Der Traum von «nicht besonders schützenswerten Daten»

…..und wie Sie den Alptraum in 4 Schritten verhindern.

Stellen Sie sich vor, in Ihrem Unternehmen wurden über Partnerunternehmen personenbezogene Daten abgeräumt und Sie bemerken es erst Wochen später. Das ist ja per se mit jedem Datenspeicher-System möglich – ausser, Sie haben sich vorher ein Konzept für den Umgang mit personenbezogenen Daten ausgedacht und konsequent umgesetzt. Und dieses Konzept dann auch immer wieder auf seine Lebendigkeit überprüft, denn Daten sind eine lebendige Materie!

Was ein Schweizer Telekommunikationsunternehmen Anfang Februar kommuniziert hat, ist ein Traum und Bestseller fürs Darknet: Für sauber strukturierte, personenbezogene Daten wie Name, Geburtstag, Telefonnummer und Adresse besteht hohe Nachfrage. Sie machen es mit ein paar Big Data – Griffen möglich, umfassendes Profiling zu betreiben. Für die betroffenen Personen ist es hingegen ein Alptraum – im mildesten Fall fragt man sich, woher das CallCenter Telefonnummer und persönliche Angaben hat. Hier von «nicht besonders schützenswerten Daten» zu sprechen, ist mehr wie verharmlosend.

Mit den verschärften Datenschutzgesetzen wie z.B. DSGVO, welches ab Mai 2018 für den Datenverkehr mit und innerhalb der EU gilt, kommt eine gewichtige Komponente in die Diskussion der schützenwerten Daten dazu: die der Compliance und der Strafandrohung bei Missachtung.

Das Praxisbeispiel könnten wir uns als Anbieter applikatorischer IT-Sicherheit nicht besser ausdenken. Aus unserer Sicht fehlt es – gemäss Medienmitteilung und Medienberichten – genau an zwei Enden, die wir jedoch als Schlüssel zu einem ganzheitliches «GRC» (Governance, Risk, Compliance)-Konzept sehen:

  • Einerseits geht es darum, die erweiterte Wertschöpfungskette in- und ausserhalb des Unternehmens Wie wir gesehen haben, greifen in diesem Beispiel nicht nur Mitarbeiter auf diese Daten zu, sondern eben auch Partnerunternehmen. Was dürfen Partnerunternehmen wann wo wie sehen?
  • Andererseits braucht es regelmässig einen frischen Überblick über die Datenlandschaft im Unternehmen. Wo fliessen Daten in das Unternehmen? Wo werden diese gespeichert? Wer darf wann wo zugreifen, verändern, speichern? Eine visuelle Verbildlichung der Datenflüsse hilft bei der anschliessenden Klassifizierung.

Bei jeder Aus- und Überarbeitung eines Datenschutzkonzeptes wird die IT und die Fachabteilung einmal aneinandergeraten. Doch gerade hier sehen wir die grosse Chance: Durch die erhöhte Transparenz und Aufmerksamkeit kann sich auch diese interne Zusammenarbeit verbessern.

4 Schritte für die Umsetzung des neuen Datenschutzgesetzes

Wir schlagen 4 Schritte vor: von der Identifikation über die Konzeption bis zur Umsetzung:

  1. Datenidentifikation und -klassifikation im Unternehmen
  2. Ausarbeitung eines eigenen, internen Datenschutzgesetzes
  3. Konzeptionelle Aufarbeitung der Schritte 1 und 2
  4. Nutzung bestehender, technischer und organisatorischer Möglichkeiten

Dabei können sehr wohl auch bestehende Ressourcen neu und besser eingesetzt werden.

Sie möchten wissen, wie Sie das in Ihrem Unternehmen umsetzen können? Wir begleiten Sie gerne dabei und freuen uns, Ihnen unverbindlich diese 4 Schritte aufzuzeigen.

Medienmitteilung zum erwähnten Beispiel

RELATED POSTS