Datenschutz- & Cybermanagment

Datenschutzmanagement

Mit Datenschutzmanagement werden die Prozesse bezeichnet, die notwendig sind, um die Umsetzung der gesetzlichen Anforderungen des Datenschutzes bei der Planung, Einrichtung, dem Betrieb und nach Außerbetriebnahme von Verfahren zur Informationsverarbeitung sicher zu stellen.

Seit dem 25. Mai 2018 wird das BDSG durch die EU-Datenschutz-Grundverordnung (DSGVO) abgelöst. Erstmals sind nun Themen wie Datenschutz, recht auf Auskunft, Einwilligungsverpflichtung gesetzlich bindend und seither ist der Schutz personenbezogener Daten ein Grundrecht und somit einklagbar!. Erstmals stehen auf Verstöße gegen die DSGVO auch empfindliche Bußgelder und teilweise auch Freiheitsentzug.

Bislang regelt die DSGVO aber auch viele Einzelheiten recht unpräzise und läßt ein manches Mal einen nur schwer einzuschätzenden Spielraum, was nicht nur bei Unternehmen aller Größenordnungen zu einer großen Verunsicherung führt. Das Gespenst der Abmahnungen geht um und verbreitet nicht nur Angst und Schrecken, sondern schürt auch die Unsicherheit.

Alles schön und gut. Die große Frage ist aber: Wie soll in der Praxis ein Datenschutzmanagementsystem in einem Unternehmen aussehen, um in der Lage zu sein, alle Vorgaben der Datenschutz-Grundverordnung zu erfüllen?

Der beste Schutz dagegen ist ein fundiertes Wissen sowie, fast schon ein Naturgesetz, einen kompetenten und zuverlässigen Partner an der Seite zu haben, der einem in diesem komplexen Umfeld zur Seite steht. Ob Analyse, Beratung oder externer Datenschutzbeauftragter - es gilt immer noch die uralte Weisheit: vorbeugen ist besser als bohren oder, anders ausgedrückt, es ist immer besser Risiken im Vorfeld zu eleminieren, als im Nachhinein den Schaden begrenzen zu müssen - deutlich kostengünstiger ist es auch noch und rechtlich sicherer allemal. Eine Erkenntnis, die in Deutschland allerdings mit Hingabe ignoriert wird.

Cybermanagement

Datenschutzmanagement ist aber sehr viel mehr als nur DSGVO-konform zu arbeiten. Der Schutz von Daten beginnt bereits sehr viel früher, nämlich schon bei jedermanns Umgang mit seinen eigenen persönlichen Daten - facebook, Google & Co, Suchmaschinen, Vergleichsplattformen und, vor allen Dingen, die Absicherung und der Umgang mit dem eigenen Rechner.

Der uralte Satz "Ich hab‘ doch nix zu verbergen!" ist der allgegenwärtige Beweis dafür. Dieser setzt sich ein manches Mal mit dem Folgesatz "Wer nichts zu verbergen hat, der hat auch nichts zu befürchten!" fort und zeugt von einem katastrophalen Irrglauben.

Das Sicherheitsmanagement der IT ist ein überaus komplexes und weitläufiges Gebiet und kann daher auch nicht in wenigen Sätzen beschrieben werden - aus dem gleichen Grund ist in diesem Bereich auch die Kompetenz von Spezialisten gefragt und notwendig. Cybermanagement beginnt bei den Menschen und nicht bei Maschinen - eine Erkenntnis, welche nahezu flächendeckend negiert wird.

Gefahren wo man hinschaut ...

Die Standard-Angriffsszenarien liegen heutzutage längst nicht mehr nur im Bereich der gezielten Hackerangriffe. Vielmehr ist die heutige Schwachstelle Nummer 1 immer noch - oder besser gesagt "wieder" - der Anwender. Der Risikofaktor ist also der Mensch.

Namen wie Phishing, Scamming oder Tracking hört man immer wieder und Begriffe wie Emotet, Wannacry und Malware im Allgemeinen begegnen uns immer wieder in den Nachrichten. Doch was verbirgt sich wirklich dahinter und ist daran denn wirklich so gefährlich ....

Da dies nicht nur Panikmache ist erkennt man daran, daß regelmäßig ganze Behörden, Gerichte, Firmen und sogar Behörden auf Landesebene Ziele und Öpfer sind. Betroffene Unternehmen haben günstigstenfalls schwere Verluste zu beklagen, ein manches Mal sind solche Vorfälle auch existenzbedrohend. Das Gefährliche daran ist, daß diese Schadsoftware nahezu immer über eine Mail oder einen Link erfolgt und Mails sind in der heutigen Zeit ein unverzichtbares Mittel für alle berufstätigen Menschen und genau das macht diese Angriffe so gefährlich - ein einziger Mitarbeiter macht einen Fehler und gefährdet damit alle Kollegen und das gesamte Unternehmen bzw. Institut. Jeder kann also betroffen sein und zum Opfer oder eben auch zum Täter werden.

Eine der Möglichkeiten - das wichtigste und effektivste Mittel von allen - sich dagegen zu wappnen liegt darin, die Mitarbeiter möglichst umfassend zu sensibilieren und sie regelmäßig zu trainieren - nur ein solide und fundamentierte Wissensgrundlage kann helfen, einen fatalen Fehler zu vermeiden. Die Hintergründe von Phishing & Co sind jedoch derart komplex, dass sie nicht in wenigen Worten zu vermitteln sind. Daher ist es um so wichtiger, für die Mitarbeiter ein regelmäßiges Training durch erfahrene Spezialisten anzusetzen.