Fehlende IT Standards gefährden Datenschutz

Sollen Datenschutzmanagementsysteme durch Datenschutzbeauftragte aufgebaut werden, sind fehlende IT Standards häufig ein Hinderungsgrund. Die Funktion des Datenschutzbeauftragten macht es notwendig, die IT betreffende Informationen abzufragen und zu bewerten. Dabei können Datenschutzbeauftragte auf IT Standards zurückgreifen und somit den eigenen Aufwand aber auch Zusatzaufwendungen für die IT Abteilung reduzieren. Fehlende IT Standards sorgen hingegen oft für erhebliche Widerstände innerhalb des Unternehmens bis hin zur Unternehmensführung. Wobei sich dieser Widerstand oft gar nicht auf den Datenschutz als solches bezieht, sondern vielmehr gegen die Erkenntnis, dass das Unternehmen vielfach fehlende IT Standards nicht als solche versteht oder deren Einführung als nicht notwendig erachtet.

Hierbei sind die möglichen Gründe für fehlende IT Standards vielschichtig und oft in der Historie eines Unternehmens begründet und betreffen nicht nur die IT sondern auch viele andere Bereiche eines Unternehmen, die im ersten Schritt nicht der Wertschöpfungskette und der Kernprozessen zugeordnet werden. Kleinere oft schnell wachsende Unternehmen sind dabei besonders anfällig und dies aus zweierlei Sicht. Zum einen haben diese Unternehmen durch das starke Wachstum oft nur den Blick auf den Wertschöpfungsprozess gerichtet und benötigen hier die volle Aufmerksamkeit. Zum anderen kommt es gerade in dieser Phase des Unternehmens zu einer völlig falschen Einschätzung der notwendigen IT Kosten welche dann oft erst nach schmerzvollen Ausfällen dann kurzfristig behoben werden. Eine mögliche Ursache für diesen Entwicklungsgrund für fehlende IT Standards ist die mangelnde Delegationsfähigkeit der Unternehmensgründer, denn bei begrenzter Arbeitszeit beschäftigten sich Unternehmer doch am liebsten mit dem Kerngeschäft.

Doch was sind es für fehlende IT Standards, die notwendig sind um Datenschutz und IT Sicherheit in einem Unternehmen betreiben zu können?

Fehlende IT Standards Als Beispiel seien hier die physikalischen IT Geräte genannt. Es muss bekannt sein welche IT Geräte vorhanden sind, wo sie eingesetzt werden, wie die Geräte miteinander verbunden sind, wer mit den Geräten arbeitet und welche Software auf den Geräten zum Einsatz kommt. Darüber hinaus muss aber auch bekannt sein, wo die Benutzer Daten speichern und welche Berechtigungen die einzelnen Benutzer auf den logischen IT Systemen besitzen.

Es ist sicher für Unternehmen oft nicht möglich einen eigenen IT Betrieb nach der ISO 20000 oder ITIL zu organisieren, aber gerade in kleineren Unternehmen sind bereits einfache IT Dokumentation nicht vorhanden bzw. nicht aktuell gepflegt. Ob es die bereits beschriebene fehlende Zeit oder der oft zitierte Kostendruck ist, die Argumentation ist auch hier vielschichtig und wird auch dann herangezogen, wenn das Thema Outsourcing diskutiert wird. Wie sollen Outsourcing Systeme günstiger sein bei fehlenden IT Standards im eigenen Unternehmen?

Fehlende IT Standards sorgen dafür, dass notwendige Werkzeuge für den Datenschutz und die IT Sicherheit nicht geliefert werden können. Fehlen diese Werkzeuge jedoch, ist es oft unmöglich eine Datenklassifizierung und Risikobetrachtung der Systeme vorzunehmen. Werden fehlende IT Standards in einem Unternehmen jedoch vermieden, können Datenschutzmanagementsysteme leicht und sehr kostengünstig betrieben werden. In Unternehmen mit bestehenden Qualitätsmanagementsystemen können darüber hinaus über Verfahrensanweisungen, Checklisten und dem internen Auditplan Datenschutzprozesse leicht eingeführt und überprüft werden.

Weitere Informationen zu Datenschutzklassen und Maßnahmen

http://www.it4management.de/tom-technische-und-organisatorische-massnahmen/

Weitere Informationen zu Compliance Vorschriften für kleine Unternehmen

http://www.it4management.de/compliance-fuer-personengesellschaften/