Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) haben das Datenschutzmanagement spätestens im Jahr 2018 auf die Tagesordnung jedes Unternehmens gesetzt. Das individuelle Eigentum an persönlichen Daten wurde hervorgehoben und Unternehmen sind seitdem gezwungen, dieses Recht auf rechtskonforme Weise zu schützen.
Der konsequente Schutz personenbezogener Daten ist für Unternehmen nach wie vor eine Herausforderung. Eine aktuelle Espresso-Umfrage von DNV ergab, dass der Reifegrad seit der vergleichbaren Umfrage 2019 nur leicht zugenommen hat. Als die DSGVO vor vier Jahren eingeführt wurde, versuchten die Unternehmen händeringend, die Einhaltung der Vorschriften sicherzustellen. Es scheint, dass dies für viele Unternehmen der wichtigste Aspekt geblieben ist. Es könnte jedoch einschränkend sein, das Datenschutzmanagement nur aus einer rechtlichen Perspektive zu betrachten.
Menschen als Hauptrisikoquelle
In der Umfrage wurden die Unternehmen nach den größten IT-Risiken gefragt. 44,5 % gaben menschliches Versagen als Hauptrisikoquelle an. Es folgen mangelndes Bewusstsein bei den Mitarbeitern oder eine schlechte Organisationskultur (27,7 %) sowie mangelnde Rechtskompetenz/Auslegung der rechtlichen Anforderungen (25,3 %). Die Besorgnis über organisatorische, kulturelle und kompetenzbezogene Probleme und nicht über externe Bedrohungen unterscheidet sich kaum von dem Bild, das im Jahr 2019 gezeichnet wurde. Allerdings gibt es eine Verlagerung der Maßnahmen von der IT auf die Menschen. Im Jahr 2019 war die Verbesserung der IT-Sicherheit der wichtigste Investitionsbereich, der nun von Schulungen und der Sensibilisierung der Mitarbeiter übertroffen wurde. Dies wird von fast jedem zweiten Unternehmen als vorrangig angesehen.
Wenn menschliches Versagen und mangelndes Bewusstsein als Hauptrisiken angesehen werden, bedeutet dies oft, dass diese Aspekte noch nicht in der Unternehmenskultur verankert sind. Hier kann die Einführung des entsprechenden Managementsystems leicht Risiken abmildern. In jeder Organisation kommt es zu einer Verlagerung von Ressourcen, z. B. durch Fluktuation und Einstellung neuer Mitarbeiter. Dies erfordert eine regelmäßige Schulung der neuen oder eine Auffrischung des Bewusstseins der vorhandenen Mitarbeiter.
Aufbau einer einheitlichen Sicherheitskultur
Diesem Bedarf kann am besten durch ein Managementsystemmodell entsprochen werden, das auf den bewährten Verfahren der Norm ISO 27701 für Datenschutzmanagementsysteme basiert. Die Norm legt spezifische Anforderungen an regelmäßige Schulungen und Sensibilisierung fest, um ein einheitliches Niveau im gesamten Unternehmen zu gewährleisten. Dies führt zu einem stärkeren Engagement und befähigt die Mitarbeiter, in Begriffen des „Datenschutzes“ zu denken, was ihnen hilft, die „Unsicherheit“ im Zusammenhang mit dem Datenschutz besser zu bewältigen. Erfahrungen aus anderen Bereichen, z. B. der Informationssicherheit, haben deutlich gezeigt, dass eine Organisation durch die Einführung eines Managementsystems eine Sicherheitskultur aufbauen und verbessern kann.
In einer vielfach vernetzten Gesellschaft reichen die Bedrohungen für die Privatsphäre von der Informations- und Cybersicherheit bis hin zur unrechtmäßigen, wenn auch unbeabsichtigten Nutzung oder Speicherung von Daten durch Unternehmen oder andere legitime Akteure. Da die meisten Unternehmen heutzutage gefährdet zu sein scheinen, stehen Investitionen in die IT-Sicherheit ganz oben auf der Tagesordnung. Der Schwachpunkt in der Datenkette sind jedoch oft die Personen, die die Informationen nutzen, und die Geräte oder Software, die mit ihnen umgehen. Dies unterstreicht den dringenden Bedarf an regelmäßigen Schulungen. Dabei kann es sich um E-Learning, kleinere Schulungspakete oder umfassendere Schulungen für alle an der Datenverwaltung beteiligten Personen handeln.
Systeme sorgen für einen robusten, zuverlässigen Ansatz
Natürlich gibt es neben einem konformen Managementsystem noch weitere wichtige Aspekte. So ist es beispielsweise wichtig, dass es offiziell ernannte Fachleute im Unternehmen gibt, die bei Anfragen oder Zweifeln des Personals als Anlaufstelle dienen. Solche Experten können auch jedem Unternehmen helfen, die Funktion des Datenschutzes zu verbessern. Sie sorgen systematisch für Datensicherheit, indem sie Prozesse implementieren, die die Erfassung und Verarbeitung von Daten einschränken, die Qualität sicherstellen, die Aufbewahrung und Entsorgung verwalten und die Übermittlung von Daten in der Entwurfsphase eines Projekts oder bei Änderungen im Umgang mit Daten kontrollieren.
Die DNV-Umfrage ergab, dass die Unternehmen viel in die Schulung und Sensibilisierung ihrer Mitarbeiter investieren, um das Risiko menschlicher Fehler zu mindern. In Kompetenz zu investieren, ist immer ein konstruktiver Ansatz. Wir sehen die Möglichkeit, dass Unternehmen, die viel in Schulungen investieren, dies mit der Implementierung eines Datenschutzmanagementsystems nach ISO 27701 verbinden, um ein robustes, widerstandsfähigeres und zuverlässigeres System zu erhalten.
Von Nanda Kumar Shamanna, ICT Business Manager, DNV