IT-Sicherheit und Datenschutz werden immer wichtiger und können nicht getrennt voneinander existieren. Ein Zusammenspiel ist angesichts unterschiedlicher Ziele jedoch nicht immer einfach. Zwei ausgewiesene Experten und Referenten der TÜV Nord Akademie geben Tipps, wie IT-Sicherheits- und Datenschutzbeauftragte besser zusammenarbeiten können.
Spätestens seit dem verbindlichen Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat Datenschutz für viele deutsche Unternehmen eine neue Relevanz bekommen. Insbesondere bei Online-Unternehmen wird ein funktionierender Datenschutz als Herausstellungsmerkmal verwendet, um Vertrauen zu gewinnen. Vielerorts herrscht aber oft noch Unkenntnis über relevante Bestimmungen des Datenschutzes und welche Herausforderungen im Zusammenspiel mit der IT Sicherheit bestehen. Beide Bereiche beschäftigen sich mit dem Schutz von Daten. Und wenngleich es grundsätzliche Unterschiede zwischen den Bereichen gibt, bestehen auf der anderen Seite – nicht zuletzt begründet durch die DSGVO – auch starke Überschneidungen, die von Unternehmen genutzt werden können, um ihre Effizienz zu steigern.
Unterschiedliche Risikobewertung
Verschlüsselungen, Zugriffsberechtigung, IT-Notfall-Konzepte – klassische Bereiche, die eigentlich der IT-Sicherheit zuzuordnen sind, erhalten durch die DSGVO auch eine Bedeutung für den Datenschutz. Eine der Herausforderungen: IT-Sicherheit und Datenschutz definieren unterschiedliche Risiken und haben deshalb unterschiedliche Schwerpunkte. In der IT-Sicherheit will man wirtschaftliche Werte eines Unternehmens schützen, zum Beispiel wichtige Prozesse oder Rezepturen. Beim Datenschutz stehen hingegen die Persönlichkeitsrechte von Menschen im Vordergrund. Entsprechend verschieben sich die Prioritäten. Wenn IT-Sicherheitsbeauftragte zum Beispiel bestimmte Analysen für mehr Sicherheit durchführen möchten, könnte der Datenschutz aus Persönlichkeitsschutzrechten dagegen stehen. Umgekehrt könnten Datenschutzbeauftragte die neueste Version eines Programms fordern, das sich aus IT-Sicht aber negativ auf die Virenscanner auswirkt.
Welche Schritte müssen Unternehmen ergreifen?
„Entgegen der allgemeinen Wahrnehmung ist der Datenschutzbeauftragte nicht in der Verantwortung, Prozesse umzusetzen. Seine Aufgabe liegt darin, zu überprüfen und zu beraten“, erklärt Seminarleiter Karsten Schulz vom IT-Dienstleister Datenschutz.systems. „Beide Parteien sollten sich zunächst zusammensetzen und klären, wo es Handlungsbedarf und gemeinsame Schnittstellen gibt.“ Denn um eine Umgebung zu schaffen, in der Datenschutz und IT-Sicherheit gut harmonieren, müssen die jeweiligen Beauftragten sich gegenseitig beraten und gemeinsam nach Lösungen suchen. Für solche Erkenntnisse braucht es gegenseitiges Verständnis. „Wenn beide nicht miteinander sprechen, habe ich betriebswirtschaftliche Risiken, aber auch immer Risiken für betroffene Personen“, erklärt Schulz.
Neben diesen Herausforderungen gibt es aber auch Synergien. „Die DSGVO fordert ein Management im Datenschutz“, sagt Seminarleiter Dr. Ralf Kollmann von der Unternehmensberatung Fides IT Consultants. „Auf der IT-Seite wird in gut organisierten Unternehmen bereits ein strukturiertes IT-Sicherheitsmanagement betrieben. Hier können Synergien auftreten, denn viele Strukturen der Informationssicherheit lassen sich auch im Management des Datenschutzes verwenden.“ Aus Seminaren und Beratungen in Unternehmen, haben die beiden Experten einige Praxisbeispiele gesammelt, wie sich Synergien am besten nutzen lassen.
Checkliste für eine gute Partnerschaft zwischen IT-Sicherheit und Datenschutz:
- 1. Bestandsaufnahme: Beide Seiten ermitteln getrennt voneinander ihren Bedarf: Wo bestehen Risiken? Was fordern die Aufsichtsbehörden? etc.
- 2. Interessenskonflikte überwinden: z. B. wenn aus IT-Sicht bestimmte Analysen notwendig sind, die aus Datenschutzsicht Persönlichkeitsrechte verletzen.
- 3. Auf Augenhöhe sprechen: Datenschutzbeauftrage müssen in der Lage sein, die technische Sprache der Mitarbeitenden im IT-Bereich zu verstehen. IT-Beauftragte müssen wichtige Aspekte des Datenschutzes kennenlernen.
- 4. Gemeinsamkeiten erkennen: Zum Beispiel, dass IT-Sicherheit nicht nur zur Wahrung von Betriebs- und Geschäftsgeheimnissen, sondern auch aus Datenschutzsicht erforderlich ist.
- 5. Stärken herausarbeiten: Etwa mit ausgewiesenem IT- und Datenschutz Wettbewerbsvorteile generieren, Vertrauen beim Kunden gewinnen.
- 6. Schnittstellen analysieren, Zuständigkeiten definieren: Bei welchen Aufgaben muss der oder die Datenschutzbeauftragte dazugeholt werden? Wer hat welche Kompetenzen? Ist sichergestellt, dass Datenschutzbeauftragte systematisch einbezogen werden?
- 7. Maßnahmenplan erstellen: Der Maßnahmenplan muss IT-Sicherheit und Datenschutz gleichermaßen gerecht werden und beispielsweise festlegen, dass neue Software nur nach Freigabe beider Seiten angeschafft wird.
- 8. Aufgaben clustern: Sowohl die Geschäftsleitung als auch die Mitarbeiterinnen und Mitarbeiter müssen notwendige Maßnahmen nachvollziehen können.
- 9. Akzeptanz schaffen: Die Geschäftsleitung muss die Relevanz der Umsetzung erkennen und beiden Beauftragten den Rücken stärken. Die Mitarbeitenden sollten bei der Einführung neuer Verfahren und Programme „abgeholt„ und mit möglichen Bedenken ernst genommen werden.
- 10. Gemeinsam gewinnen: Durch gute Zusammenarbeit Bußgelder und Reputationsverlust vermeiden.
Die TÜV NORD Akademie bietet für Unternehmen Unterstützung für die Praxis an. Genauere Informationen erhalten Interessierte hier:
- IT-Grundlagen und IT-Sicherheit für Datenschutzbeauftragte (für Datenschutzbeauftragte)
- Datenschutz – EU-Grundverordnung (EU-DSGVO) UND Informationssicherheit (für Informationssicherheitsbeauftragte)
