Viele Gesellschaften, ein Datenschutz

"Für das Oberlinhaus ist der Schutz der persönlichen Daten die Grundlage in der Zusammenarbeit mit unseren Klienten, Schülern und zugleich Grundlage der Zusammenarbeit der Kollegen aber auch mit Lieferanten und weiteren Stakeholdern", so Thomas Werner, Innenrevisor des Verein Oberlinhaus. Ein starkes Statement, das viel Verantwortung nach sich zieht. In einem Verein, der 10 Unternehmen umfasst und viele verschiedene Arten von Daten verarbeitet, kann der Datenschutz leicht zur Herausforderung werden, bestätigt unser Julian Lang, Berater für Datenschutz und Informationssicherheit beim Verein Oberlinhaus.

Zunächst sammelte der Verein Oberlinhaus Erfahrungen mit einem Team von internen Datenschutzbeauftragten. Das erwies sich jedoch als problematisch: „Im Verlauf der Zeit hat sich gezeigt, dass es sehr unterschiedliche Auslegungen der gesetzlichen Vorschriften gibt“, erklärte Herr Werner. Dass es dadurch zu internen Unruhen und Diskussionen kommen kann, scheint vorprogrammiert.Es musste also eine andere Lösung gefunden werden. Doch, wer ist dieser Aufgabe gewachsen? Immerhin handelt es sich bei dem Verein Oberlinhaus um ein großes Unternehmen mit vielen Gesellschaften und verschiedensten Verarbeitungstätigkeiten. Zusätzlich werden dort auch sehr sensible personenbezogene Daten verarbeitet und „diese sind besonders schützenswert“, so Julian Lang. Wo soll man da anfangen? Wie werden alle Verarbeitungstätigkeiten berücksichtigt und wie behält man auch bei internen Veränderungen den Überblick?

Ein Datenschutzmanagementsystem (DSMS) sichert und dokumentiert die Einhaltung des Datenschutzes. Es umfasst die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, um Datenschutz dauerhaft zu definieren und zu steuern über das gesamte Unternehmen hinweg. Dadurch lassen sich definierte Verfahren und Richtlinien aufrechterhalten und es erfüllt vor allem die Rechenschafts- und Nachweispflichten, die sich aus der geltenden Datenschutzgesetzgebung ergeben. Die sorgfältige Umsetzung eines DSMS verbessert auch die Qualität der gespeicherten Daten. Bessere Datenqualität unterstützt die Entscheidungsfindung und ermöglicht es Unternehmen, fundierte und präzise Entscheidungen zu treffen. Darüber hinaus kann ein effektives Datenschutzmanagementsystem als Wettbewerbsvorteil genutzt werden. Unternehmen, die den Datenschutz ernst nehmen und dies durch ein DSMS nachweisen können, heben sich positiv von der Kon-kurrenz ab und positionieren sich als vertrauenswürdige und verantwortungsbewusste Partner. Schließlich ermöglicht ein DSMS eine schnelle und strukturierte Reaktion auf Datenschutzvorfälle. Durch festgelegte Verfahren und Protokolle können Unternehmen bei Datenpannen schnell handeln und die Auswirkungen minimieren. Ein funktionierendes DSMS wird regelmäßig hinterfragt, verbessert und ergänzt, um den Datenschutz zu gewährleisten. Dabei gibt es keine „onesize fits all“-Lösung. Ein DSMS ist immer individuell auf eine Organisation zugeschnitten.

Althammer & Kill wurde so mit der Aufgabe betraut, Licht ins Dunkel und Ordnung in den Datenschutz zu bringen. Schritt eins war hierbei eine Bestandsaufnah-me, „um das aktuelle Datenschutz-Niveau zu erfassen“, so Julian Lang. Nachdem ein Ist-Zustand festgestellt wurde, konnten darauf Maßnahmen abgeleitet werden, die darauf abzielten, ein Datenschutz-Managementsystem zu etablieren und langfristig umzusetzen. Ein wichtiger Bestandteil ist dabei die Risikobewertung. Mit dieser werden Datenschutzrisiken identifiziert und bewertet, um Maßnahmen zur Risikominderung zu entwickeln und umzusetzen. Ein Teil dieser Risikobewertung ist die Datenschutz-Folgenabschätzung. Diese Analyse untersucht die Auswirkungen von Datenverarbeitungsprozessen auf den Datenschutz und hilft, potenzielle Risiken frühzeitig zu erkennen und zu adressieren. So ergab sich eine lange Liste, mit „über 100 Maßnahmen“ in unterschiedlichen Risikoklassifizierungen. Aber, wer soll die umsetzen?

Ein externer Datenschutzbeauftragter bzw. extern örtlich Beauftragter für den Datenschutz zeichnet sich vor allem dadurch aus, dass er extern, also nicht ständig beim Kunden vor Ort ist. Doch gerade bei großen Organisationen und einer solch langen Liste an Verarbeitungstätigkeiten muss der Überblick behalten werden. So wurde ein Team aus Datenschutzkoordinatoren vor Ort zusammengestellt. Diese erhielten, nach einer entsprechenden Schulung, die Aufgabe, Veränderungen von Verarbeitungen, Umsetzungen von Maßnahmen und weitere Aspekte, die Anpassungen im DSMS nach sich ziehen würden, zu dokumentieren und dem externen Datenschutzbeauftragten mitzuteilen. Dazu wurde ein „Datenschutzkoordinatoren Jour Fixe implementiert“, so Werner. In einer Datenschutz-Cloud werden Ergebnisse dokumentiert, die auch als Grundlage für interne Audits dienen und so kann das DSMS sich immer weiterentwickeln und verbessern.

Herr Lang führt regelmäßig interne Audits durch, um die Einhaltung des Datenschutzes zu überprüfen. Die Datenschutzkoordinatoren unterstützen diesen Prozess, indem sie die notwendigen Daten und Dokumentationen bereitstellen und die Umsetzung der empfohlenen Maßnahmen sicherstellen. Diese Audits helfen, Schwachstellen im DSMS zu identifizieren und kontinuierliche Verbesserungen vorzunehmen. Alle Verantwortlichen sind immer auf dem neuesten Stand und es werden ständig neue Empfehlungen ausgesprochen, wodurch der Datenschutz nachhaltig gewährleistet wird. Dabei ist uns von Althammer & Kill aber auch dem Oberlinhaus besonders wichtig, dass Datenschutz als Chance verstanden wird und nicht als Digitalisierungsbremse.