Datenschutz-Risikomanagement

In der heutigen Zeit können die Bereiche Datenschutz und Informationssicherheit nicht mehr isoliert betrachtet werden. Es wird immer wichtiger, die Anforderungen beider Disziplinen an die umzusetzenden technischen und organisatorischen Maßnahmen (TOMs) übergreifend anzugehen. Ein wichtiger Erfolgsfaktor für ein erfolgreiches Datenschutz- und Informationssicherheits-Management ist zudem die Einbindung in die bestehenden Geschäftsprozesse, um Doppelarbeiten und praxisferne Lösungen zu vermeiden. Trigonum hat aufbauend auf diesen Erkenntnissen ein integriertes Vorgehen entwickelt, das sich an den Anforderungen der Datenschutzgrundverordnung (DSGVO), der ISO 27701, der ISO 27001, TISAX sowie anderen anerkannten Standards orientiert und die Themen Informationssicherheit und Datenschutz gemeinsam behandelt.

Wir haben ein eigenes Vorgehensmodell für integrierte Managementsysteme entwickelt, das die Themen Datenschutz und Informationssicherheit gemeinsam behandelt, um Synergien zu erzielen. Dieses berücksichtigt die Compliance-Anforderungen relevanter Standards und Normen, die wir in Controls zusammengefasst haben. In einem nächsten Schritt haben wir ein Framework von Maßnahmen, Prozessen, Vorlagen, Richtlinien und Dokumenten entwickelt, um die umfangreichen Compliance-Anforderungen und Nachweispflichten nachhaltig und zielgerichtet in die betriebliche Praxis zu überführen.

Durch unser strukturiertes Vorgehen ist es uns gelungen, die komplexen Anforderungen zum Aufbau eines DSGVO-konformen Datenschutzmanagements in überschaubare Arbeits- und Lösungsbausteine zu gliedern – unsere Workpackages.

Die Basis für ein funktionierendes Datenschutz-Managementsystem bildet ein initiales Audit zur Statusbestimmung. Denn nur wenn wir wissen, wo Sie sich aktuell befinden, können wir gemeinsam den passenden Weg zum Ziel planen.

Der Vorteil dieses Vorgehens ist, dass klare Antworten auf folgende Fragestellungen gegeben werden:

• Mit welchen Maßnahmen können die Anforderungen (Controls) erfüllt werden?
• Welche „DSMS-Dokumente“ sind für ein DSGVO-konformes DSMS zu erstellen?
• Welche Maßnahmen sind typischerweise in welchen Dokumenten geregelt?
• Welche Anforderungen sind in unserem Unternehmen bereits umgesetzt und was ist noch zu tun, um die jeweiligen Prüfstandards zu erfüllen?
• Was habe ich bei dem Aufbau einer DSGVO-konformen Datenschutzorganisation zu berücksichtigen?
• Wer ist wofür verantwortlich und in welchen Schritten gehe ich vor?

Hierdurch wird es Ihnen möglich sein, die Fragen von externen Auditoren (z.B. Datenschutzaufsicht, Akkreditierungsstellen) in Bezug auf die Nachweispflichten schnell und sicher zu beantworten.

Zu unserem Framework gehört neben dem strukturierten Vorgehensmodell auch ein ganzheitliches und auditerprobtes Dokumentationskonzept, auf das wir zurückgreifen können. Dieses umfasst u. a. Managementhandbücher, Prozessbeschreibungen, Richtlinien, Vorlagen, Formulare und Umsetzungskonzepte.

Immer mehr Unternehmen erkennen den Stellenwert von Informationen und Daten im Zeitalter der Digitalisierung, so dass neben dem gesetzlich geforderten Schutz der personenbezogenen Daten auch der Schutz des Unternehmenswissens in den Fokus gerät. Informationen und Daten sind hierbei ein wesentlicher Wert für Unternehmen und müssen daher angemessen geschützt werden. Da die meisten Informationen und personenbezogenen Daten heutzutage zumindest teilweise mit Informationstechnik (IT) erstellt, gespeichert, transportiert oder weiterverarbeitet werden, ist es notwendig, Maßnahmen zu ergreifen, um die Informationen angemessen zu schützen. Das bloße Anschaffen von Antivirensoftware, Firewalls oder Datensicherungssystemen reicht heute oftmals nicht mehr aus, um ein bedarfsgerechtes Sicherheitsniveau für alle Geschäftsprozesse, Informationen und auch der IT-Systeme eines Unternehmens zu erreichen. Um dieser Herausforderung gerecht zu werden, ist ein ganzheitliches Konzept ist wichtig.

Dazu gehört vor allem ein funktionierendes und in das Unternehmen integriertes Sicherheitsmanagement. Hierfür müssen sogenannte TOMs (technische und organisatorische Maßnahmen) als Teil des Risikomanagements umgesetzt werden, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Anwendungen und IT-Systemen zu gewährleisten. Hierbei handelt es sich um einen kontinuierlichen Prozess, dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf anzupassen sind. Trigonum unterstützt Unternehmen dabei, ein passgenaues Datenschutz- und/oder Informationssicherheits-Managementsysteme aufzubauen, um die personenbezogenen Daten und Ihr Unternehmenswissen angemessen zu schützen.

Um die Anforderungen der Datenschutzgrundverordnung (DSGVO), insbesondere an das Risikomanagement, die Dokumentations- und Nachweispflichten, die regelmäßige Auditierung und die kontinuierliche Verbesserung der definierten Prozesse zu erfüllen, ist es erforderlich, ein Datenschutz-Managementsystem (DSMS) aufzubauen. Dieses sollte sich idealerweise gemeinsam mit weiteren für Ihr Unternehmen relevanten Managementsystemen (QMS, ISMS, etc.) zu einem integrierten Managementsystem zusammenfügen, um Doppelarbeit zu vermeiden und die Transparenz zu erhöhen.

Hierfür haben wir unser innovatives Tool „TRIGovernance“ für den Aufbau und Betrieb integrierter Managementsysteme entwickelt. Die enge Verzahnung der Lösungsbausteine für Dokumentenmanagement und Dokumentenlenkung, Informationsklassifizierung, Asset- und Risikomanagement, Verarbeitungsbeschreibungen, Datenschutzfolgenabschätzungen sowie Audit- und Aufgabenmanagement machen „TRIGovernance“ zu einer leistungsfähigen Zusammenarbeitsplattform für integrierte Managementsysteme. Somit haben Unternehmen alle Informationen und Lösungsbausteine zentral an einem Ort, vereinfachen die Prozesse und nutzen Synergien für die Abbildung der unterschiedlichen Managementsysteme.