Die Datenschutz-Grundverordnung (DSGVO) ist für viele Unternehmen ein Damoklesschwert. Dabei lassen sich die Anforderungen mit praktischen Schritten in der IT umsetzen. Dazu gehören:
Führen eines Verzeichnisses von Verarbeitungstätigkeiten.
Dokumentation technischer und organisatorischer Maßnahmen (TOMs).
Berücksichtigung von Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Privacy by Design und Privacy by Default).
Regelmäßige Mitarbeiterschulungen zum Thema Datenschutz.
- Gewährleistung der Betroffenenrechte (z.B. Auskunft, Löschung).
Praxisbeispiel: Ein Maschinenbauunternehmen führte regelmäßige, kurze Schulungen für alle Mitarbeiter zu Phishing-E-Mails und dem Umgang mit sensiblen Daten durch. Parallel dazu wurde ein zentrales Dokumentenmanagementsystem eingeführt, das die Nachvollziehbarkeit von Datenzugriffen sicherstellt und alte, unkontrollierte Excel-Listen ablöste.
GoBD: Was IT-Leiter wissen müssen
Die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) sind für die IT-Abteilung von großer Bedeutung, da sie die Anforderungen an die digitale Buchführung festlegen. Wichtig ist hier vor allem die Nachvollziehbarkeit und Unveränderbarkeit von digitalen Geschäftsprozessen und Daten. Das bedeutet, dass zum Beispiel Rechnungen, die digital eingehen, nicht mehr verändert werden dürfen und revisionssicher archiviert werden müssen.
Mittelstands-Tipp: Überprüfen Sie mit Ihrer Finanzabteilung, ob Ihr ERP-System und Ihre Archivierungslösung die GoBD-Anforderungen erfüllen. Oft reichen hier schon kleine Anpassungen in der Konfiguration oder der Einsatz einfacher Zusatztools.
Branchenspezifische Anforderungen
Beispiele aus verschiedenen Branchen Je nach Branche können zusätzliche spezifische Vorschriften relevant sein. Beispielsweise gibt es in der Medizintechnik oder bei Finanzdienstleistern besondere Regelwerke, die die IT-Infrastruktur und Datenverarbeitung betreffen. Für einen medizinischen Dienstleister sind beispielsweise Regelungen zur Patientendatenverarbeitung und -sicherheit von entscheidender Bedeutung.
Praxis-Check: Klären Sie mit Ihrer Geschäftsführung und den Fachabteilungen, welche branchenspezifischen Gesetze und Zertifizierungen für Ihr Unternehmen relevant sind.
Dokumentation: Welche Nachweise sind erforderlich?
Compliance ist eng mit Dokumentation verbunden. Es geht darum, nachweisen zu können, dass die Vorschriften eingehalten werden. Dies umfasst beispielsweise:
IT-Sicherheitskonzepte.
Datenschutzfolgeabschätzungen.
Protokolle über Systemzugriffe.
Verträge mit Dienstleistern (z.B. Auftragsverarbeitungsvereinbarungen).
Mittelstands-Tipp: Beginnen Sie mit einer zentralen Ablage für alle Compliance-relevanten Dokumente, idealerweise digital und versioniert. Auch eine einfache Ordnerstruktur auf einem Netzlaufwerk kann ein guter Start sein.
Hilfreiche Software für Compliance-Management
Auch ohne teure Speziallösungen gibt es hilfreiche Software, die das Compliance-Management unterstützt. Dies können Dokumentenmanagementsysteme sein, Tools für das Identitäts- und Zugriffsmanagement oder auch einfache Checklisten und Vorlagen, die digital verwaltet werden.
Praxisbeispiel: Ein kleines Handelsunternehmen nutzte ein gängiges Cloud-Speichersystem, um alle Verträge, Richtlinien und Protokolle versionsgesteuert abzulegen. Für die Verwaltung von Zugriffsrechten wurde die vorhandene Active Directory-Struktur konsequent genutzt und regelmäßig überprüft.
Checkliste: Ihre Compliance-Quick-Wins
Relevante Gesetze identifizieren: Welche Gesetze und Verordnungen sind für Ihr Unternehmen wirklich wichtig (DSGVO, GoBD, branchenspezifische)?
Datenschutzbeauftragten benennen: Ist ein interner oder externer Datenschutzbeauftragter bestellt?
Verzeichnis von Verarbeitungstätigkeiten: Ist dieses aktuell und vollständig?
Technische und organisatorische Maßnahmen (TOMs): Sind diese dokumentiert und werden sie regelmäßig überprüft?
Mitarbeiterschulungen: Werden Ihre Mitarbeiter regelmäßig zum Thema Datenschutz und IT-Sicherheit geschult?
Revisionssichere Archivierung: Sind Ihre digitalen Finanzdaten GoBD-konform archiviert?
Dokumentation zentralisieren: Haben Sie eine zentrale Ablage für alle Compliance-relevanten Dokumente?
Auftragsverarbeitungsvereinbarungen (AVV): Sind diese mit allen externen Dienstleistern abgeschlossen, die personenbezogene Daten verarbeiten?
Notfallplan: Gibt es einen Plan für den Fall einer Datenpanne oder eines Cyberangriffs?
Regelmäßige Überprüfung: Führen Sie regelmäßige interne Audits oder Checks Ihrer Compliance-Maßnahmen durch?