-899073.html [externer Link]. Wissenschaftler gingen davon aus, dass RSA-1024 erst Ende 2020 geknackt werden kann. Jüngsten Berichten in der Fachwelt zufolge ist das aber schon im ersten Quartal 2011 geschehen...http://www.eecs.umich.edu/~valeria/research/publications/DATE10RSA.pdf [externer Link]
Als Ergebnis des Soll-Konzeptes kann z.B. ein kompletter Aufbau einer Datenschutzorganisation oder eines Datenschutzmanagementsystems stehen, wie es vom Gesetzgeber gefordert wird. Unternehmensweite IT-Sicherheitsrichtlinien können die IT-Sicherheit im Unternehmen deutlich erhöhen und deren Schutzziele – Vertraulichkeit, Integrität und Verfügbarkeit – sicherstellen.
Wir haben schon oft erlebt, wie das Rad neu erfunden wurde - manchmal sogar eckig. Denn Papier ist geduldig. Und was nützt das schönste Konzept, wenn es in der Praxis nicht umgesetzt werden kann?
Unserer Arbeit endet nicht mit der Erstellung eines Konzeptes. Wir setzen unserer Vorschläge auch um. Das reicht im Bereich des Datenschutzes von den Verfahrensverzeichnissen über den Webauftritt bis zu den technischen und organisatorischen Maßnahmen. Wir liefern Ihnen den Kompass und Sie bestimmen die Richtung und die Geschwindigkeit, mit der wir Ihr Unternehmen fit im Datenschutz und in der IT-Sicherheit machen. Und wenn Sie es wünschen, können Sie uns auch zum externen Datenschutzbeauftragten bestellen.
Rufen Sie uns doch einfach an oder schicken Sie uns eine E-Mail!
