Wer DSGVO-konform sein will, der muss bei seinen Mitarbeitern anfangen…

Im vergangenen Blogbeitrag «Wie Sie als Schweizer Unternehmen gegenüber Ihren Kunden DSGVO-konform sind und für Datensicherheit sorgen?» wurde aufgezeigt, wie Sie mit wenig Aufwand ein hohes Level an DSGVO-Konformität schaffen können. Im kommenden Beitrag werden wir Ihnen präsentieren, was Sie hinsichtlich der Konformität Ihrer Mitarbeiter beachten sollten.
  • Schritt 1: Bewusstsein und Verbindlichkeit schaffen
  • Schritt 2: Klare Guideline
  • Schritt 3: Vertraulichkeit, Integrität und Verfügbarkeit der Daten
  1. Bewusstsein schaffen
    Es ist von grösster Bedeutung, dass sich vor allem Ihre eigenen Mitarbeiter bewusst sind, dass Konformität hinsichtlich der DSGVO-Normen langfristig zu einem besseren Firmenauftritt führt. Denn wie wollen Sie Ihren Kunden erklären DSGVO-konform zu sein, wenn Sie es noch nicht einmal in Ihrem eigenen Unternehmen umsetzen können?

    Konsequenter Datenschutz beginnt dementsprechend bei den eigenen Mitarbeitern. Offen gebliebene Fragen können durch gezielte Schulungen geklärt werden. Darüber hinaus sollte es sogenannte Experten im Unternehmen geben, welche sich im Detail mit der DSGVO-Thematik auskennen. Letzten Endes ist es förderlich Verbindlichkeiten zu schaffen, indem sich die eigenen Mitarbeiter zur unternehmenseigenen DSGVO-Norm bekennen, beispielsweise schon im Arbeitsvertrag oder in einem gesonderten DSGVO-Kontrollblatt.

    Unsere konkreten Massnahmenvorschläge:
    • Erstellen Sie eine Mitarbeiterdatenschutzerklärung, welche allen Mitarbeitern genaustens aufzeigt, welche Daten für welchen Zweck verarbeitet werden
    • Fassen Sie die wichtigsten Änderungen im Zuge der DSGVO auf einem DSGVO-One-Pager zusammen und hängen Sie diesen an den Anschlagblättern aus
    • Ernennen Sie einen internen Datenschutzbeauftragen, welcher den Datenschutz periodisch und pflichtbewusst überprüft sowie Veränderungen aktiv kommuniziert bzw. ggfs. Schulungen durchführt
    • Informieren Sie mögliche Bewerber aktiv zur Datenverarbeitung der Bewerbungsunterlagen in einem separaten Abschnitt Ihrer Karriere-Webseite
  2. Klare Guideline
    Neben gezielten Massnahmen und der Verankerung der DSGVO-Richtlinien in der Unternehmenskultur, sollten alle Mitarbeiter stets Zugang zu den jeweiligen Richtlinien des Unternehmens haben und diese in einem zentral abgelegten Ordner einsehen können. Diese zentrale Guideline sollte eine ganzheitliche Übersicht über alle relevanten Themenbereiche der DSGVO bieten.

    Unser konkreter Massnahmenvorschlag:
    • Verfassen Sie eine Vertraulichkeitserklärung, welche den Umgang mit Personendaten genau festhält. Jeder Mitarbeiter soll bei Fragen zum Datenschutz dieses zentrale Dokument mit klaren Richtlinien konsultieren können. Nur so können sowohl die personenbezogenen Daten der Mitarbeiter, als auch aller externen Personen wie Kunden und Lieferanten geschützt werden.
  3. Vertraulichkeit, Integrität und Verfügbarkeit der Daten
    Tools und IT-Systeme speichern zahlreiche personenbezogene Daten der internen Kommunikation, wie z.B. IP-Adressen, Zugriffsrechte und Dokumente oder auch Aufenthaltsorte. Das Problem dabei ist, dass die Schnittstellen dieser Anwendungen hinsichtlich ihrer IT-Sicherheit eine Schwachstelle für Datensicherheit und Datenschutz abbilden. Dabei sollte die Verarbeitung der Daten Ihrer Mitarbeiter den Prinzipien der Vertraulichkeit, Integrität und Verfügbarkeit standhalten. Vertraulichkeit erreichen Sie, indem ein unautorisierter Zugriff auf die Daten mittels Verschlüsselung verhindert wird. Integrität beschreibt die Richtigkeit der Daten und die Fähigkeit, Dritte von einer Manipulation der Daten abzuhalten. Schlussendlich sollten Sie dafür sorgen, dass die Verfügbarkeit gewährleistet ist.

    Unser Vorschlag:
    • Erstellen Sie ein Inventar Ihrer IT-Systeme und kategorisieren Sie diese anhand der Datenbanksicherheit sowie der Übertragungssicherheit. Ergreifen Sie entsprechende Massnahmen, um Schwachstellen zu beheben
    • Überprüfen Sie bestehende Berechtigungskonzepte Ihrer Infrastruktur. Je mehr Berechtigungen eine Person hat, desto grösser ist das Risiko, dass Personendaten nicht korrekt verarbeitet werden

About Author

Alexander Sporenberg
Alexander Sporenberg hat an verschiedenen Universitäten in Europa studiert und schliesst sein M.A. an der HSG ab. Als junger, dynamischer und kommunikativer Berater unterstützt er 2BCS Kunden mit seinen betriebswirtschaftlichen und technologischen Kenntnissen.