Datenschutz ist Kommunikation

- November 26, 2015

Foto: N.Balazs

Wir teilen unser Büro mit der Coaching-Agentur menschenkenner. Deren Slogan auf unserem neuen gemeinsamen Firmenschild – „Für das Wichtigste im Unternehmen“ – ließ mich spontan denken: das Wichtigste im Unternehmen ist Datenschutz und Informationssicherheit! Hatte ich doch gerade zuvor wieder Meldungen über umfangreiche Datenverluste gelesen. Sicher … das wäre übertrieben und vermessen zu behaupten, aber in Anbetracht der Folgen der inzwischen tatsächlich allgegenwärtigen Datenpannen könnte man schon auf die Idee kommen. Ich weiß nicht, was die Kolleginnen aus dem Coaching als das Wichtigste im Unternehmen genau im Sinn haben; Datenschutz wird es sicher nicht sein.

Etwas, das Coaching und Datenschutz aber in der Tat gemeinsam als sehr hoch einschätzen, ist die Wichtigkeit von Kommunikation im Unternehmen. Während die Kommunikation quasi das originäre Werkzeug eines Coaches ist, denkt man beim Stichwort Datenschutz allerdings eher nicht daran. Zu Unrecht, denn nach unserer langjährigen Erfahrung als Beraterinnen und externe betriebliche Datenschutzbeauftragte hängt der erfolgreiche Aufbau eines Datenschutz- und Informationssicherheitsmanagements sehr von guter Kommunikation ab; nicht nur zwischen Berater und Mandant, sondern vor allem auch innerhalb des Unternehmens.

Gerade in Bezug auf unbeliebte Themen, und dazu zählen Datenschutz und Informationssicherheit, verläuft die Kommunikation im Unternehmen oft ungefähr wie in dem nachfolgenden Dialog verdichtet skizziert.

Schwierige Dialoge

Geschäftsführung: Wir müssen uns absichern gegen Angriffe auf unser Netzwerk. Sind wir ausreichend abgesichert?
IT-Verantwortliche: Wir sind nicht ausreichend abgesichert. Wir brauchen eine Software, die Zugriffe auf unser Netzwerk protokolliert und automatisiert auswertet.
Geschäftsführung: Das ist zu teuer. Schlagen Sie mir etwas anderes vor.
IT-Verantwortliche: Das muss aber sein.

Auf diese Weise ist das Gespräch über die Notwendigkeit der Etablierung von Informationssicherheit dann oft ganz schnell wieder beendet und beide Seiten sehen sich unverstanden und frustriert. Natür-lich habe ich den Dialog jetzt sehr verkürzt und komprimiert, aber trotzdem ist er in verschiedenen Varianten real. Ein anderes Beispiel, bei der die IT-Abteilung die Initiative ergreift, wäre:

IT-Verantwortlicher: Wir müssen eine Passwortkonvention einführen. Die Passwörter müssen eine Mindestlänge haben und regelmäßig gewechselt werden.
Geschäftsführung: Das geht nicht. Ich will mich nicht mit komplizierten Passwörtern anmelden müssen. Wenn Sie das durchsetzen, müssen Sie mit arbeitsrechtlichen Konsequenzen rechnen.

Nicht mehr real in der heutigen Zeit, meinen Sie? Das dachte ich auch, bis mir kürzlich ein Zuhörer bei einem Vortrag genau das berichtete.

 

Schafe

 

Raus aus der Sackgasse

Die Unterbrechung solcher totlaufender Kommunikation kann nur gelingen, wenn man sich im ersten Schritt über die Ziele klar wird. Es nützt nichts, seitens der Geschäftsführung an die IT-Verantwortlichen die Anweisung zu geben, sich mal irgendwie um Sicherheit zu kümmern (oder umgekehrt). Das Ziel muss die Geschäftsführung definieren (siehe mein Artikel Datenschutz ist Führungsaufgabe). Schon der Prozess der Festlegung der Sicherheitsziele ist allerdings nur Hand in Hand mit den IT-Verantwortlichen zu organisieren – in der Regel wissen Geschäftsführungen oder Vorstände nichts über die Feinheiten eines möglichen Sicherheitsvorfalls und das Funktionieren von technischen Schutzsystemen. Sofern vorhanden, ist es sinnvoll auch die betrieblichen Datenschutzbeauftragten mit einzubinden. Beide müssen ihr Detailwissen einsetzen, Vorschläge erarbeiten und unterbreiten – in Bezug auf die Zieldefinition als auch später im Hinblick auf die Umsetzung und die einzusetzenden Mittel. Die Entscheidung, welche Ziele erreicht werden sollen und mit welchen Mitteln, obliegt allerdings der Geschäftsführung.

Offene Kommunikation nötig

Ein solches Vorgehen erfordert eine kontinuierliche und offene Kommunikation zwischen IT-Verantwortlichen, Datenschutzbeauftragten und Geschäftsführern, die gerade Schwachstellen und Risiken deutlich benennt. In Bezug auf mögliche Lösungen müssen IT-Verantwortliche dann mitunter auch den Mut haben zu sagen: Ich weiß noch nicht, was die Lösung sein kann. Ich finde es heraus. Notfalls müssen Sie externe Spezialisten hinzuziehen. (Wir erleben es in unserer Beratungspraxis immer wieder, dass man sich diesbezüglich keine Blöße geben will und dann einfach behauptet, ein bestimmtes Problem sei nun mal technisch nicht zu lösen. Das ist falsch. Alle Sicherheitsfragen sind lösbar, es ist lediglich eine Frage des Aufwandes und der Kosten).

Leitung und Vermittlung

Wir werden inzwischen zunehmend nicht nur für die inhaltliche Beratung zu Sicherheitsthemen beauftragt, sondern auch für die Moderation und Leitung der Prozesse zum Aufbau eines Managementsystems zu Datenschutz und Informationssicherheit. Wir sind dabei sowohl im Falle von Meinungsverschiedenheiten moderierend tätig als auch als Projektleitung beim Aufbau und der Umsetzung der Konzepte. Zu beiden Zwecken hat sich als gutes Mittel erwiesen, was wir den „IT-Lenkungskreis“ nennen. In ihm treffen sich in regelmäßigen Abständen unter unserer Leitung alle an einer Entscheidung beziehungsweise deren Umsetzung beteiligte Führungskräfte und Mitarbeiter, bereiten die nötigen Entscheidungen vor und legen die nächsten Schritte fest. Als ebenso wichtig wie die präzise Absprache hat es sich erwiesen, in kleinen Schritten vorzugehen. Man sollte – ohne das große Ganze aus den Augen zu verlieren – sich nicht zu viel auf einmal vornehmen und immer an einer (überschaubaren) Stelle anfangen. Erstmal einen Prozess gründlich analysieren und Schlussfolgerungen ziehen. Nachfolgend können die Ergebnisse auf die nächsten Prozesse übertragen werden.

Wenn dabei Probleme offen angesprochen und Lösungen abgewogen werden, ist ein erster guter Schritt hin zu einem Informationssicherheitssystem im Unternehmen getan.

Wir erarbeiten Sicherheitskonzepte und übernehmen für Sie den externen betrieblichen Datenschutz.