Viele Gesellschaften, ein Datenschutz

Viele Gesellschaften,
ein Datenschutz
Case Study
Datenschutz

Ein Datenschutz-Managementsystem für den Verein Oberlinhaus

"Für das Oberlinhaus ist der Schutz der persönlichen Daten die Grundlage in der Zusammenarbeit mit unseren Klienten, Schülern und zugleich Grundlage der Zusammenarbeit der Kollegen aber auch mit Lieferanten und weiteren Stakeholdern", so Thomas Werner, Innenrevisor des Verein Oberlinhaus. Ein starkes Statement, das viel Verantwortung nach sich zieht. In einem Verein, der 10 Unternehmen umfasst und viele verschiedene Arten von Daten verarbeitet, kann der Datenschutz leicht zur Herausforderung werden, bestätigt unser Julian Lang, Berater für Datenschutz und Informationssicherheit beim Verein Oberlinhaus.

Interview Verein Oberlinhaus

Wir haben mit Thomas Werner, Innenrevisor des Verein Oberlinhaus und Julian Lang, Berater Datenschutz & Informationssicherheit bei Althammer & Kill, über die Einführung eines Datenschutzmanagement Systems gesprochen.

Das Oberlinhaus ist ein diakonischer Anbieter für spezialisierte Leistungen in den Bereichen Teilhabe, Gesundheit, Bildung und Arbeit. Menschen bilden, begleiten und behandeln – ist seit über 150 Jahren der Fokus des Oberlinhaus. Der Verein setzt sich aus 14 Gesellschaften
an 27 Standorten in Potsdam, Michendorf, Bad Belzig, Kleinmachnow, Werder (Havel), Berlin und Wolfsburg mit rund 2.100 Menschen zusammen. Sie alle erbringen täglich ein breites Spektrum an sozialen Dienstleistungen, um die Lebensqualität von Patientinnen und Patienten sowie Klientinnen und Klienten zu verbessern.Der unmittelbare Dienst von Menschen an Menschen steht dabei im Zentrum der Arbeit. Zu den Einrichtungen gehören Kindergärten, Schulen, Berufsbildungswerke, orthopädische Fachkliniken, Rehakliniken und-zentren sowie Wohnstätten und Werkstätten.

Datenschutz ist nicht gleich Datenschutz

Zunächst sammelte der Verein Oberlinhaus Erfahrungen mit einem Team von internen Datenschutzbeauftragten. Das erwies sich jedoch als problematisch: „Im Verlauf der Zeit hat sich gezeigt, dass es sehr unterschiedliche Auslegungen der gesetzlichen Vorschriften gibt“, erklärte Herr Werner. Dass es dadurch zu internen Unruhen und Diskussionen kommen kann, scheint vorprogrammiert.Es musste also eine andere Lösung gefunden werden. Doch, wer ist dieser Aufgabe gewachsen? Immerhin handelt es sich bei dem Verein Oberlinhaus um ein großes Unternehmen mit vielen Gesellschaften und verschiedensten Verarbeitungstätigkeiten. Zusätzlich werden dort auch sehr sensible personenbezogene Daten verarbeitet und „diese sind besonders schützenswert“, so Julian Lang. Wo soll man da anfangen? Wie werden alle Verarbeitungstätigkeiten berücksichtigt und wie behält man auch bei internen Veränderungen den Überblick?

1

Herausforderung & Ziel

Datenschutz
beherrschbar machen
viele Verarbeitungstätigkeiten
viele Gesellschaften
hinsichtlich des Daten-
schutzes zusammenfassen

2

Lösung

Bestellung eines externen
Datenschutzbeauftragten
Aufbau eines DSMS
Ausbildung von internen
Datenschutzkoordinatoren

3

Lösung

Datenschutz wird über
Gesellschaftsgrenzen hinweg
gleich organisiert.
Alle Verantwortlichen haben
alle relevanten Informationen.
Es kann auf Veränderungen
schnell reagiert werden.

Das Datenschutz- Managementsystem

Ein Datenschutzmanagementsystem (DSMS) sichert und dokumentiert die Einhaltung des Datenschutzes. Es umfasst die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, um Datenschutz dauerhaft zu definieren und zu steuern über das gesamte Unternehmen hinweg. Dadurch lassen sich definierte Verfahren und Richtlinien aufrechterhalten und es erfüllt vor allem die Rechenschafts- und Nachweispflichten, die sich aus der geltenden Datenschutzgesetzgebung ergeben. Die sorgfältige Umsetzung eines DSMS verbessert auch die Qualität der gespeicherten Daten. Bessere Datenqualität unterstützt die Entscheidungsfindung und ermöglicht es Unternehmen, fundierte und präzise Entscheidungen zu treffen. Darüber hinaus kann ein effektives Datenschutzmanagementsystem als Wettbewerbsvorteil genutzt werden. Unternehmen, die den Datenschutz ernst nehmen und dies durch ein DSMS nachweisen können, heben sich positiv von der Kon-kurrenz ab und positionieren sich als vertrauenswürdige und verantwortungsbewusste Partner. Schließlich ermöglicht ein DSMS eine schnelle und strukturierte Reaktion auf Datenschutzvorfälle. Durch festgelegte Verfahren und Protokolle können Unternehmen bei Datenpannen schnell handeln und die Auswirkungen minimieren. Ein funktionierendes DSMS wird regelmäßig hinterfragt, verbessert und ergänzt, um den Datenschutz zu gewährleisten. Dabei gibt es keine „onesize fits all“-Lösung. Ein DSMS ist immer individuell auf eine Organisation zugeschnitten.

„Die Herausforderung bestand vor allem in der Größe des Oberlinhaus mit vielen sensiblen personenbezogenen Daten.“

Julian Lang
Julian Lang
Berater für Datenschutz und Informationssicherheit

Ein neuer Ansatz

Althammer & Kill wurde so mit der Aufgabe betraut, Licht ins Dunkel und Ordnung in den Datenschutz zu bringen. Schritt eins war hierbei eine Bestandsaufnah-me, „um das aktuelle Datenschutz-Niveau zu erfassen“, so Julian Lang. Nachdem ein Ist-Zustand festgestellt wurde, konnten darauf Maßnahmen abgeleitet werden, die darauf abzielten, ein Datenschutz-Managementsystem zu etablieren und langfristig umzusetzen. Ein wichtiger Bestandteil ist dabei die Risikobewertung. Mit dieser werden Datenschutzrisiken identifiziert und bewertet, um Maßnahmen zur Risikominderung zu entwickeln und umzusetzen. Ein Teil dieser Risikobewertung ist die Datenschutz-Folgenabschätzung. Diese Analyse untersucht die Auswirkungen von Datenverarbeitungsprozessen auf den Datenschutz und hilft, potenzielle Risiken frühzeitig zu erkennen und zu adressieren. So ergab sich eine lange Liste, mit „über 100 Maßnahmen“ in unterschiedlichen Risikoklassifizierungen. Aber, wer soll die umsetzen?

Unterstützung vor Ort

Ein externer Datenschutzbeauftragter bzw. extern örtlich Beauftragter für den Datenschutz zeichnet sich vor allem dadurch aus, dass er extern, also nicht ständig beim Kunden vor Ort ist. Doch gerade bei großen Organisationen und einer solch langen Liste an Verarbeitungstätigkeiten muss der Überblick behalten werden. So wurde ein Team aus Datenschutzkoordinatoren vor Ort zusammengestellt. Diese erhielten, nach einer entsprechenden Schulung, die Aufgabe, Veränderungen von Verarbeitungen, Umsetzungen von Maßnahmen und weitere Aspekte, die Anpassungen im DSMS nach sich ziehen würden, zu dokumentieren und dem externen Datenschutzbeauftragten mitzuteilen. Dazu wurde ein „Datenschutzkoordinatoren Jour Fixe implementiert“, so Werner. In einer Datenschutz-Cloud werden Ergebnisse dokumentiert, die auch als Grundlage für interne Audits dienen und so kann das DSMS sich immer weiterentwickeln und verbessern.

„Althammer & Kill hat eine sehr gute strukturierte Herangehensweise und versteht den Schutz persönlicher Daten als Grundlage für zukünftige Digitalisierungsprozesse“

Thomas Werner
Innenrevisor des Verein Oberlinhaus

Und wie läuft das so?

Herr Lang führt regelmäßig interne Audits durch, um die Einhaltung des Datenschutzes zu überprüfen. Die Datenschutzkoordinatoren unterstützen diesen Prozess, indem sie die notwendigen Daten und Dokumentationen bereitstellen und die Umsetzung der empfohlenen Maßnahmen sicherstellen. Diese Audits helfen, Schwachstellen im DSMS zu identifizieren und kontinuierliche Verbesserungen vorzunehmen. Alle Verantwortlichen sind immer auf dem neuesten Stand und es werden ständig neue Empfehlungen ausgesprochen, wodurch der Datenschutz nachhaltig gewährleistet wird. Dabei ist uns von Althammer & Kill aber auch dem Oberlinhaus besonders wichtig, dass Datenschutz als Chance verstanden wird und nicht als Digitalisierungsbremse.

Nochmal in Ruhe nachlesen?

Um Ihnen ein komfortableres Lesen und Speichern unserer Inhalte zu ermöglichen, bieten wir alle wichtigen Informationen und Artikel auch als PDF-Download an. Die PDFs können bequem auf Ihrem Gerät gespeichert und jederzeit, auch offline, gelesen werden. Darüber hinaus lassen sich die Dokumente einfach mit anderen Personen teilen. Bewahren Sie die Inhalte übersichtlich in Ihrem digitalen Archiv auf und genießen Sie das bequeme Lesen unserer Artikel.

Sie möchten unsere nächste Case Study werden?

Kontaktieren Sie uns gerne. Unsere Experten stehen Ihnen jederzeit zur Verfügung. Informationen zum Umgang mit Ihren Daten können Sie unseren Datenschutzhinweisen entnehmen.

zurücksetzen