In der heutigen datenfokussierten Gesellschaft gehören Informationen zu den wertvollsten Ressourcen – bestimmt auch in Ihrem Unternehmen. Aber verwalten Sie Ihre Daten und Informationen genauso strategisch, wie Sie es mit anderen Vermögenswerten tun? Datenschutz rückt vor dem Hintergrund von Compliance-Verpflichtungen und immer ausgefeilteren Cyberattacken in den Mittelpunkt. Von uns erfahren Sie in diesem Beitrag die 10 wichtigsten Elemente einer Datenschutzstrategie!
In Unternehmen werden die unterschiedlichsten Daten wie Kundeninformationen, Patienten-, Einwohner- und Mitarbeiterdaten gespeichert, bearbeitet und ausgetauscht. Diese Daten unterliegen diversen Gesetzen. Gleichzeitig ist den Kunden zunehmend bewusst, dass ihre persönlichen Daten wertvoll sind und sie auch digital ein Recht auf Privatsphäre haben. Dies steht im Einklang mit den gesetzlichen Rahmenbedingungen, zum Beispiel der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sowie dem Entwurf des neuen Schweizer Datenschutzgesetzes. Damit werden den betroffenen Personen mehr Rechte eingeräumt und den Verarbeitern von Daten mehr Pflichten auferlegt.
Datenschutz wird ausserdem zu einem zunehmend wichtigen Faktor beim Entscheid, ob Kunden mit Ihnen Geschäfte machen oder eben nicht. Diesen Aspekt bezeichnen wir als «Datenvertrauen»: Die Ansichten der Kunden darüber, wie sehr sie sich darauf verlassen können, dass ihre Informationen/Daten angemessen geschützt und ordentlich verwaltet werden.
Datenschutz als Wettbewerbsvorteil
Datenvertrauen erarbeitet sich ein Unternehmen durch Integrität, Transparenz sowie Engagement bei der Bereitstellung und Verarbeitung von personenbezogenen Daten. Es basiert auf einer strategischen Verpflichtung zum Schutz der Privatsphäre der Kunden. Vorausschauende und proaktiv denkende Organisationen haben dies erkannt und integrieren den Datenschutz als Kernbestandteil in ihre Geschäftsstrategie. Und um es auf den Punkt zu bringen: Datenschutz ist zwar aufwändig, schafft aber auch Wettbewerbsvorteile.
Die Gewährleistung des Datenschutzes ist besonders heutzutage eine schwierige Herausforderung für Unternehmen. 2018 war ein schwieriges Jahr in Bezug auf Datenschutz und hatte teils massive Auswirkungen auf die Reputation und Finanzen von so manchen Unternehmen. Um nur ein paar Beispiele zu nennen: Bei Facebook betraf ein Data Breach 50 Millionen Datensätze, bei Google+ eine halbe Million und bei Marriott International ganze 500 Millionen.
10 Punkte für eine erfolgreiche Datenschutzstrategie
Auch im ersten Quartal 2019 wurden bereits wieder über 100 Breaches mit über 2 Millionen Records Exposed durch ITRC (Identity Theft Resource Center) gesammelt. In den meisten (aber leider nicht allen) Fällen waren die Datenschutzverletzungen nicht absichtlich.
Angesichts der beschleunigten Entwicklung der Cyberkriminalität und der weltweit stärker regulierten Datenschutzgesetze sollten Unternehmen klare Regeln für den Schutz privater Daten aufstellen. In den meisten Fällen erfordert dies jedoch erhebliche Anpassungen in den Prozessen und der Unternehmenskultur, was ohne fundierte Strategie schwierig ist. Wir haben für Sie die 10 wichtigsten Elemente zusammengetragen:
- Unterstützung des Managements: Datenschutz ist Management-Aufgabe. Ohne die tatkräftige Unterstützung der Führungskräfte werden Bemühungen höchstwahrscheinlich scheitern.
- Ernennen eines Datenschutzbeauftragten (DPO): Abhängig von der Grösse des Unternehmens oder der Art der im Unternehmen gesammelten/gespeicherten Daten, ist ein DPO zu ernennen (ggf. Pensum oder Extern). Einige Verordnungen wie die DSGVO erfordern gar einen formellen DPO oder Vertreter in der EU für nicht EU-ansässige Unternehmen. Welche Aufgaben der DPO erledigen muss, haben wir Ihnen in einer anschaulichen Grafik zusammengetragen. Hier geht’s zum kostenlosen Download:
- Identifizieren und Klassifizieren der Daten: Um etwas schützen zu können, müssen Sie «etwas» zuerst kennen. Darunter verstehen wir alle Informationen, die von Ihrem Unternehmen, von Lieferanten oder Partnern gespeichert und verarbeitet werden – sowohl in elektronischer als auch in gedruckter Form. Sie müssen verstehen, welche Art von Daten erhoben werden, wo und wie sie gespeichert werden, wozu sie verwendet werden, ob sie mit einer anderen Organisation oder Gruppe (gar in Drittländern) geteilt und wie lange sie aufbewahrt werden.
- Verstehen der Anforderungen: Damit gemeint ist das Anwenden der Datenschutzanforderungen auf die identifizierten Daten und Prozesse. Die Anforderungen sind abhängen von verschiedenen Faktoren wie der Art der Daten (speichert/verarbeitet), der Branche, des Landes etc.
- Analysieren der Datenschutzrisiken: Eine Analyse der Sicherheitsanfälligkeit und Bedrohungsquelle sowie deren Auswirkungen auf Datenschutz und Datensicherheit sind ebenfalls wichtig – insbesondere für aktive Geschäftsprozesse.
- Formulieren der Datenschutzrichtlinie: Dokumentieren und kommunizieren Sie die allgemeinen Datenschutzrichtlinien inkl. strategischen Aspekten, Zielen, Abläufe, Pläne des Unternehmens etc.
- Erstellen der Datenschutzverfahren: Verfahren und Prozesse für alltägliche Arbeiten müssen dokumentiert werden. Dazu gehören unter anderem Schritte für die Einwilligung des Kunden, die Aufbewahrung von Aufzeichnungen, die sichere Datenentsorgung sowie die internationale Datenübertragung und die Bearbeitung von Beschwerden.
- Etablieren von Datenschutzkontrollen: Abhängig von den Datenschutzanforderungen und der Risikobereitschaft des Unternehmens, sind eine Reihe von (technischen und organisatorischen) Kontrollen erforderlich. Dadurch sollen Risiken entweder gemindert, vermieden, übertragen oder akzeptiert werden.
- Schulung und Sensibilisierung zu Datenschutz: Alle Mitarbeitenden müssen zum Thema Datenschutz geschult und sensibilisiert werden. Für alle gelten grundlegende Anforderungen für den Umgang mit personenbezogenen Daten. Vergessen Sie jedoch nicht, weiterführende Massnahmen für spezialisierte Funktionen einzubeziehen wie für IT-Mitarbeitende, das Sicherheitsteam, die Rechtsabteilung, die Auditoren und sogar den Datenschutzbeauftragten.
- Überwachung und Einhaltung: Sicherzustellen, dass Daten geschützt sind, ist ein kontinuierlicher Prozess. Dazu gehören die Einhaltung der Richtlinien, die Identifizierung neuer Risiken und die anschliessende Verbesserung – und zwar immer wieder.
Wo stehen Sie bei der Umsetzung der Datenschutzvorgaben?
Vielleicht denken Sie jetzt: «Einfacher gesagt als getan»? Dann geht es Ihnen wie vielen anderen Unternehmen – auch unseren Kunden. Denn zahlreiche nationale und internationale Richtlinien sowie das Datenschutzgesetz fordern verschiedenste Sicherheitsmassnahmen, die Ihre Organisation und Prozesse, aber auch Ihre Infrastruktur betreffen. Wo stehen Sie aktuell bei der Umsetzung der Datenschutzstrategie?
- Sind Sie noch ganz am Anfang, möchten einen effektiven Datenschutz in Ihrem Unternehmen umsetzen und benötigen Informationen, was es alles zu beachten gilt?
- Sind Sie dabei, in Ihrem Unternehmen Prozesse anzupassen und wissen nicht, was für eine datenschutzgerechte Umsetzung alles beachtet werden muss?
- Oder haben Sie bereits eine entsprechende Strategie definiert und ein entsprechender Datenschutzbeauftragter (DPO) kümmert sich um den Datenschutz? Sie möchten aber wissen, mit welchen Hilfsmitteln die Konformität der Daten zu den gesetzlichen und regulatorischen Vorgaben am effizientesten überwacht werden kann?
…dann sollten wir unbedingt ins Gespräch kommen!
Datenschutz gehört in die Hände von Experten
Wir unterstützen Sie bei der Analyse und der Definition einer angemessenen Datenschutzstrategie, sowie bei der Implementierung entsprechender Massnahmen, damit sichergestellt wird, dass die gesetzlichen Anforderungen auch konsequent eingehalten werden. Setzen Sie daher auf die Zusammenarbeit mit unseren erfahrenen Datenschutz-Experten. Diese können Sie nicht nur strategisch, sondern auch im Rahmen eines Mandates unterstützen.