AutorJohannes Wahl

Umsetzung der EU-DSGVO

EU-DSGVO

Das aus Unternehmersicht wohl heißeste Thema des Jahres: DATENSCHUTZ!

Sollte es zumindest sein, denn bis zum 25. Mai 2018 muss jedes Unternehmen ein Datenschutzmanagementsystem aufgebaut haben.

Sinn und Konsequenzen sind mittlerweile bekannt, aber der Weg zur richtigen Umsetzung auch?

Hier unser ‚best practice‘ Umsetzungsleitfaden:

Schritt 1: Ist-Zustand auditieren

Fragen Sie sich:

  • Wo in meinem Unternehmen werden überall personenbezogene Daten verarbeitet?
  • Wer in meinem Unternehmen ist dafür verantwortlich?
  • Und wie werden in meinem Unternehmen diese Daten bisher verarbeitet und dokumentiert?

Bringen Sie Ihre Fachabteilungen und IT-Abteilung zusammen.

Sichten Sie gemeinsam, ob und wo es Schatten-IT in Ihrem Unternehmen gibt.

Hat Ihre Unternehmenskultur zugelassen oder sogar dazu ermuntert, Tools und Geräte (Thema „Bring Your Own Device“) ohne Abstimmung mit der IT-Abteilung zu benutzen? Denn dies gefährdet den Schutz von sensiblen Daten und die gesetzlichen Vorschriften sind somit nicht sichergestellt.

Bedenken Sie: Das Thema Datenschutz ist Chefsache! Lassen Sie sich als Geschäftsleitung deshalb regelmäßig über den Datenschutz-Status unterrichten!

Schritt 2: Prozesse dokumentieren und optimieren

Sie brauchen ein Datenschutz Handbuch!

Oder anders gesagt: ein Organisationshandbuch, das in Ihrem Unternehmen Transparenz schafft, Informationsquelle und Hilfe für Ihre Mitarbeiter ist und als Führungsinstrument und Kontrollgrundlage für Sie als Vorgesetzter dient.

Die kostenfreie Mustervorlage finden Sie hier: https://datenschutzzentrum.de/dsgvo/

Überarbeiten Sie Ihre Auftragsdatenverarbeitung (ADV)-Erklärungen!

Denn Ihre ‚Datenverarbeitung im Auftrag‘ sollte auf dem aktuellsten Stand sein, um datenschutzrechtlich sicher zu sein. Löschen Sie also jegliche personenbezogenen Daten, die nicht zweckgebunden sind und für welche es keine Vereinbarung gibt. Sorgen Sie für aktuelle Daten und im Besonderen: Daten-Sparsamkeit!

Zur Erinnerung: Das Thema Datenschutz ist Chefsache! Lassen Sie sich als Geschäftsleitung deshalb regelmäßig über den Datenschutz-Status unterrichten!

Schritt 3: Risiken analysieren

Führen Sie eine Datenschutz-Folgeabschätzung durch!

Denn überall, wo sensible personenbezogene Daten verarbeitet werden, bedingt dies besondere Sorgfalt (als sehr sensibel gelten zum Beispiel Gesundheitsdaten!) und es müssen entsprechende Voraussetzungen geschaffen werden, diese zu schützen.

Das bedeutet, dass Sie das mögliche Schadensausmaß festlegen und die Eintrittswahrscheinlichkeiten analysieren müssen. Ergreifen Sie entsprechende Maßnahmen zur Reduzierung/Vermeidung. Sorgen Sie dafür, dass Ihre IT-Sicherheit auf dem Stand der Technik ist und somit keine veralteten Systeme in Betrieb sind.

Und noch mal: Das Thema Datenschutz ist Chefsache! Lassen Sie sich als Geschäftsleitung deshalb regelmäßig über den Datenschutz-Status unterrichten!

Schritt 4: Meldesystem aufbauen

Schulen Sie Ihre Mitarbeiter für den Fall einer ‚Datenpanne‘, damit sichergestellt ist, dass diese dem Datenschutzbeauftragten gemeldet wird!

Falls in Ihrem Unternehmen noch kein Datenschutzbeauftragter benannt ist, sollten Sie dies in die Wege leiten.

Denken Sie auch daran: Eingetretene Daten-Verstöße müssen innerhalb von 72 Stunden an den Landesdatenschutzbeauftragten gemeldet werden (der unternehmenseigene Datenschutzbeauftragte wird dort hinterlegt).

Die Gesetzgebung sorgt mit den Betroffenenrechten dafür, dass jeder Bürger Einsicht in seine Daten einfordern kann. In der Praxis bedeutet dies, dass also jeder seine Daten anfragen kann und Sie unverzüglich Auskunft darüber geben müssen. Allerdings können Sie (sollten Sie auch!) verlangen, dass die anfragende Person sich zuvor als die ausgegebene Person verifiziert.

Ist dem so, dann muss von Ihrem Unternehmen eine Auskunft darüber erteilt werden, welche (maschinenlesbare Form) auf diese Person bezogenen Daten im Unternehmen verarbeitet werden. Auf Verlangen müssen diese gelöscht werden.

Ach übrigens: Das Thema Datenschutz ist Chefsache! Lassen Sie sich als Geschäftsleitung deshalb regelmäßig über den Datenschutz-Status unterrichten!

Schritt 5: Keine Angriffsfläche bieten

  • Wenn die internen Vorkehrungen umgesetzt sind, machen Sie sich auch nach außen ‚schick‚!
  • Checken Sie Ihre Webseite:
  • Aktualisieren Sie Ihre Datenschutzerklärung!
  • Überprüfen Sie auch alles Geschriebene, was von Anwälten zu bemängeln sein könnte!
  • Denn die Abmahnwelle wird kommen!

Und zu guter Letzt: Das Thema Datenschutz ist Chefsache! Lassen Sie sich als Geschäftsleitung deshalb regelmäßig über den Datenschutz-Status unterrichten!

Weiterlesen

Einstellungs- und Verhaltensänderung zur Qualität

Die DGQ hat am 27. Februar eine Veranstaltung mit dem Thema, Einstellungs- und Verhaltensänderung zur Qualität: Ein Unternehmen lernt neue Gewohnheiten“, durchgeführt.

Der Vortrag der Referentin Claudia Metzger, Projektleiterin, von t&t Organisationsentwicklung gab Anregungen dazu, wie wir:

  1. Das Qualitätsbewusstsein von Mitarbeitern und Führungskräften erhöhen
  2. Den Blick aller Beteiligten für Fehlerrisiken schärfen
  3. Eine „Verantwortungsgemeinschaft Qualität“ erschaffen und erhalten

Dabei steht der Faktor Mensch ganz klar im Mittelpunkt und  Qualität kann als Thema auch nicht einzeln betrachtet werden. Sie steht immer in Wechselwirkung mit allen anderen betrieblichen Themen und somit auch mit der Kultur des Unternehmens. Arbeit an der Qualität heißt damit auch immer Arbeit an der Qualitätskultur, was wiederum Auswirkung hat auf Produktivität, Durchlaufzeiten, Liefertreue, etc..

Die DGQ gibt regelmäßig spannende Impulse und Diskussionsrunden zu aktuellen Themen.

Informieren Sie sich hier über die nächsten Veranstaltungen:

DGQ-Regionalkreis Rhein-Nahe

Weiterlesen

Risikomanagement und KRITIS

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Dazu gehört zum Beispiel das Gesundheitswesen, Strom- und Wasserversorgung etc… Laut dem IT-Sicherheitsgesetz werden KRITIS-Betreiber aufgefordert, einen Mindeststandard an IT-Sicherheit zu gewährleisten. Sicherheitsvorfälle müssen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

Außerdem wurde die Forderung nach einem systematischen Umgang mit Risiken und Chancen, in die ISO 9001:2015, neu aufgenommen. Organisationen müssen zukünftig Risiken und Chancen identifizieren, analysieren, bewerten sowie Gegenmaßnahmen planen, umsetzen und ihre Wirksamkeit kontrollieren. Wie sie dies zu tun haben, legt die ISO 9001:2015 nicht genau fest. Wer allerdings kein Risikomanagement aufbaut, dem drohen das nichtbestehen der Zertifizierung und staatliche Sanktionen. Zusammengefasst: No risk management no fun.

Risikomanagement in der Theorie

Solange Auswirkungen bzw. Tragweite und Wahrscheinlichkeit möglicher negativer Ereignisse noch nicht bekannt sind, sprechen wir von Gefährdungen. Mit Gefährdungen werden zunächst nur vage Möglichkeiten von negativen Ereignissen beschrieben. Sind mögliche Auswirkungen und die Wahrscheinlichkeit des Eintritts zu erkennen, wird die Gefährdung zum Risiko. Das Risikomanagement ist das Erkennen und der Umgang mit Risiken in Form von Abwehr, Ausweichen oder Mindern negativer Auswirkungen. Was nicht vergessen werden darf, unternehmerische Risiken sind Chefsache.

Warum ist es überhaupt wichtig seine Risiken im Überblick zu behalten?

Stromausfall im Krankenhaus Boberg – Patienten in Gefahr 27 – Februar 2008

Stromausfall in Deutschlands größtem Querschnittgelähmten-Zentrum:In Teilen des Unfallkrankenhauses Boberg kam es am Freitagmorgen zu einem schweren Zwischenfall. Ein Kurzschluss am Notstromaggregat legte die komplette Stromversorgung lahm, Patienten, die auf dauerhafte Beatmung angewiesen sind, gerieten in Gefahr.(…) Um 10.45 Uhr war im Kellergeschoss ein Verteilerkasten in Brand geraten, nachdem am Notstromaggregat, das eigentlich anspringen sollte, wenn der normale Strom einmal ausfällt, ein Kurzschluss entstanden war. Folge: Weder Normalnoch Notstrom konnten die medizinischen Instrumente, mit denen im Boberger Krankenhaus viele Menschen am Leben gehalten werden, versorgen. In Teilen des Haupthauses und im Querschnittgelähmten-Zentrum, in dem etwa 100 Patienten versorgt werden, wurde es dunkel. Besonders dramatisch: Die Lage auf der Beatmungsstation im Untergeschoss des Zentrums. (…) (…)Voeltz: „Als die Akkus schwächer wurden, haben unsere Mitarbeiter sieben Patienten unter körperlichem Einsatz beatmet.“ Die Klinik verfüge über eine große Zahl von Handbeatmungsgeräten, sofort seien auch Mitarbeiter anderer Stationen zur Hilfe geeilt. Nach einer halben Stunde hatten Feuerwehr und Techniker die Stromversorgung in der Klinik wieder hergestellt. (…)

Quelle: //www.abendblatt.de/hamburg/article107370253/Stromausfall-im-Krankenhaus-Boberg-Patienten-in-Gefahr.html

Risiken können sehr individuell für jedes Unternehmen sein. Fest steht aber, wenn Risiken nicht beachtet werden, dann können Sie viel Geld und im schlimmsten Fall sogar Menschenleben kosten.

Risikomanagement in der Praxis

Risikomanagement hat sich niemand ausgedacht, um Organisationen zu ärgern. Es ist tatsächlich ein gutes Werkzeug, um Kosten zu senken, bessere Entscheidungen zu treffen und letztendlich für höhere Sicherheit und Vertrauen zu sorgen. In der Praxis wird es bisher wenig gelebt und der erste Schritt ist ein grundsätzliches Bewusstsein dafür zu schaffen. Wenn die Notwendigkeit in der Geschäftsführung und bei den Mitarbeitern angekommen ist, kann das Managementsystem wirklich gelebt werden.

Die wichtigsten Schritte, um ein Risikomanagement aufzubauen sind:

-Erstellung einer Risikomatrix

-Risikobetrachtung eines ausgewählten Bereichs

-Themenfelder für diesen Bereich erfassen

-Gefährdungen den Themenfeldern zuordnen

-Schadensausmaß und Wahrscheinlichkeit der Gefährdungen bestimmen

-Maßnahmen vergeben, um hohe Risikogruppen zu vermindern

-Maßnahme umsetzen, überwachen und auf Wirksamkeit kontrollieren

-Dokumentation über die Entwicklung und Auswertungen

Ein Beispiel: Ich führe in meinem Unternehmen eine Risikobetrachtung durch und nehme z.B. den Bereich IT. Zu diesem Themengebiet gehören Arbeitsplatz PCs, Server, Drucker, Mobilgeräte etc…. Jetzt betrachte ich das Cluster „Arbeitsplatz PCs“ genauer und ordne diesen mögliche Gefährdungen zu. Stromausfall, Virenbefall, Hacking usw… Jetzt muss ich bewerten. Wie hoch ist eigentlich die Eintrittswahrscheinlich und wie groß ist das Schadensausmaß, wenn es wirklich passiert? Natürlich muss ich meine Einschätzung auch sehr gut begründen, um möglichst objektiv zu bleiben. Wenn ich feststelle, dass einige meiner Betrachtungen im kritischen Risikobereich liegen, muss ich dementsprechend Maßnahmen festlegen, um das Risiko zu vermindern und nach der Umsetzung dieses neu zu bewerten. Es macht durchaus Sinn einen externen Berater als Sparringspartner hinzuzuholen und das komplette Unternehmen auf diese Art zu durchleuchten.

Softwarelösung

Viele Unternehmen nutzen Excel-Tabellen und Vorlagen, um einen ersten Überblick zu bekommen. In der Umsetzung gestaltet sich der Aufbau, die regelmäßige Pflege und die Vergabe von Aufgaben allerdings als sehr schwierig und man stößt schon bald an seine Grenzen. Spezielle Software kann helfen, solange sie auch den Anforderungen standhalten kann. Grundsätzlich gilt, Software sollte sich dem Unternehmen anpassen und nicht das Unternehmen an die Software. Doch was sollte diese können, damit man effektiv damit arbeiten kann und welche Faktoren sind wichtig für mein Auswahlverfahren?

-Sollte Orts und Geräteunabhängig genutzt werden können

-Sollte Rechte über eine Benutzerstruktur vergeben und einschränken können

-Sollte Schnittstellenfreundlich sein

-Sollte anpassbar und erweiterbar sein

-Sollte Benutzerfreundlich sein und sich auf das wesentliche beschränken

-Sollte an verschiedene Normen, wie die ISO 27001, angepasst sein

-Sollte die oben genannten Strukturen ohne viel Aufwand abbilden können

-Sollte Maßnahmen vergeben und überwachen können

-Sollte verschiedenste Auswertungen der vorhandenen Daten liefern können

Fazit: Es empfiehlt sich also das Thema Risikomanagement ernst zu nehmen und in diesem Fall kein Risiko einzugehen.

Weiterlesen