Fallbeispiel: Datenschutz als Chance

Fallbeispiel: Datenschutz als Chance

Artikel erschienen in IT Magazine 2018/04

Planung ist die Mutter der Datenkiste

"Wenn man vor dem sehr umfangreichen Paket DSGVO steht, ist es nicht ganz einfach, das Wichtige von Unwichtigem zu trennen", stellt Bohl klar und erläutert das strukturelle Vorgehen. So lag der Fokus auf drei Basisfragen, die Alpiq sich stellte: Das Was, das Wo und das Wie. Als erstes wurde also geklärt, was die Anforderungen an das Unternehmen im Rahmen der DSGVO sind. Das Ergebnis definierte die Schwerpunkte des Projektes auf der Planungsebene.

Für die Beantwortung der zweiten Frage "Wo ist der Datenschutz relevant?" wurden die Risiken jedes Tochterbetriebes analysiert und in eine von drei Risikostufen eingeteilt. Diese Analyse dient im Projekt als Ausgangslage dafür, welche Betriebe DSGVO-ready gemacht werden müssen.

Die abschliessende Frage zielt darauf ab, die Art der Massnahmenimplementierung zu definieren, also zu klären, wie sich die Umsetzung gestalten wird. Dies beantwortet Alpiq mit einem einleuchtenden Hierarchiekonzept. Auf Group­Ebene entstand das Core Team, welches aus Experten unterschiedlicher Disziplinen besteht. Mit dem Group-Projekt konnte verhindert werden, dass jeder Tochterbetrieb den Datenschutz für sich interpretieren muss und mehrfache Ausgaben für Berater und Juristen entstehen. Auf lokaler Ebene wurden in allen betroffenen Betrieben sogenannte Local Privacy Partner ernannt, die jeweils für den Datenschutz innerhalb ihrer Rechtseinheit verantwortlich sind. "Das sind die Datenschutzverantwortlichen der ersten Stunde, sie erhalten von uns intensive Schulungen, Vorlagen und Hilfestellungen und müssen dafür ihrerseits unsere Vorgaben lokal implementieren", erläutert Bohl. "So sind wir eng verzahnt mit den lokalen Einheiten und erhalten direktes Feedback, wenn wir nicht mehr weiterkommen."

Die Datenkrake an die kurze Leine nehmen

Angesprochen auf die Priorisierung in einem solchen Dschungel von Auflagen und Massnahmen, nennt der Alpiq-­Datenschutzbeauftragte als ersten Punkt die Inventarisierung der Daten im Unternehmen. "Wenn man das Projekt mit der Inventarisierung beginnt, weiss man danach, wo überhaupt Handlungsbedarf besteht", betont er und pocht auf den Mehrwert von transparentem Datenschutz. "Wir generieren mit dem transparenten Datenschutz Added Value nach aussen, zum Kunden, aber es gibt auch Added Value nach innen. Durch die gruppenweite Analyse konnten wir viele Einblicke in laufende Prozesse gewinnen und innerhalb der Gruppe mehr Klarheit erzielen. Die Dateninventarisierung ist harte Arbeit, aber es zahlt sich aus." Wer aus einer Pflicht einen Nutzen für sich ziehen kann, kommt weiter, wie es scheint.

Als weitere Priorität nennt Bohl den öffentlichen Auftritt des Unternehmens, also die Anpassung der Websites sowie der Datenschutz-Policies und allfällige Änderungen an Verträgen mit Partnern, Third Parties und Mitarbeitern. Auch alle Prozesse müssen bereit sein, wenn es zum Ernstfall kommen sollte. "Wir wollen vorbereitet sein, wenn es eine Auskunftsanfrage oder eine Data-Breach-Meldung gibt und schon heute wissen, wie wir damit umgehen werden."

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
SPONSOREN & PARTNER