01601 Datenschutz-Informations-Managementsystem – Wie geht das zusammen?
Datenschutzrechtliche Verantwortliche und Auftragsverarbeiter stehen zunehmend vor der Herausforderung, die einschlägigen datenschutzrechtlichen Anforderungen vollumfänglich zu managen und zu dokumentieren. Neben den datenschutzrechtlichen müssen jedoch immer auch die (normativen) Anforderungen der Informationssicherheit/IT-Sicherheit entsprechend in Angriff genommen werden.
Es ist wichtiger denn je, die jeweiligen Anforderungen ganzheitlich zu betrachten. Dafür sind unterschiedliche Ansätze denkbar, die in diesem Beitrag näher betrachtet werden. Er nennt dazu Unterschiede und vor allem Gemeinsamkeiten, die gedanklich in einem einheitlichen „Schutz von Daten – IT-Compliance-Managementsystem” zusammengeführt werden. von: |
1 Einleitung
Unterschiedliche Ökosysteme
Mit zunehmender Digitalisierung rücken die Themen Datenschutz und Informationssicherheit immer mehr in den Blickpunkt von Unternehmen. Die Akteure in den Unternehmen stellen sich die Frage, wie sie diese Themen, die in ihren Anforderungen scheinbar immer komplexer und umfassender werden, praxisorientiert behandeln können. Da der Datenschutz und die Informationssicherheit zumeist unterschiedlichen Personen anvertraut sind, entwickeln sich in den Unternehmen oft zwei unterschiedliche Ökosysteme, die in zwei komplett voneinander getrennten Managementsystemen (MS) abgebildet werden. Oft trifft man auch auf Konstellationen, in denen der eine Bereich, zumeist die Informationssicherheit, mit einem entsprechenden umfassenden, softwaregestützten ISMS abgebildet wird. Beim Datenschutz wird hingegen bildlich gesprochen auf Stift und Papier bzw. Excel- oder Word-Dokumente zurückgegriffen. Dies zeigt, welcher Stellenwert der Informationssicherheit und dem Datenschutz in der Praxis oftmals zugewiesen wird.
Mit zunehmender Digitalisierung rücken die Themen Datenschutz und Informationssicherheit immer mehr in den Blickpunkt von Unternehmen. Die Akteure in den Unternehmen stellen sich die Frage, wie sie diese Themen, die in ihren Anforderungen scheinbar immer komplexer und umfassender werden, praxisorientiert behandeln können. Da der Datenschutz und die Informationssicherheit zumeist unterschiedlichen Personen anvertraut sind, entwickeln sich in den Unternehmen oft zwei unterschiedliche Ökosysteme, die in zwei komplett voneinander getrennten Managementsystemen (MS) abgebildet werden. Oft trifft man auch auf Konstellationen, in denen der eine Bereich, zumeist die Informationssicherheit, mit einem entsprechenden umfassenden, softwaregestützten ISMS abgebildet wird. Beim Datenschutz wird hingegen bildlich gesprochen auf Stift und Papier bzw. Excel- oder Word-Dokumente zurückgegriffen. Dies zeigt, welcher Stellenwert der Informationssicherheit und dem Datenschutz in der Praxis oftmals zugewiesen wird.
Weitere Systeme
Daneben werden in diesen Organisationen zumeist auch noch ein separates Qualitätsmanagementsystem und je nach Größe des Unternehmens weitere bereichsspezifische Managementsysteme betrieben. Das wiederum führt vielfach dazu, dass mit dieser Systemvielfalt etliche Redundanzen entstehen und man als Verantwortlicher immer mehr den Überblick über seine Prozesse und Maßnahmen verliert.
Daneben werden in diesen Organisationen zumeist auch noch ein separates Qualitätsmanagementsystem und je nach Größe des Unternehmens weitere bereichsspezifische Managementsysteme betrieben. Das wiederum führt vielfach dazu, dass mit dieser Systemvielfalt etliche Redundanzen entstehen und man als Verantwortlicher immer mehr den Überblick über seine Prozesse und Maßnahmen verliert.
Prozesse und Dokumente
Man weiß daher oft auch nicht, wo welche Dokumente in welchem System eigentlich liegen und wo welche Prozesse beschrieben sind. Vielfach werden Dokumente nur in einem System abgelegt, fehlen aber in den anderen, weil diese Systeme auch keine Schnittstellen zu den anderen Managementsystemen haben. Diese und viele weitere Aspekte führen letztlich dazu, dass das Management von Datenschutz, Informationssicherheit etc. immer schwerer zu handhaben ist.
Man weiß daher oft auch nicht, wo welche Dokumente in welchem System eigentlich liegen und wo welche Prozesse beschrieben sind. Vielfach werden Dokumente nur in einem System abgelegt, fehlen aber in den anderen, weil diese Systeme auch keine Schnittstellen zu den anderen Managementsystemen haben. Diese und viele weitere Aspekte führen letztlich dazu, dass das Management von Datenschutz, Informationssicherheit etc. immer schwerer zu handhaben ist.