Passt Ihre Sicherheitsstrategie?

DSGVO: Was passiert nach dem 25. Mai 2018?

[fa icon="calendar"] 4. Juni 2018 / von Jakob Holm Hansen

  • Nach dem 25. Mai könnte sich bei Unternehmen eine Art mentaler IT-Sicherheits-Blues einstellen
  • Denn was ist zu tun, nachdem alle Vorbereitungen getroffen und die neuen Regeln in Kraft getreten sind?
  • Ein Sicherheitsexperte von Neupart weiß Rat und empfiehlt unter anderem, die Arbeiten zur IT-Sicherheitsarbeit künftig einheitlich mit Hilfe eines zyklischen Jahresplans, zu organisieren

Erleichterung? Panik? Verwirrung?

Der 25. Mai 2018, das Datum des Inkrafttretens der DSGVO, mag die unterschiedlichsten Gefühle ausgelöst haben. Die intensive Vorbereitungszeit ist nun endlich überstanden und die neuen Vorschriften haben Gültigkeit erlangt.

Doch was nun? Was passiert, nachdem die externen Berater gegangen sind und das Unternehmen sich selbst überlassen ist? Kann man sich jetzt gegenseitig auf die Schulter klopfen und darüber freuen, dass die Arbeit erledigt ist, oder hat diese in Wirklichkeit gerade erst begonnen?

"DSGVO ist kein Projekt, das von jeder Organisation dauerhaft gelebt werden muss. Auch nach dem 25. Mai", sagt Lone Forland, Produktspezialistin bei Neupart. In den letzten Monaten und Jahren haben Unternehmen erhebliche Investionen in die umfassende Verbesserung der Sicherheitsprozesse ihrer Organisation gesteckt. Alle erzielten Erfolge dürfen jetzt nicht wieder verloren gehen. Es muss dafür gesorgt werden, dass die DSGVO ein fester Bestandteil der Informationssicherheit in den Unternehmen wird. Darum geht es letztendlich.”

Zyklische Jahrespläne für die Erfolgskontrolle sowie Dokumentationen

Am besten, einfachsten und übersichtlichsten lässt sich diese Aufgabe mit Hilfe eines zyklischen Jahresplans lösen.

“Ein zyklischer Jahresplan funktioniert ungefähr so wie der gute alte Jahreskreiskalender. In einem solchen Kalender notiert man, welche Vorhaben und Aufgaben in den einzelnen Monaten anstehen und hat das ganze Jahr stets im Überblick. Nach dem gleichen Prinzip ist der zyklische Jahresplan für die Sicherheit gestaltet. Im Rahmen der DSGVO stellen sich diverse wiederkehrende Aufgaben, die man in einen Jahreskreis einträgt und somit immer im Blick hat. Das Positive an solch einem zyklischen Jahresplan ist, dass er schon rein optisch erkennen lässt, dass es sich um eine kontinuierliche Arbeit handelt, die sich Monat für Monat, Jahr für Jahr, wiederholt”, erklärt Lone Forland.

Nach dem Aufbau kommt das Aktualisieren

Alles, was bis zum 25. Mai 2018 geleistet wurde, war Aufbauarbeit. Datenschutzrichtlinien ausarbeiten, Gap-Analysen durchgeführen, Verarbeitungstätigkeiten beschreiben usw. Die zukünftige DSGVO-Arbeit wird in erster Linie Aktualisierungsarbeit sein.

"Alle Unternehmen verändern sich. Es gibt personelle Wechsel, Produkte entwickeln sich, Geschäftsmodelle werden verändert, Unternehmen fusionieren, Abteilungen werden zusammengelegt und so weiter. All diese Veränderungen haben Einfluss darauf, warum und wie personenbezogene Daten im Unternehmen verarbeitet werden. Und aus diesem Grund muss auch der Jahreskreis ständig aktualisiert werden, damit die Erfüllung der DSGVO und deren Nachweis stets den tatsächlichen Verhältnissen entspricht", sagt Lone Forland.

Stellen Sie ein gutes Team zusammen

Um zu vermeiden, dass ein DSB oder ein anderer Hauptverantwortlicher in DSGVO-Aktualisierungsaufgaben ertrinkt, empfiehlt sie den Unternehmen, ein Team zusammenzustellen, das zu bestimmten Terminen im Jahr die erforderlichen Aufgaben erledigen kann.

“Natürlich liegt die Verantwortung für die Lösung der Aufgaben nach wie vor beim DSB oder auch dem Verantwortlichen. Aber der Betreffende muss sie nicht alleine lösen. Man kann die Aufgaben sehr gut an ein Team von Kollegen delegieren. Ein solches Team sollte aus dem IT-Leiter und den Leitern aller Abteilungen bestehen, in denen personenbezogene Daten verarbeitet werden. Darüber hinaus ist es von Vorteil, den Bereich Kommunikation einzubinden, weil man sich dort auf die Gestaltung von Awareness-Kampagnen versteht, die laut DSGVO ebenfalls gefordert sind.”

Drei typische Fallstricke

Lone Forland macht abschließend auf einige der wichtigsten Fallstricke aufmerksam, die in der kontinuierlichen Arbeit mit der DSGVO liegen. Als Erstes muss man darauf achten, nicht alle Aktualisierungsaufgaben in den gleichen Monat zu legen und die Organisation damit zum Stillstand zu bringen. Die Aufgaben sind über das Jahr zu verteilen, außerdem ist die Zeitplanung der betroffenen Mitarbeiter zu berücksichtigen, damit diese nicht unnötig belastet werden.

Als Zweites darf man nicht vergessen, dass ein Kollege vor allem deshalb HR-Leiter, Kundenleiter, Finanzleiter usw. geworden ist, weil ihm sein jeweiliges Fachgebiet gefällt. DSGVO haben sie sich nicht ausgesucht. Aus diesem Grund ist es klug, diesen Kollegen in aller Ruhe die Hintergründe für die DSGVO und die Wichtigkeit des Schutzes von personenbezogenen Daten nahe zu bringen. Für die Kollegen, für das Unternehmen und für sich selbst, damit sie persönlich nicht Ursache für eine Verletzung des Schutzes personenbezogener Daten werden.

“Schließlich geht es darum, doppelten Aufwand zu vermeiden, beispielsweise weil man mit zwei unterschiedlichen IT-Sicherheits-Notfallplänen operiert. Einem für DSGVO und einem für die herkömmliche Informationssicherheit. Von jetzt an ist DSGVO ein fester Bestandteil der Informationssicherheit der Unternehmen und aus diesem Grund müssen alle Aufgaben, Richtlinien und Prozesse in einen Gesamtplan eingearbeitet werden", endet Lone Forland.

 

 

Informationssicherheits-Aufgaben nach dem 25. Mai 2018

  
 
  • Erstellen Sie nur einen einzigen zyklischen Jahresplan, in den Sie alle neuen und alten Informationssicherheits-Aufgaben auf die einzelnen Monate verteilt eintragen
  • Stellen Sie ein Team aus Kollegen zusammen, das Ihnen bei der Ausführung der Aufgaben des Jahresplans helfen kann
  • Erklären Sie den Kollegen klar und deutlich, wie die künftige Informationssicherheits-Arbeit aussieht und welche Verantwortung sie tragen
  

Hilfe beim Verwalten der Informationssicherheit

Secure ISMS und Secure GDPR bietet Systemunterstützung für die Arbeit mit dem zyklischen Jahresplan und die kontinuierliche Umsetzung der DSGVO und weiterer Standards die Sie in Ihrem Unternehmen erfüllen möchten oder sogar müssen. Nehmen Sie am 6. Juni 2018 an unserem Webinar teil, bei dem wir Ihnen genauer erklären, wie Sie einen zyklischen Jahresplan erstellen

 

Themen: DSGVO

Passt Ihre Sicherheitsstrategie?

Der Neupart-Blog bietet Informationen zu den Themen: Effektives Informations-sicherheitsmanagement, Sicherheits-strategien, Risikomanagement, Einhaltung der Informations-sicherheitsstandards sowie weiterer Anforderungen, Business Continuity Management, ISO2700x, EU-Datenschutz-Grundverordnung, PCI DSS usw.

Beliebte Beiträge

Über Neupart

Neupart, seit 2002 Anbieter von Lösungen zu IT Governance-, Risiko- & Compliance-Management, unterstützt Unternehmen bei der Verwaltung komplexer Richtlinien, Vorschriften und operativer Risiken. Unternehmen mit viel oder wenig Erfahrung zum Thema Sicherheit, bietet die ISO 27001 All-in-One-Management-Plattform neupartOne ISMS für Konformität, bewährte Verfahren und Sicherheitsbewusstsein.

Neupart GmbH - Kaiserswerther Straße 115 - 40880 Ratingen/Düsseldorf

© 2023 Neupart          Datenschutzerklärung

Haben Sie Fragen?

[fa icon="envelope"]  info@neupart.com

[fa icon="phone"]  +49 2102 420926

[fa icon="xing-square"] [fa icon="linkedin-square"] [fa icon="facebook-square"]
[fa icon="chevron-up"]