3-4-2017 Gedruckt am 27-05-2017 aus www.monitor.co.at/index.cfm/storyid/17198

Datenschutz-Problemzonen - Jürgen Kolb, iQSol

Datenschutz ist kein IT-Thema

Wir wissen mittlerweile, dass der ideale EU Datenschutzbeauftragte entweder ein externer Berater oder ein möglichst unabhängiger und weisungsfreier Prozessmanager in einer Stabsstelle sein sollte.

Bild: CC0 Public Domain - pixabay.com

 Da das Thema Datenschutz eigentlich kein Security Thema ist, sollte auch die IT-Abteilung außen vor gehalten werden und lediglich als "Aufgaben-Erfüller & Informationszuträger" gesehen werden.  Starke Involvierung des Personalmanagements ist aber ebenso erforderlich, wie das prozessuale Vorgehen und Handeln der Stellen, die für Qualitätsmanagement/Zertifizierungen und ISO-Standards zuständig sind. Hier ist im Idealfall auch der weisungsfreie (!) Datenschutzbeauftragte angesiedelt.
 
Eine eigene Rechtsabteilung ist natürlich immer ein Asset, wobei aber zu bezweifeln ist, ob dem Thema bisher die nötige Aufmerksamkeit geschenkt wurde. Es macht also durchaus Sinn, den Datenschutzbeauftragten nicht in der Rechtsabteilung anzusiedeln sondern als Externen zuzukaufen. Damit wäre auch die Unabhängigkeit und die Durchsetzungskraft leichter darzustellen.
 
Datenschutz ist ein Querschnittsthema und beschäftigt den Betriebsrat genauso wie die Marketingabteilung als Herrscherin der Kundendaten und des Kaufverhaltens. Die Personalabteilung hat die Bewerberdaten zu schützen und Prozesse transparent zu halten. Was geschieht mit den Daten der vielen Bewerber, die nicht zum Zuge kamen? Diese werden hoffentlich ehest gelöscht, um das Risiko zu minimieren, dass diese online gehen. Dem entgegengesetzt steht der Wunsch, einen langjährigen Bewerber-Pool aufzubauen. Ob dieser jemals seinen Zweck erfüllt, sei dahingestellt. Eine Verschlüsselung von Datentransfers und -Speicherung ist jedenfalls verpflichtend und in der "Karriere-Cloud" unerlässlich, wo dies vertraglich explizit zugesichert werden muss. Ein Passwort zur Personaldatenbank wird vor Gericht nicht reichen, wenn tausende "potentielle Mitarbeiter" ihre Bewerbungsunterlagen öffentlich einsehen können, wie gerade bei einem skandinavischen Konzern.
 
Weiter sind die Lohn- und Gehaltsdaten immer von höchster Priorität und Vertraulichkeit und somit ist zu protokollieren, wer wann wo welche Daten eingegeben, verändert oder gelöscht hat. Datenschutz umfasst auch eine Risikoanalyse, die nicht von der eigenen IT-Security durchgeführt werden sollte, sondern von externen Auditoren. Nicht nur den bewussten wie den unabsichtlichen Datenverlust gilt es zu verhindern, sondern auch den schicksalshaften. Notfallszenarien sind also genauso einzuplanen wie Kaskadeneffekte – sprich wenn zum Unglück auch noch Pech hinzukommt: Jeder kennt die fremden Situationen, wenn der Stromausfall zu Datenverlust führt, der junge Mitarbeiter zur Unzeit updatet oder zum Hochwasser auch noch ein Dammbruch kommt.
 
Gesamtheitliches, unternehmerisches Denken ist die beste Voraussetzung, um aus einem Datenschutz-Projekt einen Prozess zu etablieren. Dieser sollte sich genauso in die ISO- Welt wie in das bestehende oder neue Information Security Management System (ISMS) einfügen. Dann werden erhebliche Synergien gehoben und ein Mehrwert generiert.
 
Jürgen Kolb, Managing Director des IT-Security-Anbieters iQSol, geht dieses Jahr in der Serie "Datenschutz-Problemzonen" regelmäßig kurz und prägnant auf einzelne Aspekte des Themas Datenschutz ein, die als Denkanstoß dienen sollen. Mehr zum Thema auch unter diedatenschuetzer.at.
 
Bisher veröffentlicht: