Kein Datenschutz ohne Informationssicherheit und Datenkompetenz
Die Umsetzung des neuen Datenschutzgesetzes fordert von den Gemeinden neue Kompetenzen. Mit einem intelligenten Datenschutz-Management lassen sich die Anforderungen der Informationssicherheit und der Datenkompetenz vereinen. Dazu braucht es Werkzeuge, mit welchen sich die unterschiedlichen Anforderungen abbilden lassen und die es ermöglichen, die Kernanforderungen an die Datenschutzverfahren zu gewährleisten. Mit den hier vorgestellten Vorgehensweisen und Werkzeugen wird dies gelingen.
Obwohl das CH-Datenschutzgesetz über 30 Jahre alt ist, hat die Novellierung des Gesetzes, welches am 1. September 2023 in Kraft tritt, unerwartet hohe Wellen geworfen.
In diesem Blogartikel soll es aber mehr darum gehen, was bei der Umsetzung des neuen Datenschutzrechts aus praktischer Sicht im Vordergrund stehen sollte. Dabei geht es primär um die folgenden drei Themenbereiche:
- Datenkompetenz
- Informationssicherheit
- Datenschutz-Management
Ganz offensichtlich sind diese Themen irgendwie verwandt. Es bietet sich also an, sie im Rahmen der organisatorischen Umsetzung zusammenzuführen. Dies gilt vor allem für kleinere Gemeinden, die sich nicht für jeden Themenbereich eigene Spezialisten oder externe Berater leisten können.
Datenkompetenz
Geschützt werden kann nur das, was man kennt. Oder anders gesagt: Kenntnisse über Daten sind unerlässlich, um sowohl den Datenschutzanforderung gerecht zu werden wie auch Informationssicherheitsmassnahmen umsetzen zu können. Das ist dann einfach, wenn man über eine zentrale Applikation verfügt, in welcher die meisten Daten anfallen und auch gut geführt werden können. Leider sieht aber die Realität meistens anders: Daten sind in x verschiedenen Applikationen gespeichert, liegen verstreut auf Verzeichnissen oder Laufwerken oder sind auf bekannten oder unbekannten Cloud-Servern gespeichert. Sowohl das Datenschutzrecht wie auch Risikomanagement verlangen, dass die Verantwortlichen jederzeit wissen, wo (Personen‑)Daten liegen. Es müssen Überlegungen angestellt werden, wie mögliche Redundanzen und andere Qualitätsprobleme angegangen werden können. Daten müssen jederzeit und fristgerecht aufgefunden und gelöscht werden können. Diese Fähigkeiten kann man mit dem Begriff Datenkompetenz (oder Information Governance) umschreiben.
Informationssicherheit
Auch hier gilt, Sie können nur das schützen, was sie kennen. Während man früher den Schutz vor allem auf die technischen Komponenten fokussiert hatte, stehen heute die Daten im Vordergrund. Auch die Informationssicherheit verlangt nach einer umfassenden Kontrolle der Daten. Eine Risikobeurteilung ist nur dann möglich, wenn Sie sowohl Ihre Daten, die verwendeten Systeme und Auftragnehmer wie auch die damit verknüpften Dienste kennen. Informationssicherheit fokussiert sich bekannterweise auf die Themen Vertraulichkeit, Integrität, Verfügbarkeit und Rechtsgültigkeit. Alle vier Themen lassen sich nur dann gegeneinander abwägen und nur dann sind die richtigen Massnahmen möglich, wenn eine Inventarisierung der Daten vorhanden ist.
Datenschutzmanagement
Während die Informationssicherheit in den letzten Jahren durch viele Organisationen in irgendeiner Form angegangen wurde, ist dies beim Datenschutz nur punktuell der Fall. Datenschutz bezog sich vielfach auf Themen wie Videoüberwachung, Arbeitsplatzüberwachung, Datenweitergabe oder die öffentliche Diskussion im Zusammenhang mit Datenlecks. Meistens wurden diese Themen nur im Einzelfall angegangen und es gab keine umfassende Betrachtung. Richtig umsetzen bedeutet, dies systematisch zu tun. Für Gemeinden gibt es dazu Lösungen, die eine wesentliche Vereinfachung der Aufgaben ermöglichen. Dies deshalb, weil viele der Aufgaben im Rahmen des Datenschutzes ja repetitive sind und in den meisten Organisationen in ähnlicher Weise ausgeführt werden müssen. Damit ein Datenschutzbeauftragter seine Arbeit machen kann, hilft ihm dabei ein praxisorientiertes Werkzeug. Wir setzen dazu das Werkzeug Lineback (lineback.io). ein, welches durch Datenschutzbeauftragte für den deutschen Markt und die DSGVO entwickelt, mittlerweile aber auch für das neue CH-Datenschutzrecht adaptiert wurde. Es dient primär dazu, die erwähnten Management-Aufgaben zu zentralisieren und zu steuern, u. a. um die harten Fristen der Gesetze einhalten zu können.
Lineback vereinfacht die Arbeit des Datenschutzbeauftragten/-beraters wesentlich. Die zu Beginn mühseligen Inventarisieru
ngsarbeiten und Erfassung der Verarbeitungen sind hier bereits vorkonfektioniert und einfach zu konfigurieren. Gerade kleinere Organisationen haben meist keine Möglichkeit, sich einen internen Datenschutzbeauftragten zu leisten. In diesen Fällen lohnt es sich, einen externen Datenschutzbeauftragten einzusetzen, der mit Lineback arbeitet. Dieses cloudbasierte Werkzeug bietet die wichtigsten Verfahren des Datenschutz-Managements, kann aber auch zentrale Anforderungen an die Datenkompetenz abdecken. Dies ermöglicht es, die ab September auch in der Schweiz geforderten Prozesse wie Auskunftserteilung oder Löschung fristgerecht umzusetzen. Durch die umfassende Dokumentation der technisch-organisatorischen Massnahmen zur Datensicherheit (TOMs) wird auch die notwendige Transparenz der Sicherheitsmassnahmen geschaffen, wie sie z. B. für die Verarbeitung durch Dritte (Auftragsverarbeitung) wichtig ist.
Fazit: Ein Datenschutz-Management-Tool kann viele Aufgaben wesentlich vereinfachen und ermöglicht die Zusammenführung verwandter Themen unter einem Hut. Es verhindert damit Redundanzen in den Prozessen und ermöglicht ein effizientes Risikomanagement.
PS: Informationen zu lineback.io erhalten Sie direkt bei uns oder beim Hersteller. Vor dem Einsatz von lineback.io empfiehlt sich in jedem Fall ein einführender Assessment Workshop.
