Praktisches Beispiel aus dem Bereich Datenschutz

Arbeit des Datenschutzbeauftragten

Datenschutz ist als Unternehmensgrundsatz in der Firma bereits etabliert. Es wurden und werden regelmäßige Schulungen durchgeführt. War es also die Lösung, noch mehr Schulungen abzuhalten, um weiter zu sensibilisieren? Woher konnten die Daten stammen, die nach außen gelangten?

Datenschutz und Risikomanagement

Mit den in der ISO 31000 beschriebenen Methoden konnte man das komplexe System der Daten in der Firma analysieren. Dabei stellte sich heraus, dass Vertriebsmitarbeiter sich zur Vorbereitung der Vertriebsgespräche immer wieder mit privaten Laptops an unsicheren Netzwerken andockten.
Denn für die Vertriebsgespräche müssen die Vertriebsmitarbeiter auf stets aktuelle Daten und neuste Planungen zurückgreifen, die aber bei der Abreise oft noch nicht vorlagen. Wegen der Datenschutzrichtlinien in der Firma und wegen der installierten Sicherheitsvorkehrungen konnten die firmeneigenen Laptops nicht verwendet werden, um auf die Unterlagen zuzugreifen. Mittels USB-Stick wurden dann die benötigten Daten vom privaten auf den Firmenrechner übertragen und schon war man für das Kundengespräch gut vorbereitet. Dass es bei der Übertragung zum "Datenklau" kommen konnte, war nie ein Thema bei den Schulungen, denn es gab ja nur sichere Firmenlaptops.

Fazit

Durch die Risikobeurteilung nach ISO 31000 wurde ersichtlich, dass die Vetriebsmitarbeiter über einen nicht vorgesehenen Weg auf die stets aktuellen Daten zugriffen und dass dadurch Firmendaten nach außen gelangen konnten. Künftig wurde auch der Zugriff über private Rechner in die Datenschutzrichtlinien der Firma aufgenommen.

ISO 31000 für Krankenhäuser & klinische Einrichtungen

ISO 31000 für Qualitätsmanager

ISO 31000 für Arbeitssicherheit

ISO 31000 für Umweltschutz

ISO 31000 für Brandschutz