Haben Sie den Datenschutz in Ihrem Managementsystem integriert?
Datenschutz im Managementsystem
In diesem Blogbeitrag können Sie sich über die Integration von Datenschutz in Ihr Managementsystem informieren. Was hat es mit dem Schutz von Daten auf sich? Die Gewährleistung von Qualität und Informationssicherheit hat in Unternehmen eine hohe Priorität. Eigens dafür etablierte Managementsysteme, wie das Informationssicherheitsmanagementsystem (ISMS) und das Qualitätsmanagementsystem (QMS), zeugen davon. Wer die Informationssicherheit sensibler Daten im digitalen Informationszeitalter ernst nimmt, kommt nicht um die Integration von Datenschutz in das eigene Managementsystem herum. Im Angesicht von Cyberattacken auf Unternehmen und Regierungen wächst die Bedeutung eines umfassenden Schutzes von Daten. Die Lage in Deutschland beschreibt Hans-Georg Maaßen, der Präsident des Bundesamtes für Verfassungsschutz, laut dem Tagesspiegel, in einem Interview mit der Nachrichtenagentur Reuters: „Von der deutschen Wirtschaft ist mal die Zahl von mindestens 50 Milliarden als Schaden beziffert worden, aber ich denke mir, das Dunkelfeld dürfte wesentlich größer sein.“ Der Cyber Security Report der Telekom von 2015 scheint dies zu bestätigen. Für die repräsentative Studie wurden insgesamt 645 Telefoninterviews mit Abgeordneten und wichtigen Führungskräften aus mittleren und größeren Unternehmen geführt. Davon gaben 90% an, bereits einen Cyberangriff verzeichnet zu haben. Und 60% der Befragten sehen sich gegen Cyberangriffe richtig gewappnet. In einem Zeitalter, in welchem Industrie 4.0 in Deutschland ein wichtiger Standortfaktor geworden ist, sind das 40%, die sich nicht ausreichend gegen Cyberangriffe schützen.
Cyberangriffe auf Europa
Cyberangriffe spielen auch in anderen europäischen Staaten eine leidliche Rolle. Die EU reformierte deshalb 2012 ihre Datenschutzgesetze. Die Reform EU DSGVO enthält die Datenschutzgrundverordnung. Durch sie sollen Datenschutzrechte innerhalb der EU vereinheitlicht werden. Dazu zählen die Regelung der Rechtsgrundlagen für die Datenverarbeitung, die Pflichten der Verantwortlichen und die Rechte der Betroffenen. Die Verordnung tritt am 25.05.2018 für alle Unternehmen in Deutschland verbindlich in Kraft.
Grundlegend bedeutet das für Sie, dass Sie die Anforderungen der Verordnung auf Ihr Unternehmen überprüfen sollten. Gegebenenfalls sollten Sie den Schutz von Daten in Ihrem Unternehmen neu regeln. Wenn Sie sich nun denken, dass Sie das nichts angehe, sollten Sie das angesetzte Strafmaß beachten. Die EU sieht ein Strafmaß von bis zu 20 Millionen Euro vor, wenn die Verordnung nicht erfüllt wird. Weiterhin sollte Ihnen die Qualität personenbezogener Daten wichtig sein. Sie möchten bestimmt auch nicht, dass Ihre Daten in den Händen von Hackern landen. Hinzu kommt das Problem der Wirtschaftsspionage. Personenbezogene Daten spielen da eine weniger große Rolle, aber der Schutz sensibler, wirtschaftsrelevanter Daten sollte nicht auf die leichte Schulter genommen werden. Was können Sie tun?
Bestehende Managementsysteme transformieren
Die EU DSGVO schreibt, laut Artikel 35, ein Risikomanagement vor. Außerdem sieht sie, gemäß Artikel 33, die Meldung von Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden vor. Ein weiteres Beispiel ist der Artikel 30. Demnach müssen Sie angeben, wie Sie personenbezogene Daten verarbeiten. Das müssen Sie durch die Erstellung eines Verfahrensverzeichnisses gewährleisten. Es ist sinnvoll und zweckmäßig den Schutz personenbezogener Daten oder sensibler Daten in bestehende QMS oder ISMS zu integrieren.
Um nicht gegen die Verordnung zu verstoßen und eine effiziente Lösung umzusetzen, können Sie für das vorgeschriebene Risikomanagement beispielsweise das Risikomanagement aus dem QMS nach ISO 9001:2015 einfach auf den Schutz von Daten übertragen. Weiterhin finden Sie in Ihrem QMS bereits eine Regelung zum Umgang mit Beschwerden. Auch dieses, bereits bestehende Konzept, können Sie übertragen, um nicht gegen den Artikel 33 zu verstoßen.
Artikel 30 fordert, dass Sie in einem Verfahrensverzeichnis darlegen, wie Sie personenbezogene Daten verarbeiten. Das finden Sie heute schon im Bundesdatenschutzgesetz. Datenschutzverarbeitungstätigkeiten können Sie als Prozesse in Ihr QMS übertragen, ähnlich wie Sie Fertigungsprozesse erfassen und darstellen. Diese und weitere Anknüpfungspunkte können Sie effizient umsetzen.
Wenn Sie Tipps und Ratschläge brauchen oder sogar kompetente Unterstützung wünschen, melden Sie sich bei uns. Wir helfen Ihnen schnell und maßgeschneidert bei einer Lösung für eine gelungene Integration zum Schutz Ihrer Daten.
Bildnachweis: (C) Harald Landsrath, CC0 v1.0, Pixabay
Quellen:
http://www.tagesspiegel.de/politik/cyberangriffe-auf-unternehmen-attacken-von-unbekannter-groesse/9071700.html
https://www.telekom.com/de/medien/medieninformationen/detail/cyber-security-report-2015–sind-cyber-angriffe-das-groesste-risiko-fuer-industrie-4-0–349260
http://ec.europa.eu/justice/data-protection/reform/index_en.htm
[…] Datenschutz und der korrekte Umgang mit personenbezogenen Daten – also Daten, die sowohl Ihre Kunden als auch Ihre Mitarbeiter oder Bewerber betreffen – sind gegenwärtig von besonderer Relevanz. Dies umfasst jedoch nicht nur deren Nutzung und Speicherung. Auch die Entsorgung und Vernichtung muss nach der geltenden EU-Datenschutzgrundverordnung (DSGVO) unter Einhaltung spezifischer Richtlinien erfolgen, nach der beispielsweise ein grober Papierstreifen erzeugender Schredder nicht ausreicht. Die geltenden Vernichtungsempfehlungen sind den Schutzklassen und Sicherheitsstufen der DIN 66399 (https://www.tuev-sued.de/fokus-themen/it-security/din-66399/din-66399-schutzklassen-und-sicherheitsstufen) zu entnehmen. […]