GRC@SAVISCON

Practice what you preach! Das ist unter anderem unser Antrieb für das interne Projekt „GRC@SAVISCON“. Ziel ist es dabei unser eigenes GRC-Management strukturiert und digital mit unserer GRC-Management-Software (GRC-COCKPIT) abzubilden. Denn wir sind der Überzeugung: Das was man verkauft, muss man auch selbst leben und umsetzen. In der Beitragsreihe „GRC@SAVISCON“ wollen wir Sie auf unsere Reise mitnehmen und Ihnen Einblicke in unser Programm ermöglichen: Wie läuft es ab, wenn man ein strukturiertes digitales GRC-Management-System einführt? Welche Hürden gilt es zu überwinden und welche Vorteile zeichnen sich ab?

Compliance-Falle: Geschenke und Einladungen

Was ist erlaubt und was nicht?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Was bisher geschah: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Compliance-Management.

Kleine Geschenke sind doch ok – oder?

Kleine Geschenke erhalten die Freundschaft – heißt es so schön. Obwohl wir noch ein kleines Unternehmen sind und die Anzahl an Geschenken und Einladungen bisher überschaubar sind, wollen wir uns trotzdem aus Compliance-Sicht diesem Thema widmen. Die Bekämpfung von Korruption (Bestechung, Bestechlichkeit, Vorteilsgewährung, Vorteilsannahme) ist schließlich einer der wichtigsten Punkte aus dem Compliance-Management. So stellen sich also auch bei uns im Unternehmen folgende Fragen: wo fängt der Verdacht auf Korruption eigentlich an, was darf ich annehmen und was nicht?

Früher war es Gang und Gäbe: eine Essenseinladung in ein 3-Sterne-Lokal, VIP-Karten für ein Fußballspiel oder Vergünstigungen beim nächsten Einkauf. Heutzutage nicht mehr dran zu denken, da in vielen Unternehmen strenge Regeln gegen Korruption herrschen und das ist auch gut so. Kein Unternehmen möchte in den Verdacht der Bestechlichkeit geraten (Reputationsverlust), geschweige denn eine Geldstrafe oder sogar Freiheitsstrafe riskieren. Deshalb finden sich gerade in größeren Firmen Compliance-Richtlinien, die den Umgang mit Geschenken und Einladungen regeln und so die Mitarbeiter unterstützen, sich regelkonform zu verhalten. Aber auch ohne Richtlinie sollte jedem Mitarbeiter klar sein, dass er zu gesetzestreuem Verhalten verpflichtet ist. Es darf auf keinen Fall der Anschein entstehen, dass durch Geschenke persönliche Vorteile genutzt werden. Bei Verstoß droht dem Mitarbeiter die fristlose Kündigung. Um gar nicht erst in die Gefahr zu kommen, ist für uns als SAVISCON GmbH klar, dass wir eine interne Compliance-Richtlinie (Verhaltensrichtlinie) festlegen. Diese ist gerade innerhalb des laufenden Projektes in Arbeit.

Was ist erlaubt und was ist tabu?

Da es keine gesetzliche Regelung für die Grenze zwischen einer netten Aufmerksamkeit und einem Bestechungsversuch gibt, können neben festgelegten Wertgrenzen auch folgende Kriterien zur Beurteilung angewandt werden:

Zeitpunkt: Geschenke und Einladungen sollten in keinem engen zeitlichen Zusammenhang mit laufenden oder bevorstehenden Vertragsabschlüssen stehen.

Häufigkeit: Zuwendungen sollten sich nicht häufen und in einem angemessenen Maße stattfinden.

Angemessenheit: Ebenso ist es ein Unterschied, ob eine Essenseinladung zum Italiener um die Ecke stattfindet oder in ein nobles 3-Sterne-Restaurant. Allerdings kann es hier auch erlaubte Schwankungen geben, je nach hierarchischer Stellung der beteiligten Personen. Zuwendungen unter Geschäftsführern dürfen durchaus eine etwas höhere Wertkategorie erreichen.

Welche Wertgrenze sollte festgelegt werden?

In vielen Unternehmen wird die Grenze von 35,- € angewandt, denn bis zu dieser Grenze sind Geschenke an Geschäftspartner steuerlich absetzbar. Es können auch individuelle Wertgrenzen vereinbart werden (ggf. mit Genehmigung durch Vorgesetzte) – die Entscheidung liegt beim Unternehmen. Es gibt aber auch durchaus Firmen, die keinerlei Zuwendungen zulassen und ein komplettes Verbot in ihren Compliance-Richtlinien aussprechen. Auch Grundsätze wie diese können hilfreich sein:

Sinnbild Kugelschreiber als Geschenk = compliancekonform?

Sind Kugelschreiber als Geschenk in Ordnung? Foto von Jess Bailey Designs von Pexels

  • Werbeartikel (Kugelschreiber, Kalender etc.) sind in der Regel erlaubt
  • Keine Geschenke / Einladungen an Privatadressen
  • Keine Gutscheine oder Geldgeschenke
  • Keine Zuwendungen im Rahmen einer Vertragsanbahnung

Zusätzliche Vorsicht bei Amtsträgern

Amtsträger wie Richter, Notare, Beamte und Mitarbeiter der öffentlichen Verwaltung dürfen lt. § 331 ff. StGB überhaupt keine Zuwendungen annehmen. Selbst die Einladung zum Kaffee könnte problematisch gesehen werden. Von daher ist bei Amtsträgern zusätzliche Vorsicht geboten und es ist ratsam hier lieber komplett auf Geschenke und Einladungen zu verzichten.

Transparenz und Dokumentation

Werden Zuwendungen in einem bestimmten Rahmen zugelassen, sollte dies auch transparent dokumentiert werden. In der Praxis hat sich hier das Führen von Listen durchgesetzt, in denen alle Geschenke eingetragen werden. Gerade zu Weihnachten werden oft Kalender, besondere Weine, Präsentkörbe, etc. verschenkt. So kann durch den Compliance-Verantwortlichen kontrolliert werden, ob die Geschenke und Einladungen im erlaubten Rahmen bleiben. Genehmigungspflichtige Geschenke können dort ebenso dokumentiert werden wie wertvolle Geschenke, die abgelehnt wurden.

Compliance-Kultur und Schulung

Um eine gute Compliance-Kultur im Unternehmen aufzubauen, muss diese auch von allen gelebt werden. Deshalb ist es wichtig, dass sich auch Geschäftsführung und Management an Compliance-Richtlinien halten und diese offen und transparent vorleben. Außerdem sollten Mitarbeiter bei diesem sensiblen Thema umfassend geschult und aufgeklärt werden. Nur wenn allen klar ist, welche Art von Zuwendungen erlaubt und welche nicht erlaubt sind, kann entsprechend gehandelt und ein Missbrauch ausgeschlossen werden.

Aus der Praxis

Wir sind gerade dabei, unsere Compliance-Richtlinien weiter aufzubauen. Neben der „Annahme von Geschenken und Einladungen“ werden hier auch Themen wie Diskriminierung, Verschwiegenheit, Datenschutz, etc. geregelt sein. Die finale Richtlinie wird dann durch unseren Geschäftsführer verabschiedet, anschließend an alle Mitarbeiter kommuniziert und zentral abgelegt. Ebenso wird es eine Schulung für alle Mitarbeiter geben. Sie sehen: da ist noch viel zu tun. Los geht’s!

Wie ist die Annahme von Geschenken und Einladungen bei Ihnen geregelt?

…to be continued:

Hier die Zusammenfassung der wichtigsten Erkenntnisse zum Thema „Annahme von Geschenken und Einladungen“:

  • auch kleine Unternehmen wie wir sollten sich dazu Gedanken machen
  • es ist hilfreich, das gewünschte Verhalten in Compliance-Richtlinien festzuhalten
  • umso klarer Wertgrenzen und Regeln formuliert sind, desto besser
  • Compliance muss in allen Ebenen (vor)gelebt werden
  • Mitarbeiter sollten umfassend geschult werden

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Risiko-Management.

Über die Autorin:

Porträtfoto Karin Slezer

Karin Selzer ist als Compliance- und Datenschutz Consultant, sowie interne Datenschutzbeauftragte bei der SAVISCON GmbH tätig.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

Der Auftragsverarbeitungs-Vertrag (AVV)

Was ist der AVV und was muss rein?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

In diesem Blog-Beitrag sehen wir uns in unserem internen Projekt Datenschutz aus der Reihe GRC@SAVISCON (hier geht’s zum initialen Blog-Beitrag) den AV-Vertrag (Auftragsverarbeitungsvertrag) genauer an. Ein AV-Vertrag ist ein Vertrag über die Auftragsverarbeitung, der immer dann abgeschlossen werden muss, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden. Ganz neu ist das Thema nicht, denn im Bundesdatenschutzgesetz (BDSG) war das Dokument als ADV-Vertrag (Auftragsdatenverarbeitungs-Vertrag) bekannt.

Was hat sich durch die Einführung der EU-Datenschutz-Grundverordnung geändert?

Das Verhältnis zwischen Auftraggeber und Auftragnehmer wird schärfer ausgestaltet. Insbesondere durch die Rechenschaftspflicht wird man als verantwortliche Stelle deutlich stärker in die Pflicht genommen. Nach Art. 26 DS-GVO gibt es nun auch „Gemeinsame Verantwortliche“. Neu ist auch die gemeinsame Haftung von Auftraggeber und Auftragnehmer bei Datenschutzverstößen mit Schadenersatzansprüchen (Art. 82 DS-GVO).

Was passiert mit bereits bestehenden ADV-Verträgen auf Grundlage des BDSG?

Diese sollten neu verhandelt und neu abgeschlossen werden. Zumindest ist dies die datenschutzkonformere und damit sicherere Lösung. Ansonsten besteht auch die Möglichkeit alte ADV-Verträge durch Ergänzungsverträge an die neue gesetzliche Grundlage anzupassen. Das kann allerdings mit hohem manuellen Aufwand verbunden sein, wenn die ADV-Verträge nicht standardisiert, sondern sehr individuell gestaltet wurden.

Deckblatt eines Vertrags zur Auftragsverarbeitung

Auszug aus SAVISCON Muster AV-Vertrag

Inhalt eines AV-Vertrages

Folgende Bestandteile (Mindestanforderungen) muss ein AV-Vertrag lt. DS-GVO haben, um die einzelnen Rechte und Pflichten von Auftraggeber und Auftragnehmer bei der Auftragsverarbeitung zu regeln (Art. 28 DS-GVO):

  • Angaben zu Auftraggeber, Auftragnehmer und Vertreter innerhalb der EU
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Pflichten und Rechte des Verantwortlichen (z. B. Kontrollrecht)
  • Pflichten des Auftragsverarbeiters (z. B. Rückgabe bzw. Löschung personenbezogener Daten nach Auftragsende, Beschäftigung von Subunternehmer, Unterstützung bei Betroffenenanfragen und bei der Meldepflicht von Datenschutzverletzungen)
  • Sicherstellung von technischen und organisatorischen Maßnahmen (TOM)

Die Auflistung der technischen und organisatorischen Maßnahmen erfolgt üblicherweise in einer separaten Anlage zum AV-Vertrag und ist ebenfalls von beiden Parteien zu unterschreiben.

Screenshot: Auszug aus SAVISCON Muster Anlage 1 TOM

Auszug aus SAVISCON Muster Anlage 1 TOM

Woran erkenne ich einen Auftragsverarbeiter?

Ein „Auftragsverarbeiter“ ist eine natürliche oder eine juristische Person (Unternehmen), eine Behörde, eine Einrichtung oder eine andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Ein Auftragsverarbeiter bestimmt weder den Zweck noch die Mittel der Datenverarbeitung, dies obliegt ausschließlich dem Auftraggeber (Verantwortlicher). Allerdings darf der Auftragnehmer durchaus geeignete technische und organisatorische Schutzmaßnahmen selbst auswählen. Folgende Kriterien deutet auf eine Auftragsverarbeitung hin:

Der Auftragnehmer

  • hat keine Entscheidungsbefugnis über die Daten
  • verfolgt keinen eigenen Geschäftszweck bezüglich der personenbezogenen Daten
  • unterliegt einem Nutzungsverbot der zu verarbeitenden Daten
  • steht in keiner vertraglichen Beziehung zu den Betroffenen
  • ist nach außen hin nicht für die Datenverarbeitung verantwortlich, sondern der Auftraggeber

Klassische Auftragsverarbeiter sind z. B.

  • IT-Dienstleister, Hosting-Anbieter (Webseite)
  • Anbieter für Daten- und Aktenvernichtung (Datenschutztonne)
  • Externer Lettershop (Mailings)

Wann ist kein AV-Vertrag notwendig?

Eine einfach Frage, auf die es aber leider keine einfache pauschale Antwort gibt. Denn hier sind die einzelnen Aufsichtsbehörden und auch die Datenschutzkonferenz (DSK) nicht immer einer Meinung und es gibt immer mal wieder unterschiedliche Auslegungen.

Laut LDA Bayern stellt die Beauftragung mit fachlichen Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht, bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. D. h. wenn ein Dienstleister z. B. die Wartung an der Stromzufuhr oder an der Kühlung übernimmt, spricht man nicht von einem Auftragsverarbeiter (keine Verarbeitung personenbezogener Daten) und es ist kein AV-Vertrag notwendig.

Wird aber ein IT-Dienstleister, der sich z. B. per Fernwartung (IT-Support) auf den Rechner aufschalten kann und dabei Zugriff auf personenbezogene Daten haben könnte, als Auftragsverarbeiter gesehen. Sie sehen, es ist eine genaue Betrachtung des Dienstleisters und der Art der Verarbeitung notwendig.

Hier einige Beispiele aus der FAQ-Liste des LDA Bayern wann keine Auftragsverarbeitung vorliegt:

a) Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen z. B.

  • Berufsgeheimnisträger (Ärzte, Steuerberater, Rechtsanwälte, Wirtschaftsprüfer)
  • Inkassobüros mit Forderungsübertragung
  • Bankinstitute für den Geldtransfer
  • Postdienste für den Brief- oder Pakettransport
  • Matching-Dienste (z. B. Personalvermittler)

b) im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit z. B.

  • vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten
  • Sachverständige zur Begutachtung eines Kfz-Schadens
  • Personenbeförderung, Krankentransportleistungen
  • Bewachungsdienstleistungen
  • Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen

Muster AV-Verträge

Um einen datenschutzkonformen AV-Vertrag zu erstellen, müssen Sie das Rad aber nicht neu erfinden. Hier gibt es sehr gute Vorlagen, die auf jeden Fall eine gute Basis darstellen und an Ihr Unternehmen und Ihre Auftragsverarbeiter angepasst werden können:

Aktuell aus unserer Praxis

Wir arbeiten mehrmals im Jahr mit einer Telemarketing-Agentur zusammen, die für uns im Anschluss an Mailings Adressen abtelefoniert, um Beratungstermine zu vereinbaren oder Informationsmaterial zu versenden. Hier werden ganz klar personenbezogene Daten nach Weisung von uns als Auftraggeber verarbeitet. Zusätzlich zu den jeweiligen Einzelaufträgen (Hauptverträge) gibt es einen AV-Vertrag zwischen beiden Parteien, der so lange gültig sein wird, wie die Geschäftsbeziehung aktiv ist.
Den Abschluss haben wir natürlich auch in unserem GRC-COCKPIT dokumentiert, in dem wir eine Maßnahme dazu angelegt und mit dem erfassten Partner (Telemarketing-Agentur) verknüpft haben. So können wir auf Knopfdruck überprüfen, ob es sich bei dem Partner um einen Auftragsverarbeiter (Dienstleister) handelt und ob hier ein gültiger AV-Vertrag vorliegt. Denn dieser wird ebenfalls verknüpft bzw. fest als Anhang hinterlegt.
Sollte es neue Vorgaben der Datenschutzbehörden geben, können wir aus dem GRC-COCKPIT heraus eine Liste an Auftragsverarbeitern erstellen und so weitere Maßnahmen (z. B. AV-Vertrag aktualisieren) erzeugen und bis zum Abschluss überwachen. Natürlich handelt es sich bei diesem Prozess um einen Verarbeitungsprozess nach Art. 30 DS-GVO. Wie man ein solches Verzeichnis von Verarbeitungstätigkeiten aufsetzt, haben wir bereits in einem vorherigen Blog-Beitrag erklärt: Zum Beitrag Verzeichnis von Verarbeitungstätigkeiten aufbauen

Screenshot AVV in GRC-COCKPIT

Auszug aus dem GRC-COCKPIT: Maßnahme AV-Vertrag abschließen.

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse zum Thema „AV-Vertrag“:

  • Alte ADV-Verträge am besten neu verhandeln und abschließen
  • Prüfen, bei welchen Partnern es sich um Auftragsverarbeiter handelt
  • Wenn möglich Muster AV-Verträge verwenden
  • Übersichtliche Dokumentation der Partner / Auftragsverarbeiter inkl. AV-Verträge

Im nächsten Blog-Beitrag am 16. September, schauen wir wieder gemeinsam in das Projekt Compliance-Management.

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

3 Tipps für Ihre Informationssicherheits-Leitlinie

Was muss rein in die IS-Leitlinie?

von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) erfordert vor allem eines: viele Dokumente. Prozesse müssen ausgearbeitet und Verfahrensregeln sowie Richtlinien müssen erstellt werden. Der Satz „Die Organisation muss dokumentierte Informationen […] aufbewahren“ ist auf jeder Seite der DIN ISO 27001 Norm mehrfach zu finden. Das mit Abstand wichtigste Dokument ist dabei die Informationssicherheits-Leitlinie, in der ISO etwas befremdlich mit Informationssicherheits-Politik definiert. Im Folgenden möchte ich den Prozess zum Erstellen unserer SAVISCON IS-Leitlinie erläutern. Was muss in einer solchen Leitlinie enthalten sein und welche Besonderheiten sind zu beachten?

Die Informationssicherheits-Leitlinie

Eine Anforderung der ISO-Norm 27001 und somit auch des BSI IT-Grundschutzes, ist die Erstellung und Herausgabe einer Informationssicherheits-Leitlinie. Explizit wird dabei gefordert, dass die Herausgabe durch die oberste Leitung erfolgt. Natürlich muss letztendlich alles im Zuge der Informationssicherheit durch die oberste Leitung legitimiert werden, der Informationssicherheitsbeauftragte (ISB) hat nach dem Verständnis der ISO-Norm keine Entscheidungsgewalt. Anders als bei den meisten Dokumenten, sollte die oberste Leitung bei der Erstellung der IS-Leitlinie aber aktiv mitwirken. Die Leitlinie ist als Grundstein der Informationssicherheit der Organisation zu verstehen. Sie stellt ein Rahmenwerk dar und umreißt die strategischen Ziele, die eine Organisation mit Hilfe von Informationssicherheit erreichen möchte.

Was gehört in die IS-Leitlinie?

Die Anforderungen zur IS-Leitlinie sind im Normenkapitel 5.2 „Politik“ der ISO 27001 festgelegt:

Unter Punkt a) wird verlangt, dass die Leitlinie „de[m] Zweck der Organisation angemessen ist“. Hier sind die Überlegungen zum Kontext der Organisation gefragt, insbesondere der Geltungsbereich sollte explizit beschrieben werden. Des Weiteren sollte die oberste Leitung klarstellen, welchen Stellenwert Informationssicherheit in der Organisation haben soll. Wichtig ist auch, dass sich die gesamte Organisation, einschließlich der obersten Leitung und aller Mitarbeiter, zur Informationssicherheit bekennt und diese als gelebten Prozess in die Unternehmenskultur integriert. Hier soll der obersten Leitung eine Vorbildrolle zugesprochen werden, denn Informationssicherheit bedarf möglicherweise einiger Umstrukturierungen und Anpassungen. Angestellte werden zum Beispiel möglicherweise ihr Passwort besser auswählen und häufiger ändern, wenn sie wissen, dass der Chef dies auch umsetzt.

Punkt b) betrifft die Sicherheitsziele, also normalerweise Vertraulichkeit, Verfügbarkeit und Integrität. Diese Sicherheitsziele müssen in der Leitlinie explizit dargestellt werden. Sollte Ihre Organisation sich entscheiden weitere Sicherheitsziele zu formulieren, müssen diese ebenfalls in die Leitlinie aufgenommen werden.

Screenshot Sicherheitsziele der SAVISCON IS-Richtlinie.

So sieht der Abschnitt in der SAVISCON IS-Leitlinie aus.

Punkt c) ist der umfangreichste Punkt. Hier wird „eine Verpflichtung zur Erfüllung zutreffender Anforderungen mit Bezug zur Informationssicherheit“ gefordert. Die vorher definierten Sicherheitsziele müssen durch entsprechende Maßnahmen fortwährend eingehalten werden. Letztendlich handelt es sich dabei um das zu implementierende Informationssicherheits-managementsystem. Umreißen Sie daher wie das ISMS in Ihrer Organisation aussehen soll, zum Bespiel welche Befugnisse und Aufgaben der ISB bekommt und wie der Prozess der Informationssicherheit in Ihr Unternehmen integriert wird. Stellen Sie klar, dass Ihre Mitarbeiter ein elementarer Bestandteil der Informationssicherheit sind und sie daher sowohl Verantwortung übernehmen müssen, als auch von der obersten Leitung, zum Beispiel durch Schulungen, unterstützt werden. Wenn Sie schon ein Risiko- bzw. Compliance-Management oder ein Konzept dafür haben, könnte die Leitlinie beschreiben, wie diese Prozesse mit der Informationssicherheit verbunden werden.

Zum Schluss fordert Punkt d) „eine Verpflichtung zur fortlaufenden Verbesserung“. Informationssicherheit wird heutzutage zum großen Teil durch die IT-Sicherheit geprägt (siehe Blogpost Informationssicherheit vs. IT-Sicherheit). Durch die sich rasch verändernden Technologien und damit auch neue Arten von Schwachstellen und Angriffen müssen Sie ihr Informationssicherheitsmanagementsystem ständig auf dem neuesten Stand halten. So werden Sie auch Ihr ISMS selbst untersuchen und gegebenenfalls verbessern, falls die von Ihnen gewählten Maßnahmen nicht wirken oder nicht richtig umgesetzt werden. In der Leitlinie müssen Sie sich also zu einem kontinuierlichen Verbesserungsprozess bekennen und kurz beschreiben, wie sie diesen Prozess umsetzen wollen.

Zum Schluss folgt die Legitimation durch die oberste Leitung, mit der die Leitlinie in Kraft tritt. Zudem können Sie hier darauf hinweisen, dass die Leitlinie allen relevanten Parteien bekannt zu geben ist, dies ist eine weitere Anforderung der ISO-Norm.

Erstellen der Leitlinie

Nachdem wir nun einen guten Überblick erhalten haben, was in der Leitlinie stehen soll, geht es darum eine für Ihre Organisation geeignete Leitlinie zu erstellen.

Mein erster Tipp: Erfinden Sie das Rad nicht neu. Viele Unternehmen veröffentlichen Ihre Leitlinie im Zuge der Bekanntmachung und es gibt eine Menge Schulungsmaterialien frei erhältlich im Internet. Lassen Sie sich inspirieren und identifizieren sie die Aspekte, die zu Ihrem Unternehmen passen. Sehr wichtig ist auch die Kommunikation mit Ihrer Geschäftsführung, wie bereits gesagt, ist die Leitlinie vorrangig auch ein Bekenntnis der obersten Leitung zur Informationssicherheit. Ich habe mehrmals mit unserem Geschäftsführer gesprochen, um die Prioritäten zu erfassen. Daraufhin habe ich einen Entwurf erstellt und diesen dann meinem Chef vorgestellt. Im weiteren Austausch habe ich die Leitlinie mehrmals angepasst, bis wir schließlich zu einem Ergebnis gekommen sind.

Daher mein zweiter Tipp: Scheuen Sie sich nicht, erstmal etwas zu schreiben und es dann später zu verändern. Die Leitlinie, die Sie letztendlich veröffentlichen, werden Sie wahrscheinlich irgendwann anpassen müssen, wenn sich Ihr Unternehmen weiterentwickelt. Genau wie das ISMS an sich, unterliegt auch die Leitlinie einem Veränderungszyklus. Gerade vor der ersten Veröffentlichung wird das Dokument daher mehrere Iterationen durchlaufen.

Mein letzter Tipp: Halten Sie Ihre Leitlinie so kurz und prägnant wie möglich. Sie soll nur ein Rahmenwerk bzw. Fundament darstellen. Versteifen Sie sich nicht zu sehr auf Details. Insbesondere können Sie zu diesem Zeitpunkt noch nicht exakt abschätzen, wie das ISMS nachher aussehen wird. Bleiben Sie daher bei generellen Vorgaben. Außerdem ist die Leitlinie ein Dokument, das von Ihren Mitarbeitern und möglicherweise externen Parteien gelesen und idealerweise verinnerlicht werden soll. Dies erreichen Sie möglicherweis eher, wenn die Leitlinie nicht zu lang ist.

Fazit

Mir persönlich hat das Erstellen unserer Informationssicherheitsleitlinie viel Spaß gemacht, immerhin stellt die Veröffentlich einen ersten richtigen Schritt auf dem langen Weg zur Einführung unseres ISMS dar. Ich hoffe meine Erfahrungen können Ihnen bei der Erstellung Ihrer eigenen Leitlinie helfen. Ziehen Sie auch immer wieder die ISO 27001 zu Rate und vergleichen Sie den Inhalt Ihrer Leitlinie mit den Vorgaben. Dann werden Sie sicher zu einem zufriedenstellenden Ergebnis kommen.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:  daniel.strassberger@saviscon.de

Online Marketing und die DSGVO

Oder: „How to trigger a Marketing Professional”

Von Kerstin Wittemeier, Digital Marketing Managerin bei der SAVISCON GmbH

Ein Wort reicht aus und so gut wie jeder Online Marketer verdreht die Augen: Datenschutzgrundverordnung (DSGVO). Was war sie schön, die Zeit vor Mai 2018. Keine DSGVO. Kein Double-Opt-In. Keine komplizierten Cookie-Banner. Die DSGVO hat den Arbeitsalltag von Online Marketern verkompliziert, denn mit ihr sind auch einige rechtliche Stolpersteine hinzugekommen. So wurde beispielsweise die Nutzung von Google Analytics in Frage gestellt: Geht das überhaupt noch datenschutzkonform? Wir von der SAVISCON GmbH haben das interne Programm GRC@SAVISCON ins Leben gerufen, um unser eigenes Governance-, Risk- and Compliance-Management – darunter auch das Datenschutz-Management – strukturiert aufzubauen. Wir nutzen dazu unsere eigene GRC-Software, das GRC-COCKPIT. Aber darum soll es hier gar nicht gehen. Wir wollen viel mehr darüber berichten, was uns in der Marketing-Abteilung auf dieser Reise bisher aufgefallen ist und wie wir damit umgegangen sind. Was müssen Online Marketer beachten, um DSGVO-konform zu arbeiten? Disclaimer: Das hier soll und kann keine Handlungsempfehlung oder Rechtsberatung sein. Wir berichten lediglich von unseren ganz eigenen, individuellen Erfahrungen.

Wie betrifft die DSGVO das Online Marketing?

Vereinfacht gesagt: Die DSGVO soll personenbezogene Daten schützen. Also müssen wir uns im Online Marketing fragen: An welcher Stelle erheben und verarbeiten wir personenbezogene Daten und an welche Dienstleister geben wir sie eventuell sogar weiter? Personenbezogene Daten werden im Online Marketing beispielsweise hier erhoben:

  • Webanalyse-Tools (z. B. Google Analytics)
  • Schnittstellen zu Social Media Kanälen (z. B. Facebook Teilen-Buttons im eigenen Blog)
  • Kontaktformular auf der eigenen Webseite
  • Anmeldung zum Newsletter
  • Bestellung im Online-Shop

Hier haben wir im ersten Schritt eine Übersicht unserer Online Marketing Prozesse und Tools erstellt und festgehalten, welche personenbezogenen Informationen wir erheben und an welche Stellen wir sie weitergeben. Dieser Schritt ist Teil zum Aufbauen und Führen eins Verzeichnisses für Verarbeitungstätigkeiten. Dieses Verzeichnis ist eine Anforderung der DSGVO. Dafür ist bei uns im Unternehmen Karin Selzer (Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte der SAVISCON GmbH) zuständig. Sie hat dazu Feedback aus allen Fachabteilungen eingeholt, dokumentiert und in unser GRC-COCKPIT eingepflegt. Darüber hat sie schon in ihrem Blog-Beitrag „Verzeichnis von Verarbeitungstätigkeiten aufbauen“ berichtet.

Was sind personenbezogene Daten?

Laut Artikel 4 der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Kann Google Analytics datenschutzkonform eingesetzt werden?

Google Analytics kann zurzeit noch datenschutzkonform eingesetzt werden, wenn es dazu genutzt wird, Statistikdaten zu erheben und nicht, um den einzelnen Nutzer zu tracken. Dazu müssen einige Punkte beachtet werden. Hier eine Auflistung von Einstellungen und Maßnahmen, um Google Analytics datensparsam und nutzerfreundlich einzusetzen:

  • Auftragsverarbeitungsvertrag (AVV) mit Google abschließen
  • IP-Adresse der Nutzer anonymisieren
  • „User-ID-Funktion“ deaktivieren (damit könnte man einzelne User über verschiedene Geräte hinweg tracken)
  • Remarketing-Funktion deaktivieren (damit könnte man beispielsweise über Google Ads gezielt Anzeigen an Personen ausspielen, die die eigene Webseite bereits besucht haben)
  • Hinweis zu Deaktivierungs-Addon in die eigene Datenschutzerklärung einbinden
  • Opt-Out-Möglichkeit in der eigenen Datenschutzerklärung bereitstellen
  • keine weiteren Google-Dienste mit Analytics verknüpfen
  • Link auf die Datenschutzerklärung von Google in die eigene Datenschutzerklärung einbauen
  • Speicherdauer der Daten auf 14 Monate ab dem ersten Besuch begrenzen

Diese Einstellungen verwenden wir auch bei unserem Google Analytics Konto. Uns ist wichtig, dass wir erfolgreiche oder auch nicht so erfolgreiche Seiten und Blog-Beiträge auf unserer Webseite identifizieren können. Das setzen wir anhand der Besucherzahlen, der Absprungrate und der Verweildauer um. Für uns haben diese Informationen vor allem einen redaktionellen Nutzen, damit wir die Inhalte auf unserer Webseite noch besser auf die Interessen unserer Zielgruppe zuschneiden können.
Ein Bild, das Text enthält.

Google Analytics datenschutzkonform einsetzen: Screenshot aus dem GRC-COCKPIT

So haben wir die Nutzung von Google Analytics in unserem GRC-COCKPIT dokumentiert. Bisher haben wir drei Risiken aus dem Prozess abgeleitet.

E-Mail-Marketing datenschutzkonform gestalten

Zum Thema E-Mail-Marketing gibt es eine wichtige Änderung seit Einführung der DSGVO. Die Empfänger müssen dem Erhalt des Newsletters vorab zugestimmt haben. Das muss per Double-Opt-In geschehen, also einem doppelten Zustimmungsverfahren. Das bedeutet, dass sich die Interessenten selbstständig in den Newsletterverteiler eintragen, dann eine Mail erhalten und in dieser Mail nochmals bestätigen müssen, dass sie den Newsletter auch wirklich erhalten möchten. Gerade der zweite Schritt erschwert es den Marketern einen Newsletterverteiler aufzubauen, weil einige – auch wenn sie den Newsletter erhalten wollen – die Anmeldung im zweiten Schritt nicht bestätigen. Auch bei der Auswahl des Mailing-Tools ist Vorsicht geboten. Da hier personenbezogene Daten, wie Namen und Mailadressen, durch einen Drittanbieter verarbeitet werden, muss mit dem Tool-Anbieter ein AVV geschlossen werden. Das funktioniert meist unkompliziert online.

Außerdem ist besondere Vorsicht bei Anbietern aus dem nicht-europäischen Ausland geboten. Beliebte Anbieter sind da beispielsweise mailchimp oder hubspot. Denn 2020 hat der Europäische Gerichtshof das EU-US Privacy Shield für ungültig erklärt, nachdem sich Unternehmen freiwillig verpflichten konnten, der EU-DSGVO nachzukommen. Deutsche Unternehmen sollten also am besten direkt einen deutschen oder europäischen Anbieter auswählen, der ebenfalls den Vorgaben der DSGVO gerecht werden muss. In unserem Fall ist die Wahl auf rapidmail gefallen, ein Deutscher Anbieter mit Serverstandort in Deutschland. Wenn die Wahl dann auf einen Tool-Anbieter gefallen ist, muss dies auch transparent in der eigenen Datenschutzerklärung des Unternehmens kommuniziert werden.

Stolpersteine bei Cookie-Bannern

Laut DSGVO müssen Webseitennutzern den Cookies vorab zustimmen. Angenommen Sie nutzen zur Webanalyse Google Analytics, dann darf das Skript auf Ihrer Webseite erst laden und diese Drittanbieter-Cookies setzen, sobald der User dem auch zugestimmt hat – andernfalls nicht. Wenn Sie dem Nutzer die Wahl lassen, welche Cookies er annehmen kann, dann dürfen keine Optionen vorausgewählt sein. Wichtig ist außerdem, dass die Webseitenbesucher auf der ersten Seite, wenn sie mit einem Klick allen Cookies zustimmen können, auch an derselben Stelle alle Cookies mit einem Klick ablehnen können. Im besten Fall sind diese beiden Optionen dann auch optisch gleichwertig gestaltet. Außerdem müssen die Nutzer die Möglichkeit haben, ihre Cookie-Einstellungen jederzeit anpassen zu können und so auch im Nachhinein noch das Tracking unterbinden zu können. Cookie-Banner sollten nutzerfreundlich gestaltet werden und nicht dazu führen, die Absprungrate zu erhöhen.

Auszug aus der SAVISCON Datenschutzerklärung

Bearbeitungsmöglichkeit: Den Nutzern muss in der Datenschutzerklärung die Möglichkeit gegeben werden, im Nachgang die ihre Cookie-Einstellungen anzupassen.

Ausblick ePrivacy Verordnung (ePVO)

Die ePrivacy Verordnung soll zukünftig die DSGVO ergänzen und damit die in Deutschland bisher geltende ePrivacy Richtlinie ablösen. Ziel ist es, das Datenschutzniveau für Nutzer elektronischer Kommunikationsdienste zu verbessern und beispielsweise die Bestimmungen für Cookies und Cookie-Banner zu konkretisieren. Wann genau die ePVO in Kraft tritt ist noch unklar. Der Bundesverband Digitale Wirtschaft e. V. (BVDW) hat die Entwicklung der ePVO auf ihrer Webseite zusammengefasst: Aktuelle Informationen zur ePVO.

Zusammenfassung Datenschutz im Online Marketing:

  • Übersicht verschaffen: In welchen Digital Marketing Prozessen werden personenbezogene Daten erhoben?
  • Übersicht konkretisieren: Welche personenbezogenen Daten werden in diesen Prozessen erhoben und werden sie an Dritte weitergegeben?
  • Maßnahmen ableiten: Müssen Auftragsverarbeitungsverträge mit den Dienstleistern geschlossen werden? Müssen die Dienstleister in der Datenschutzerklärung genannt werden?
  • Bei Unsicherheit immer Rücksprache mit der intern zuständigen Person für den Datenschutz halten oder sich externen Rat einholen
  • Google Analytics kann datenschutzkonform eingesetzt werden, wenn die passenden Einstellungen vorgenommen werden; wichtig: Skript darf erst nach Cookie-Zustimmung laden
  • Augen auf bei der Newsletter-Software: arbeitet der Anbieter selbst DSGVO-konform?
  • Cookie-Banner müssen nutzerfreundlich gestaltet werden

Fakt ist: Auch wenn es manchmal lästig ist, der Datenschutz ist ein wichtiger Teil des Online Marketings. Marketer sollten bereits vor der Auswahl eines neuen Marketing-Tools die Augen offen halten und prüfen, ob der Anbieter der DSGVO gerecht wird. Im Zweifel lohnt sich vorab die Rücksprache mit dem internen Datenschutzbeauftragten. Das bewahrt einen vor Fehlentscheidungen und spart im Zweifel Zeit und Geld.

Über die Autorin

Porträt Kerstin WittemeierKerstin Wittemeier arbeitet als Digital Marketing Managerin bei der SAVISCON GmbH. Seit 2020 kümmert sie sich um die Inhalte für die Webseite, die Social Media Kanäle und den Blog. Bei Fragen, Anregungen oder zum Austausch: kerstin.wittemeier@saviscon.de

Wesentliche Risiken für kleine und mittelständische Unternehmen

Ausfall von Schlüsselpersonen im Unternehmen und/oder Wegfall eines Großkunden

von Uwe Straßberger, Director Marketing & Sales bei der SAVISCON GmbH

Im letzten Blog-Beitrag aus unserer Reihe GRC@SAVISCON ging es um das Compliance-Thema “Know Your Customer (KYC)”, heute kehren wir zum Projekt Risiko-Management zurück. Hintergrund: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag.

Ein kurzer Rückblick:

Zum Start des Risiko-Managements bei SAVISCON wurden in einem Brainstorming die abteilungsspezifischen Risiken von allen Organisationseinheiten gesammelt. Lesen Sie hier meinen ersten Blog-Beitrag aus dem Projekt Risiko-Management. Das Ergebnis war eine Anzahl von mehr als 70 Risiken. Für ein kleines Unternehmen wie unseres eine beachtliche Anzahl. Für mich als Risikomanager bestand die erste Aufgabe darin diese Risiken in das SAVSICON GRC-COCKPIT einzupflegen. Das war eine reine Fleißarbeit, die in dem Fall mit Copy & Paste relativ schnell erledigt war.

Im nächsten Schritt erfolgte die Aufforderung an die Abteilungen zu den einzelnen Risiken eine Bruttobwertung abzugeben. Auch das war mit der Funktion „Risikobewertung → Neue Organisationseinheit hinzufügen“ im Cockpit schnell erledigt. Der Workflow sorgt für eine gute Übersicht, sowohl für den Risikomanager als auch für die Fachbereiche, welche Bewertungsaufgaben an welche Organisationseinheiten verteilt wurden, und wann diese fällig sind. Bei der Betrachtung der Bewertungen, die die Kollegen dann termingerecht gemacht hatten, fiel mir auf, dass die meisten Risiken innerhalb der Risikomatrix eher in einem unkritischen Bereich lagen.

Wir erinnern uns: Ganz am Anfang hatten wir in unserem Risikoleitfaden den Risikoappetit des Unternehmens festgelegt und in die Risikomatrix des Cockpits übernommen. Mehr zum Thema Risikoappetit lesen Sie in meinem Blog-Beitrag “Wie funktioniert die Risikobewertung?” Bei weit mehr als der Hälfte der Risiken lag sowohl die Eintrittswahrscheinlichkeit als auch die Auswirkung (Schadenshöhe) bei „gering“ oder „mittel“. Für SAVISCON sind diese Stufen der Risikobewertungen weder in wirtschaftlicher, noch hinsichtlich unserer Reputation von besonderer Bedeutung.

Risikomatrix mit normalem Risikoappetit

Ein Beispiel für eine Risikomatrix mit einem normalem Risikoappetit.

Klar, es ist ärgerlich, wenn für einige Stunden unsere Homepage nicht erreichbar ist oder wenn es durch den Ausfall unserer CRM-Software zu einer vorübergehenden Einschränkung bei der Kundenbetreuung kommt. Gravierender sind da schon solche Risiken wie beispielsweise der Ausfall der Infrastruktur für das SAVISCON GRC-COCKPIT, weil unsere SaaS-Kunden dann vorübergehend nicht mit der Software arbeiten könnten. Übrigens: Bei diesem Risiko decken wir gleich zwei Bereich ab: Risiko-Management und IT-Sicherheitsmanagement. Das lässt sich bei uns im GRC-COCKPIT hervorragend miteinander verbinden.

Auch der Ausfall des technischen Supports hat unter Umständen weitreichendere Folgen. Unter anderem könnte in beiden Fällen unser Ansehen beim Kunden Schaden nehmen und bei einem länger andauernden Störfall könnten die Kunden eventuell sogar Schadensersatz einfordern oder den Lizenzvertrag kündigen. Alles ärgerlich, aber die Auswirkungen, die hinter diesen Risiken stecken hätten keine gravierenden wirtschaftlichen Folgen, solange nicht alle Kunden gleichzeitig abspringen. Es ist recht unwahrscheinlich, dass diese Risiken am Ende sogar existenzgefährdend für SAVISCON sein könnten. Damit sind wir beim Kern der Sache. In unseren Einführungsberatung für das SAVISCON GRC-COCKPIT empfehlen wir den Kunden:

Konzentrieren Sie sich am Anfang auf das Wesentliche
(Potenziell existenzgefährdende Normen und Risiken oder Risikoszenarien)

Wenn man als Unternehmen mit dem Risiko-Management startet hat man einen riesigen Berg an Arbeit vor sich. Risiken, aber auch Anforderungen und Normen müssen, identifiziert, eingepflegt und bewertet werden. Um die Situation bei kritischen Bewertungen zu verbessern, müssen dann noch Maßnahmen eingeleitet und Überwachungen durchgeführt werden. Das alles ist beim initialen Risikoprozess zeitintensiv und wird gerade bei kleineren und mittleren Unternehmen oftmals neben der eigentlichen Arbeit verrichtet. Das Risiko-Management ist jedoch ein fortlaufender Prozess, der mit einem strategischen Ansatz begonnen werden muss. Und klar ist: man kann nicht alles auf einmal schaffen.

Die Devise lautet also: Das Wesentliche zuerst!
Und das Wesentliche sind im ersten Step, die Risiken, die für ein Unternehmen wirtschaftlich gravierende Ausmaße haben oder im schlimmsten Fall sogar existenzgefährdend sein könnten. Natürlich gibt es auch bei uns eine Anzahl von Risiken, die in der Bruttobewertung, sowohl hinsichtlich der Eintrittswahrscheinlichkeit als auch der Auswirkung (Schadenshöhe) als „hoch“ oder „sehr hoch“ eingeschätzt wurden. Risiken deren Bearbeitung sicherlich eine hohe Priorität besitzen. Aber, es gibt zwei Risiken deren Auswirkungen eine potenziell existenzielle Gefährdung, mindestens aber einen erheblichen wirtschaftlichen Schaden für die SAVISCON bedeuten würden. Wobei eines der Risiken ein sog. Risikoszenario darstellt, weil es mehrere Einzelrisiken sind, die hier in der ungünstigen Zusammenwirkung eine hohe Gefährdung verursachen könnten. Konkret sind die folgenden Risken:

1. Der Wegfall eines Großkunden durch Umsatz- oder Zahlungsausfall
2. Der Ausfall von Schlüsselpersonen im Unternehmen

Hintergrund: Wachstum der SAVISCON GmbH

Foto SAVISCON-Team BesprechungSeit der Gründung der SAVISCON im Jahre 2010 lag das Kerngeschäft im Customer Communication- und Enterprise Content Management. Nachdem es in den ersten Jahren eine „One man show“, mit Ingo Simon als einzigem Mitarbeiter war, hatte das Unternehmen Ende 2018 vier Mitarbeiter. Seit wir Anfang 2019 mit der Vermarktung des SAVISCON GRC-COCKPIT und den dazugehörigen Dienstleistungen begonnen haben hat sich die Anzahl der Mitarbeiter vervielfacht.

Auswirkungen bei Risikoeintritt

Bevor wir mit den Risiko-Management begonnen haben, hatte sich niemand so richtig Gedanken über diese beiden Risiken gemacht. Fakt ist aber, dass ein Großteil des Umsatzes durch den Großauftrag eines Kunden generiert wurde, der durch alle Consulting Mitarbeiter erfüllt wurde. Somit war das Einkommen der Mitarbeiter und darüber hinaus auch die Existenz des Unternehmens von diesem einen Kunden abhängig. Ein Projektstopp oder Austausch der SAVISCON durch andere Dienstleister hätte fatale Folgen, es könnte bei fehlenden Folgeaufträgen das mögliche Aus der Firma und daraus resultierend die Arbeitslosigkeit der Mitarbeiter bedeuten.

Was den Ausfall der Schlüsselpersonen betrifft gab es im ersten Jahr nach dem Start des SAVISCON GRC-COCKPIT und den dazugehörigen Aktivitäten nur einen Mitarbeiter in unserer Entwicklungsabteilung. Die Auswirkungen eines kompletten Ausfalls dieses Mitarbeiters wären für das Projekt und somit für das Unternehmen dramatisch, unter Umständen sogar wiederum existenzgefährdend gewesen. In dieser Abteilung wird nicht nur die Software ständig weiterentwickelt, sie ist auch für das Bereitstellen der Instanzen für unsere Kunden sowie für den kompletten Support und die Wartung verantwortlich. Zu Beginn hatten wir also nur einen Mitarbeiter mit den notwendigen Programmierungskenntnissen. Sein Ausfall hätte uns jegliche Geschäftsgrundlage im Segment SAVISCON GRC-COCKPIT entzogen.

Wie oben bereits erwähnt gibt es ähnliche Risiken in Bezug auf Schlüsselpersonen auch für andere Organisationseinheiten, wie z. B. die Geschäftsführung oder Marketing & Vertrieb. Somit haben wir ein typisches Beispiel für ein Risikoszenario, mit dem Namen „Ausfall von Schlüsselpersonen“, weil es dasselbe Risiko mehrfach als Einzelrisiko in verschiedenen Abteilungen gibt.

Bei beiden Risiken – Ausfall Schlüsselperson und Wegfall Großkunde – war somit klar, dass die Schadenshöhe bei Eintritt für die SAVISCON existenzgefährdend sein könnte. Eine Einschätzung bezüglich der Eintrittswahrscheinlichkeit ist dabei nicht ganz einfach, jedoch für die Bewertung hier auch nicht ausschlaggebend. Fakt ist; es könnte eintreten (und es könnte auch jeden Tag eintreten) Der Schaden wäre in beiden Fällen zu hoch! Damit waren beide Risiken in der Matrix im roten Bereich und es gab sofortigen Handlungsbedarf in Form von Maßnahmen. Welche das warensehen Sie für das Großkundenrisiko im Screenshot:

Screenshot GRC-COCKPIT Ausfall Großkunde

Blick ins GRC-COCKPIT: So sieht das Risiko Umsatzausfall Großkunde in der Risiko-Management Software aus.

Maßnahmen Wegfall eines Großkunden

Dem Risiko „Wegfall eines Großkunden durch Umsatz- oder Zahlungsausfall“ begegnen wir dadurch, dass wir und insgesamt breiter aufstellen. Dazu sind wir derzeit in Verhandlungen mit strategischen Partnern. Eigentlich wollten wir das schon im April abgeschlossen haben, aber manchmal dauern solche strategischen Maßnahmen dann doch länger. Im Bild sieht man jedoch: Die Maßnahme ist rot, weil wir das gesetzte Zeitlimit überschritten haben. Wenn wir im August die Überwachung als durchgeführt und wirksam dokumentieren, weil wir dann voraussichtlich die Verträge unterzeichnen werden, wird diese Maßnahme grün
Dann wird auch das Risiko grün, weil nämlich die Maßnahme „Langfristigen Vertrag mit Bestandskunden abschließen“ erfolgreich zum Jahresbeginn umgesetzt wurde.
Des Weiteren betreiben wir heute fortlaufend die Akquise weiterer Kunden für unsere Consultingtätigkeiten im Customer Communication- und Enterprise Content Management. Zum anderen haben wir damit begonnen, das Geschäft der SAVISCON zu diversifizieren. Das ist durch die Aktivitäten des SAVISCON GRC-COCKPIT (Software und Dienstleistungen) bereits erfolgt. Darüber hinaus bereiten wir derzeit den Launch weiterer Produkte und Dienstleistungen vor. Diese Maßnahmen müssen wir in der Dokumentation im GRC-COCKPIT nun noch nachdokumentieren.
Diese Maßnahmen bedeuten für uns übrigens nicht nur die Minimierung unserer Risiken, sondern ermöglicht uns auch die Ausweitung unserer Geschäftsaktivitäten und, wenn wir erfolgreich sind, auch das Wachstum unseres Unternehmens. Womit wir einen klassischen Beweis dafür haben, dass Risiko-Management auch immer eine Chance bedeutet und zur guten Unternehmensführung beitragen kann.

Maßnahmen Ausfall von Schlüsselpersonen

Zum Risikoszenario „Ausfall von Schlüsselpersonen im Unternehmen“ haben wir unterschiedliche Maßnahmen durchgeführt. Für die Entwicklungsabteilung haben wir einen weiteren Mitarbeiter eingestellt und zusätzlich einen Mitarbeiter aus dem Consultingbereich, der über entsprechende Grundkenntnisse verfügt, durch Aus- und Weiterbildungsmaßnahmen als weiteren Backup fit gemacht. Für andere Abteilungen, wie die Geschäftsführung und Marketing & Vertrieb haben wir durch entsprechende Stellvertreterregelungen die Risiken des Komplettausfalls minimiert. Aus unternehmerischer Sicht ist es dabei durchaus hilfreich sehr pragmatisch vorzugehen. Gerade KMU’s können es sich aufgrund ihrer finanziellen Situation oftmals nicht leisten, „mal eben“ einen neuen Mitarbeiter einzustellen und sind daher auf entsprechende Zwischenlösungen angewiesen.
Übrigens: Auch durch die Rekrutierung eines neuen Mitarbeiters für die Entwicklungsabteilung konnte wir unsere Aktivitäten und das Portfolio unserer Dienstleistungen erweitern. Aufgrund vorhandener Kapazitäten haben wir diesen Kollegen zum ISMS-Manager (zertifiziert) ausbilden lassen und können somit im Bereich IT-Sicherheit weiteres Know-how anbieten, welches wir als Dienstleistungen bei potentiellen Kunden abrechnen können. Ein weiterer Beweis dafür, dass Risiko-Management auch immer eine Chance bedeutet.

Fazit

Beim Risiko-Management kommt es nicht darauf an von heute auf morgen perfekt zu sein und jedes kleinste Risiko zu erfassen und zu bearbeiten. Vielmehr geht es in erster Linie darum überhaupt einmal anzufangen und sich dabei auf das Wesentliche zu konzentrieren. Dabei ist es empfehlenswert, dass Sie zunächst mit den möglicherweise existenzgefährdenden Risiken anfangen und sich dann durch Ihre weitere Risikosammlung arbeiten. Unter dem Motto, „das Wichtigste zuerst“ werden sie nach und nach Ihr strukturiertes und umfangreiches Risiko-Management aufbauen. Mit Hilfe einer Software, wie dem SAVISCON GRC-COCKPIT, haben Sie dann fortlaufend alles im Griff.

Foto Uwe StraßbergerÜber den Autor:

Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de

Was bedeutet Know Your Customer (KYC)?

Compliance: Kennen Sie Ihre Kunden?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag aus der Reihe GRC@SAVISCON über das Durchführen der Datenschutz-Folgenabschätzung berichtet haben, soll es heute um den Compliance-Prozess „Know Your Customer“ gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: „Know your Customer“ (KYC) ist in aller Munde, doch was ist das überhaupt und was ist hier konkret zu tun? Diese Fragen haben wir uns im Projekt ebenso gestellt und wollen uns nun Schritt-für-Schritt dem Thema nähern.

Definition

Unter „Know your Customer“ (zu Deutsch: kenne deinen Kunden) versteht man die Prüfung von persönlichen Daten und Geschäftsdaten zur Prävention von Geldwäsche und Terrorismusfinanzierung. Grundlage bietet hier unter anderem das Geldwäschegesetz (GwG). Es gilt zu prüfen, mit wem das eigene Unternehmen da überhaupt Geschäfte macht und dabei geht es nicht nur um Kunden, sondern ebenso um Dienstleister, Lieferanten und Mitarbeiter (auch eine Gehaltszahlung ist eine Art finanzielle Unterstützung).
Und: früher galten Prüfungen eher nur für Unternehmen im Finanzsektor, doch mittlerweile trifft es Organisationen aller Branchen.

Um Wirtschaftskriminalität, Geldwäsche und andere kriminelle Machenschaften zu bekämpfen, bestehen zahlreiche nationale und internationale Prüf-Standards, die in keinem Compliance-Management fehlen dürfen. Taucht ein bestehender oder potenzieller Geschäftspartner oder Mitarbeiter z.B. auf einer Sanktionsliste oder PEP-Liste auf, sind weitere Untersuchungen notwendig. Eine bedenkliche Einstufung hat ggf. sogar eine Beendigung bzw. Verweigerung der Geschäftsbeziehung zur Folge. Es gibt zwar keine rechtliche Verpflichtung, dass jedes Unternehmen prüfen muss, aber jedes Unternehmen muss gewährleisten, dass keine sanktionierten Personen/Unternehmen Unterstützung bekommen. Unter „Unterstützung“ sind sämtliche Aktionen gemeint: es dürfen keine Gelder ausgezahlt werden; aber auch Warenlieferungen und/oder Dienstleistungen dürfen nicht (mehr) erbracht werden.

Bei Missachtung können neben Reputationsverlust auch diese Folgen drohen:

  • Bei fahrlässigen Verstößen: Ahndung als Ordnungswidrigkeit gem. § 19 AWG Geldbuße bis zu 500.000 €
  • Bei vorsätzlichen Verstößen: Bestrafung der Verstöße als Straftat gem. § 17 AWG, bis zu 10 Jahre Freiheitsstrafe bzw. gem. § 18 AWG bis zu 5 Jahren Freiheitsstrafe
  • ggf. auch Entzug der Geschäftserlaubnis

Sanktionslisten

Begonnen wurde mit der Prüfung von terrorverdächtigen Personen als Reaktion auf die Anschläge vom 11. September 2001. Als Grundlage gilt die vom UN-Sicherheitsrat erarbeitete UN-Sanktionsliste. Darauf aufbauend gibt es erweiterte europäische Sanktionslisten (EU-Listen) und eigene Sanktionslisten einiger Staaten, wie z.B. der USA, Großbritannien, Japan und der Schweiz. Nicht alle Listen sind für alle Unternehmen relevant. Es muss also im Vorfeld erstmal geprüft werden, welche Listen (mit welchen Schwerpunkten) auf das eigene Unternehmen Anwendung finden. An dieser Stelle möchten wir einige Listen kurz erwähnen und einen Einblick in diese geben:

CFSP-Liste / Common Foreign & Security Policy (EU-Liste):
Die CFSP-Liste ist von jedem in der EU ansässigen oder wirtschaftlich tätigen Unternehmen zu prüfen. In dieser konsolidierten Liste stehen sämtliche Personen, Organisationen und Vereinigungen gegen welche Finanz-Sanktionen seitens der EU bestehen. Alle EU-weiten Namenslisten, die im Zuge von Verordnungen im Europäischen Amtsblatt veröffentlicht werden, finden sich auf dieser konsolidierten Listensammlung. Die Einträge erfolgen daher mit unterschiedlichen Hintergründen zur Terrorbekämpfung, zur Umsetzung von Länderembargos, zur Folter-Bekämpfung und zur politischen, wie wirtschaftlichen Sanktionierung. Nach den geltenden EU-Verordnungen und dem AWG sind die Unternehmen dazu verpflichtet, einen wirtschaftlich und technisch vertretbaren Aufwand zu betreiben, alle Geschäftspartner gegen diese Liste zu prüfen. Das bedeutet, dass nicht nur exportierende Unternehmen, sondern auch Unternehmen, die nur in Deutschland Geschäfte machen, alle Geschäftspartner, Lieferanten, Kunden und auch die Mitarbeiter gegen diese Sanktionsliste prüfen müssen. Hier ein Auszug:

Screenshot Auszug aus der CFSP-Liste

Auszug aus der CFSP-Liste (Stand 02.07.2021)

SDN-Liste / Specially Designated Nationals (US-Liste):
Hier handelt es sich um eine US-Liste. In dieser Liste finden sich natürliche oder juristische Personen, welche in Aktivitäten verwickelt sind, die die Sicherheit der USA gefährden. Kommt es hier zu einem Treffer, muss bei diesem Handelspartner für den Austausch von Gütern, die der Export Administration Regulations (EAR) unterliegen, lediglich eine Genehmigung bei den amerikanischen Behörden beantragt werden. Hier kommt es also nicht zu einem generellen Verbot. Hier ein Auszug:

Screenshot Auszug aus der SDN-Liste

Auszug aus der SDN-Liste (Stand 02.07.2021)


DPL-Liste / Denied Persons List (US-Liste):

Bei dieser US-Liste sieht es dagegen etwas anders aus. In dieser Liste werden natürliche und juristische Personen geführt, welche gegen das US-Ausfuhrrecht verstoßen haben. Das Bureau of Industry an Security (BIS) hat gegen diese Personen eine Verbotsverfügung (Denial Order) erlassen. Für diese Personen gilt ein umfassendes Verbot für den Handel mit US-Produkten.

Das Thema Sanktionsliste bedarf also einer näheren und individuelleren Betrachtung – je nach Geschäftsfeld des eigenen Unternehmens muss erstmal geprüft werden, welche Sanktionslisten relevant sind.
(Quelle der Listen: https://www.bex.ag/sanktionslisten/)

Was muss genau geprüft werden?

Wenn ich die notwendigen Sanktionslisten eruiert habe, kann anhand von Vorname, Name, Adresse und Geburtsdatum geprüft werden, ob es Übereinstimmungen zwischen dem jeweiligen Geschäftspartner oder Mitarbeiter und einer sanktionierten Person gibt. Doch auch hier muss berücksichtigt werden, dass Übereinstimmungen auch oft nur durch Namensgleichheit bzw. -ähnlichkeit entstehen können. Hier ist es zwingend notwendig, weitere Kriterien wie Anschrift und Geburtsdatum hinzuzuziehen.

Wie kann ein Abgleich stattfinden?

Auf der Seite Justizportal des Bundes und der Länder gibt es unter Onlinedienste => Finanz-Sanktionsliste die Möglichkeit, Einzelprüfungen vorzunehmen: Finanzsanktionsliste 2021 (finanz-sanktionsliste.de). Bei einem großen Stamm an Geschäftspartnern ist dies aber mit hohem Aufwand verbunden und deshalb gibt es mittlerweile eine Vielzahl an Anbietern, die zur Prüfung eine eigene Software anbieten, die dann z.B. über Schnittstellen an das hausinterne Bestandssystem angebunden werden können.

Wie oft sollte geprüft werden?

Da sich der Status einer Person im Laufe der Zeit ändern kann, reicht eine einmalige Prüfung zu Beginn einer Geschäftsbeziehung nicht aus. Demnach wird empfohlen, in der Praxis mind. alle 3 Monate eine Stammdatenprüfung durchzuführen. Dies ist zwar nicht gesetzlich verbindlich vorgeschrieben, aber das Unternehmen muss wie bereits erwähnt gewährleisten, dass keine Geschäfte mit sanktionierten Personen stattfinden.

PEP-Listen

Völlig unabhängig von diversen Sanktionslisten gibt es auch noch PEP-Listen, die ggf. berücksichtigt werden müssen. Steht man in Beziehung zu sogenannten politisch exponierten Personen (Politiker, Behörden, etc.) so spielt die Prüfung von PEP-Listen zur Vermeidung von Korruption und Bestechung eine wichtige Rolle. Eine PEP im Sinne des GwG ist eine natürliche Person, die ein hochrangiges wichtiges öffentliches Amt auf internationaler, europäischer oder nationaler Ebene oder ein öffentliches Amt unterhalb der nationalen Ebene, dessen politische Bedeutung vergleichbar ist, ausübt (§ 1 Abs. 12 GwG). Juristische Personen sind keine PEPs.

Zu den politisch exponierten Personen gehören insbesondere:
a) Staatschefs, Regierungschefs, Minister, Mitglieder der Europäischen Kommission, stellvertretende Minister und Staatssekretäre,
b) Parlamentsabgeordnete und Mitglieder vergleichbarer Gesetzgebungsorgane,
c) Mitglieder der Führungsgremien politischer Parteien,
d) Mitglieder von obersten Gerichtshöfen, Verfassungsgerichtshöfen oder sonstigen hohen Gerichten, gegen deren Entscheidungen im Regelfall kein Rechtsmittel mehr eingelegt werden kann,
e) Mitglieder der Leitungsorgane von Rechnungshöfen,
f) Mitglieder der Leitungsorgane von Zentralbanken,
g) Botschafter, Geschäftsträger und Verteidigungsattachés,
h) Mitglieder der Verwaltungs-, Leitungs- und Aufsichtsorgane staatseigener Unternehmen,
i) Direktoren, stellvertretende Direktoren, Mitglieder des Leitungsorgans oder sonstige Leiter mit vergleichbarer Funktion in einer zwischenstaatlichen internationalen oder europäischen Organisation;

Neben den eigentlichen Amtsträgern gelten auch unmittelbare Familienmitglieder (Ehe-/Lebenspartner, Kinder, Eltern, Geschwister) und evtl. enge Vertraute als PEP.

Bei der Zusammenarbeit mit einer politisch exponierten Person (PEP) wird ein erhöhtes Risiko von strafrechtlich relevanten Aktivitäten wie Geldwäsche, Korruption oder Steuerhinterziehung angenommen und aus diesem Grund schreibt das GwG die Einhaltung verstärkter Sorgfaltspflichten vor (§ 15 GwG, Anlage 2 zum GwG). Leider gibt es keine staatliche oder übergeordnete Stelle (UN oder EU), die offizielle PEP-Listen herausgibt. Zur Prüfung gibt es hier aber ebenso zahlreiche (kostenpflichtige) Datenbanken von diversen Anbietern. Es besteht zwar aber keine Verpflichtung, die am Markt angebotenen PEP Datenbanken zu nutzen, aber die Nutzung indiziert in aller Regel die angemessene Erfüllung der Pflichten zur Abklärung des PEP-Status. Bei Missachtung dieser Pflicht kann es zu hohen Geldbußen und Reputationsverlust führen.

Wie geht es weiter?

Unser Ziel ist es, in unserem GRC-Cockpit sämtliche Prüfungen direkt aus den Stammdaten vorzunehmen bzw. ein System zur Prüfung an das GRC-Cockpit anzubinden. In den nächsten Schritten werden wir relevante Listen weiter eruieren, Software von unterschiedlichen Anbietern testen und die bestehenden Möglichkeiten unseres Systems prüfen. Über die weitere Entwicklung halten wir Sie über unsere Blog-Beiträge auf dem Laufenden.

…to be continued:

Hier die Zusammenfassung der wichtigsten Erkenntnisse zum Thema „Know your Customer“:
• auch Unternehmen, die nur in Deutschland Geschäfte machen müssen gegen Sanktionslisten prüfen
• welche Listen genau relevant sind, sind individuell für das Unternehmen zu betrachten
• Sanktionslisten und PEP-Listen sind erstmal unabhängig voneinander zu betrachten
• Einzelprüfungen oder Software / Datenbank – diese Entscheidung muss getroffen werden
• Eine einmalige Prüfung reicht nicht aus – Stammdaten müssen regelmäßig gegen Listen geprüft werden

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Risiko-Management und beleuchten die wesentlichen Risiken für kleine und mittelständische Unternehmen (KMU).

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

Datenschutz-Folgenabschätzung

GRC@SAVISCON: Datenschutz

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „Verzeichnis von Verarbeitungstätigkeiten“ der Reihe GRC@SAVISCON über dessen Aufbau und die damit verbundenen Herausforderungen berichtet haben, soll es heute um die Datenschutz-Folgenabschätzung gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Datenschutz.

Ein kurzer Rückblick:

In meinem letzten Blog-Beitrag habe ich ausführlich über das Verzeichnis von Verarbeitungstätigkeiten (VVT) berichtet und darüber, dass das Verzeichnis als Zentrum/Kern gesehen werden kann. Eine Verarbeitungstätigkeit stellt einen Prozess dar, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden. Am Ende unseres Projektes GRC@SAVISCON wollen wir alle entsprechenden Prozesse vollständig (mit mind. allen Pflichtangaben, die ein VVT haben muss) in unserer eigenen GRC-Software (GRC-COCKPIT) erfasst haben.

Aktuell ist der Stand noch nicht ganz erreicht, da und das Tagesgeschäft uns mit den begrenzten Ressourcen allzu oft daran hindert, alle relevanten Informationen einzusammeln und einzutragen. Hier werden noch ein paar Abstimmungstermine mit den Fachbereichen notwendig sein. Wie Sie sehen, ist hier der Austausch zwischen Datenschutz und Fachbereichen sehr wichtig und unumgänglich. Aus dem Bereich Datenschutz kommt die Struktur, der Anstoß und eine Empfehlung – der fachliche Inhalt muss aber aus der Organisation heraus erstellt werden.

Wie aber hängt nun die Datenschutz-Folgenabschätzung mit dem VVT zusammen?

Im Verzeichnis kann auf Dokumente, Richtlinien, Vertragswerke, Rechtsgrundlagen, Maßnahmen, etc. verwiesen werden. Der Prozess ist somit als Verarbeitungstätigkeit bereits dokumentiert und es kann direkt eine Datenschutz-Folgenabschätzung (falls notwendig) als Maßnahme abgeleitet werden. Diese Funktion ist bereits in unserem GRC-COCKPIT umgesetzt. Aber dazu später mehr …

Was ist eigentlich eine Datenschutz-Folgenabschätzung (DSFA)?

Eine DSFA ist eine Form der Risikobewertung inkl. möglicher Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Führt die Art der Verarbeitung voraussichtlich zu einem hohen Risiko für die Betroffenen, so muss der Verantwortliche vorab (also vor Inkrafttreten dieser neuen Verarbeitungstätigkeit) eine Datenschutz-Folgenabschätzung durchführen. Dabei holt er den Rat des Datenschutzbeauftragten (sofern ein solcher benannt wurde) ein (gemäß Art. 35 Abs. 2 DS-GVO). Dieser prüft die Risiken und gibt abschließend eine Empfehlung / Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab.

Wann ist eine DSFA notwendig?

Gemäß Art. 35 Abs. 1 DS-GVO ist eine Datenschutz-Folgenabschätzung durchzuführen, wenn:

„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat]“.

In Art. 35 Abs. 3 DS-GVO werden folgende Beispiele genannt:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO oder
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Was bedeutet das nun für uns in der Praxis?

An dieser Stelle möchte ich zum einen die abgestimmte „Muss-Liste“ der Datenschutzkonferenz (DSK – Gremium der deutschen Datenschutzaufsichtsbehörden) und zum anderen ein Working Paper (WP) der Art. 29 Gruppe erwähnen. Diese beiden Quellen haben es mir leichter gemacht, das Thema DSFA besser einordnen und umsetzen zu können.
In der sogenannten „Muss-Liste“ (DSFA_MUSS_LISTE_DSK_DE.PDF – Stand 17.10.2018) werden Beispiele von Verarbeitungstätigkeiten aus der Praxis aufgeführt, für die eine DSFA zwingend durchzuführen ist.

Screenshot der Liste der Verarbeitungstätigkeiten Datenschutz-Folgenabschätzung

Screenshot: Auszug aus der DSK „Muss-Liste“

Im WP 248 (Stand 04.10.2017) hingegen, werden ab Seite 10 insgesamt 9 Kriterien aufgeführt, die für die eigene Bewertung hinzugezogen werden können, wenn die betreffende Verarbeitungstätigkeit nicht in der Muss-Liste aufgeführt ist. Außerdem sind ebenfalls Praxisbeispiele zur Orientierung aufgeführt.

Screenshot Auszug aus dem Working Paper 248 - Kriterien

Screenshot: Auszug aus dem Working Paper 248 – Kriterien

Screenshot Auszug aus dem Working Paper 248 - Praxisbeispiele

Auszug aus dem Working Paper 248 – Praxisbeispiele

Um es auch unseren Kunden des GRC-COCKPIT bei der Entscheidung „Datenschutz-Folgenabschätzung, ja/nein?“ einfacher zu machen, haben wir eine Checkliste mit den Inhalten aus den oberen beiden Dokumenten in die Software eingebaut. Anhand der Liste kann der User die Bewertung pro Verarbeitungstätigkeit durchführen und die entsprechenden Antworten vermerken.

Screenshot GRC-COCKPIT „Checkliste DSFA”

Auszug GRC-COCKPIT „Checkliste DSFA”

Wird mind. eine Frage mit ja beantwortet, so wird im GRC-COCKPIT systemtechnisch mittels eines Anwenderhinweises nachgefragt, ob eine Maßnahme „Datenschutz-Folgenabschätzung durchführen“ abgeleitet werden soll. Wird dies bestätigt, hat der Verantwortliche gleich eine Maßnahme im System hinterlegt und kann dies nicht mehr vergessen. Wird keine Maßnahme erstellt, so wird nur die Checkliste mit den aktuellen Angaben gespeichert.

Screenshot GRC-COCKPIT „Maßnahme DSFA ableiten?”

Auszug GRC-COCKPIT „Maßnahme DSFA ableiten?”

In der Verarbeitungstätigkeit selbst ist dann der aktuelle Status entsprechend dokumentiert:

Auszug GRC-COCKPIT „Datenschutz-Folgenabschätzung notwendig? Status offen / ja / nein”

Auszug GRC-COCKPIT „Datenschutz-Folgenabschätzung notwendig? Status offen / ja / nein”

Wie ist eine DSFA durchzuführen?

Gemäß Art. 35 Abs. 7 müssen folgende Punkte enthalten sein:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Sie sehen, auch beim Thema Datenschutz-Folgenabschätzung nutzen wir Orientierungshilfen und Kurzpapiere der Aufsichtsbehörden bzw. der Datenschutzkonferenz. So treiben wir Stück für Stück unser Datenschutz-Projekt voran und entwickeln parallel unsere eigene GRC-Software (GRC-COCKPIT) weiter, damit wir unseren Kunden auch weiterhin passende Lösungen für aktuelle Anforderungen bieten können.

…to be continued:

Hier die Zusammenfassung der wichtigsten Erkenntnisse zum Thema Datenschutz-Folgenabschätzung:

  • Datenschutz-Folgenabschätzung hört sich komplizierter an, als sie ist
  • Orientierungshilfen und Kurzpapiere können eine gute Grundlage geben, um die Artikel der DS-GVO praxistauglich umzusetzen
  • es lohnt sich, Zeit und Mühe in das Verzeichnis von Verarbeitungstätigkeiten zu stecken, da die Notwendigkeit einer DSFA direkt aus der einzelnen Verarbeitungstätigkeit bewertet werden kann
  • es ist sehr hilfreich, alles in einem System (z. B. unser GRC-COCKPIT) abbilden zu können, so werden Doppelerfassungen und Abweichungen vermieden und es findet eine zentrale Dokumentation und Kontrolle statt.

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

 

Verzeichnis von Verarbeitungstätigkeiten aufbauen

GRC@SAVISCON: Datenschutz-Management

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „GoBD – was hat sich geändert?“ der Reihe GRC@SAVISCON über die Aktualisierungen der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) berichtet haben, soll es heute um das Verzeichnis von Verarbeitungstätigkeiten gehen.

Ein kurzer Rückblick:

Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag.

In meinem letzten Blog zum Thema Datenschutz habe ich über das Verzeichnis von Verarbeitungstätigkeiten berichtet und darüber, dass das Verzeichnis als Zentrum bzw. Kern angesehen werden kann. Die komplette Dokumentation lässt sich um das Verzeichnis herum aufbauen und es kann auf Dokumente, Richtlinien, Vertragswerke, Rechtsgrundlagen und Maßnahmen verwiesen werden.

Was gehört alles in das Verzeichnis von Verarbeitungstätigkeiten?

Zur besseren Übersicht kann man mit dem Verzeichnis in übergeordneten Gruppen/Abteilungen starten (z. B. Personal, Buchhaltung, Vertrieb, Marketing) und dann mit Unterstützung der KollegInnen die entsprechenden Verarbeitungstätigkeiten darunter sammeln. Eine Verarbeitungstätigkeit stellt einen Prozess dar, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden, z. B. die Lohn- und Gehaltsabrechnung, ein System zur Zeiterfassung, das Bewerbermanagement oder die Videoüberwachung von Verkaufsräumen.

Detailtiefe bestimmen – eine Herausforderung

Als wir mit unserem Verzeichnis gestartet sind, haben wir uns immer wieder die Frage gestellt, was eigentlich als eine Verarbeitungstätigkeit zu sehen ist – wie feingranular muss das Verzeichnis aufgebaut werden? Hier kann keine pauschale Aussage getroffen werden, denn jedes Unternehmen ist individuell zu betrachten und natürlich spielt auch die Größe des Unternehmens eine Rolle. Aber wir haben für die SAVISCON entschieden, dass wir immer eine neue Verarbeitungstätigkeit dokumentieren, sobald sich die Kategorie der Daten oder die Gruppe der Empfänger unterscheidet.

Hier ein Beispiel aus der Praxis:

Mehrmals im Jahr führen wir Telemarketing-Aktionen über einen Dienstleister durch. Hierbei handelt es sich immer wieder um die gleichen Datenkategorien (Personendaten, Kontaktdaten) und auch die Empfänger (Dienstleister A und die Deutsche Post) sind identisch. Dieser Prozess wird als eine Verarbeitungstätigkeit in unserem Verzeichnis geführt, obwohl sie mehrmals im Jahr zu unterschiedlichen Themen/Produkten durchgeführt wird. In unserem GRC-COCKPIT ist dieser Prozess dann auch mit den Stammdaten von Dienstleister A verknüpft inkl. Dienstleistungsvertrag und Auftragsverarbeitungsvertrag.

Screenshot aus dem GRC-COCKPIT

Verknüpfung vom Prozess und der Verarbeitungstätigkeit mit dem Partner.

Wenn wir jetzt aber eine Telemarketing-Aktion mit einem anderen Dienstleister durchführen, wird es dazu eine neue, weitere Verarbeitungstätigkeit in unserem Verzeichnis geben. Auch wenn die gleichen Datenkategorien verarbeitet werden, haben wir einen anderen Empfänger der Daten (Dienstleister B und die Deutsche Post). Der neue Dienstleister wird ebenfalls in unserem GRC-COCKPIT als Partner erfasst und sämtliche Verträge damit verknüpft (Hauptvertrag und AV-Vertrag). So können wir ein strukturiertes Verzeichnis sicherstellen und behalten zusätzlich den Überblick über die Auftragsverarbeiter und die dazugehörigen Verträge. Endet eine Zusammenarbeit mit einem der Auftragsverarbeiter, so kann die Verarbeitungstätigkeit geschlossen/deaktiviert werden. Müssen AV-Verträge aktualisiert werden, kann ich über aktive Verarbeitungstätigkeiten die Auftragsverarbeiter ermitteln, die Aktualisierung strukturiert angehen und im GRC-COCKPIT zur besseren Nachverfolgung Termin-Überwachungen einrichten.

Screenshot aus dem GRC-COCKPIT

Verknüpfung von Partner mit Maßnahme und Anhängen.

Wie erkenne ich eine Verarbeitungstätigkeit?

Eine weitere Frage, die uns immer wieder beschäftigt: ist das überhaupt eine Verarbeitungstätigkeit und wenn ja, von uns oder von unserem Dienstleister? Wieder ein Beispiel aus der Praxis: Webinare über XING bewerben.
Wir haben uns dazu entschlossen, kostenfreie Webinare anzubieten und über XING zu bewerben. Wir nutzen XING als Dienstleister und XING schlägt unser Event in unserem Auftrag beispielsweise allen IT-Leitern vor und macht sie so auf unser Webinar-Angebot aufmerksam. Da wir in diesem Szenario keine Personen direkt anschreiben, findet keine Verarbeitung von personenbezogenen Daten durch uns statt, also keine Verarbeitungstätigkeit von uns – wohl aber von XING. Erst durch eine aktive Anmeldung zum Webinar erhalten wir personenbezogene Daten (Name, E-Mail-Adresse, etc.) und nutzen diese für die Termineinladung – erst jetzt ist es eine Verarbeitungstätigkeit für unser Verzeichnis.

Warum das Verzeichnis so wichtig ist:

Wie eingangs erwähnt, kann das Verzeichnis den zentralen Kern darstellen, um den man alles weitere aufbaut:

Grafik Verzeichnis von Verarbeitungstätigkeiten als Kern

Das Verzeichnis von Verarbeitungstätigkeiten als Kern des Datenschutz-Managements.

Mit jeder dokumentierten Verarbeitungstätigkeit werden die dazugehörigen Maßnahmen (TOM) verknüpft und dokumentiert. Werden Auftragsverarbeiter eingesetzt, so können die entsprechenden Vertragswerke (Dienstleistungsverträge, AV-Verträge, etc.) hinterlegt werden. Ebenso können aus dem Verzeichnis heraus Richtlinien (z. B. Archivierungsrichtlinien, Passwortrichtlinien, etc.), Arbeitsanweisungen und Konzepte (z. B. Löschkonzept) verlinkt werden.
Zur Erfüllung eines Auskunftsersuchens (Betroffenenrechte laut DSGVO) liefert das Verzeichnis wichtige Informationen, nämlich welche Daten sind wo gespeichert und warum und wie lange. Und auch eine Datenschutz-Folgenabschätzung kann (falls notwendig) direkt aus der entsprechenden Verarbeitungstätigkeit abgeleitet werden. Sie sehen, es lohnt sich Zeit und Mühe in das Verzeichnis zu stecken, da viele andere Themen darauf aufgebaut werden können.

In meinem nächsten Datenschutz-Blog wird die Datenschutz-Folgenabschätzung (kurz: DSFA) Thema sein. Auch hier haben wir in unserem GRC-COCKPIT neue Features eingebaut. Lassen Sie sich überraschen …

…to be continued:

Hier die Zusammenfassung der neuen Erkenntnisse aus dem Projekt Datenschutz:

  • für die Struktur des Verzeichnisses am besten mit übergeordneten Gruppen (Abteilungen) starten und darunter die einzelnen Verarbeitungstätigkeiten sammeln
  • Festlegung treffen, wie feingranular das Verzeichnis aufgebaut werden soll
  • das Verzeichnis kann als Zentrum/Kern gesehen werden
  • es lohnt sich, Zeit und Mühe in das Verzeichnis zu stecken, da alles Weitere darauf aufbaut

Im nächsten Blog-Beitrag schauen wir wieder in das Projekt Datenschutz: Datenschutz-Folgenabschätzung.

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

GoBD – was hat sich geändert?

GRC@SAVISCON: Compliance-Management

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „GRC@SAVISCON: IT-Sicherheit“ der Reihe über unsere Schritte nach der Schutzbedarfsanalyse berichtet haben, soll es heute um Compliance gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Compliance.

In meinem letzten Compliance-Blog-Beitrag habe ich über die Vorschrift GoBD geschrieben (GoBD = „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“) und dass sie zuletzt mit dem Stand von November 2019 zum 01.01.2020 aktualisiert wurde. Im GRC-COCKPIT hatten wir die GoBD als Norm bereits hinterlegt, haben jetzt aber festgestellt, dass wir die Aktualisierung der Norm noch durchführen müssen. Um welche Änderungen es sich genau handelt, will ich nun näher ausführen.

Am grundsätzlichen Aufbau der GoBD und der Nummerierung hat sich nicht viel verändert, aber es gibt einige Anpassungen, die aufgrund technischer Entwicklungen und zunehmender Digitalisierung längst überfällig waren. Hier ein paar Beispiele:

Verwendung von Cloudtechnologien

Im Kapitel 1.11 Datenverarbeitungssystem wurde unter Punkt 20 ergänzt, dass die Nutzung von Cloudsystemen ebenso möglich ist. Das Datenverarbeitungs- und Ablagesystem kann auch aus einer Kombination von eigener Hard- bzw. Software und einem Cloudsystem betrieben werden. Wichtiger Hinweis: Befindet sich der Cloud-Server im Ausland, ist eine Genehmigung zur Aufbewahrung der Buchführungsunterlagen im Ausland gem. § 146 Abs. 2 AO erforderlich.

Auszug aus der GoBD Stand 01.01.2015 (alt): Auszug aus der GoBD Stand 01.01.2020 (neu):

Digitalisierung von Belegen

Im Kapitel 9.2 Elektronische Aufbewahrung ist unter Punkt 130 beschrieben, dass Handels- oder Geschäftsbriefe sowie Buchungsbelege in Papierform empfangen und danach elektronisch erfasst (gescannt) werden dürfen. Durch die Aktualisierung wird nun klargestellt, dass auch das mobile Scannen bzw. Abfotografieren mittels Smartphone erlaubt ist. Dies gilt sowohl im In- als auch im Ausland und stellt gerade bei Reisekostenabrechnungen eine erhebliche Erleichterung dar. Das elektronische Dokument muss selbstverständlich weiterhin bildlich mit dem Original übereinstimmen.

Auszug aus der GoBD Stand 01.01.2015 (alt): Auszug aus der GoBD Stand 01.01.2020 (neu):

Umwandlung (Konvertierung) und Aufbewahrung von Belegen

Ebenfalls im Kapitel 9.2 Elektronische Aufbewahrung ist unter Punkt 135 eine weitere Erleichterung zu finden, und zwar ist es zukünftig ausreichend die konvertierte Fassung aufzubewahren, wenn bestimmte Voraussetzungen erfüllt sind (s. nachfolgenden Auszug). Die Ursprungsversion kann dann vernichtet werden.

Auszug aus der GoBD Stand 01.01.2015 (alt): Auszug aus der GoBD Stand 01.01.2020 (neu):

Verfahrensdokumentation

Für jedes buchführungsrelevante IT-System muss eine Verfahrensdokumentation geführt werden (Kapitel 10.1 Verfahrensdokumentation Punkt 154). Bislang war vorgeschrieben, bei Änderungen immer eine neue Version zu erstellen. Dies wurde nun vereinfacht: es reicht zukünftig aus, wenn die Änderungen versioniert sind und eine nachvollziehbare Änderungshistorie vorgehalten wird.

Auszug aus der GoBD Stand 01.01.2015 (alt): Auszug aus der GoBD Stand 01.01.2020 (neu):

Aber es gibt nicht nur Erleichterungen, die die aktualisierte GoBD mit sich bringt. Hier zum Beispiel auch eine verschärfende Anpassung:

Zeitgerechte Buchungen

Bisher wurde eine tägliche Erfassung von Kasseneinnahmen und Kassenausgaben empfohlen, nun ist die tägliche Erfassung verbindlich vorgeschrieben (Kapitel 3.2.3 Zeitgerechte Buchungen und Aufzeichnungen Punkt 48):

Auszug aus der GoBD Stand 01.01.2015 (alt): Auszug aus der GoBD Stand 01.01.2020 (neu):

Weiterentwicklung GRC-COCKPIT

Es ist wichtig bei Neuerungen eines Gesetzes oder einer Vorschrift die Neuerungen zu (er)kennen, einen eventuellen Änderungsbedarf festzustellen, die eigenen Prozesse dahingehend zu prüfen, und daraus passende Maßnahmen / Anpassungen zu ergreifen, wenn notwendig. Um unsere Kunden hierbei mit unserem GRC-COCKPIT unterstützen zu können, entwickeln wir das System kontinuierlich weiter. Bislang ist der Aktualisierungsservice nur für gängige Gesetze (die im Internet abrufbar sind) möglich, doch unsere Entwicklungsabteilung ist gerade dabei, die Funktion technisch zu erweitern. So soll es zukünftig möglich sein, anhand von zwei PDF-Dateien individuell einen Abgleich zu starten, der textliche Änderungen/Ergänzungen hervorbringt. So können auch diverse Vorschriften, wie z. B. eine Neufassung der GoBD über den Aktualisierungsservice aktualisiert werden.
Die Änderungen werden im System in der entsprechenden Norm kenntlich gemacht und es soll ebenso ein Hinweis an den Anwender erfolgen, dass sich etwas geändert hat, ein sogenannter Alert. Bei bestehendem Handlungsbedarf können dann gleich im System Maßnahmen angepasst oder neue Maßnahmen abgeleitet werden.

GoBD in der Praxis

Da wir nun Klarheit haben, welche Änderungen die aktualisierte Version der GoBD beinhaltet, ist die praktische Umsetzung intern in vollem Gange. Wir prüfen unsere Prozesse, führen bei Bedarf Anpassungen durch und ergreifen ggf. neue Maßnahmen. Zum Beispiel haben wir die E-Mail-Archivierung vollständig umgesetzt. Warum ist das wichtig?

Wie in meinem letzten Blog „Zu klein für Compliance?“ bereits ausführlich berichtet, nimmt der Versand von elektronischen Rechnungen und aufbewahrungspflichtigen Handelsbriefen per E-Mail immer mehr zu. Hier ist die GoBD-konforme Aufbewahrung zu beachten und die E-Mail-Archivierung ist unumgänglich. Demnach muss beispielsweise die Buchhaltung E-Mails mit steuerrelevanten Dokumenten elektronisch aufbewahren. Es ist aber nicht ausreichend, die E-Mails einfach im Mailprogramm (ggf. in Unterordner) aufzubewahren. Denn dort sind Grundsätze der GoBD (z. B. Unveränderbarkeit, die zuverlässige Protokollierung von Änderungen und die Indexierung) nicht gewährleistet. Es ist aber auch nicht zwingend notwendig, alle E-Mails zu archivieren. E-Mail-Korrespondenz, die keiner Aufbewahrungspflicht unterliegt und auch keine steuerrelevanten Daten beinhaltet muss nicht archiviert werden.

Wir haben uns im ersten Schritt für eine E-Mail-Archivierung über unseren Hosting-Anbieter entschieden. Uns war wichtig, dass die Sicherung in deutschen Rechenzentren und natürlich GoBD-konform stattfindet. Aufgrund unserer noch überschaubaren Firmengröße ist die Entscheidung erstmal gegen ein professionelles Dokumentenmanagement-System (DMS) gefallen. Aber was nicht ist, kann ja noch werden. Zu einem späteren Zeitpunkt ist ein DMS für uns auf jeden Fall ein nächster Schritt. Durch unsere aktuelle Archivierungslösung sind jedenfalls die maschinelle Auswertbarkeit, die Volltextrecherche und die Unveränderbarkeit gewährleistet.

Wie sieht es bei Ihnen aus? Sind Sie in Ihrem Unternehmen GoBD-konform oder sind noch Anpassungen notwendig?

…to be continued:

Hier die Zusammenfassung unserer neuen Erkenntnisse:

  • Änderungen in Gesetzen und Vorschriften immer im Auge behalten
  • Änderungsbedarf ist immer individuell für jedes Unternehmen zu betrachten
  • Maßnahmen sind ebenso individuell (je nach Risikobetrachtung) verhältnismäßig umzusetzen
  • Klein anfangen (E-Mail-Archivierung über Hosting-Anbieter) und nach und nach optimieren/ausbauen (eigenes DMS)
  • Compliance ist kein Projekt mit einem festen Ende – Compliance ist ein dauerhafter Prozess, der gelebt werden muss

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Datenschutz: Verzeichnis von Verarbeitungstätigkeiten aufbauen.

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

GRC@SAVISCON: IT-Sicherheit

Schutzbedarfsfeststellung – und jetzt?

von Ingo Simon, Geschäftsführer bei der SAVISCON GmbH

Im letzten Beitrag aus unserer Reihe GRC@SAVISCON hat Uwe Straßberger über Risikobewertungen geschrieben. Jetzt geht‘s wieder um die IT-Sicherheit. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance– und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: IT-Sicherheit.

IT-Sicherheit: Sprint oder Marathon?

In unserem letzten Beitrag zum Thema IT-Sicherheit haben wir bereits beschrieben, wie wir unsere Assets gesammelt und in eine grobe Struktur gebracht haben. Inzwischen konnten wir unsere IT-Landschaft inklusive aller gehosteten Systeme ins GRC-COCKPIT aufnehmen und dokumentieren. Bis wir eine für uns handhabbare Struktur gefunden und die einzelnen Assets in diese Struktur einsortiert haben, hat es allerdings ein wenig gedauert. Die Diskussionen dazu waren nicht immer einfach – jeder hat seine individuelle Sicht auf die Dinge und sortiert bzw. verknüpft die Assets im Kopf anders. Wir haben nun eine Asset-Sicht, mit der wir erst einmal arbeiten wollen und die gut in unserem GRC-COCKPIT zu visualisieren ist. Wieder einmal haben wir festgestellt: IT-Sicherheit ist ein Prozess, der sich auf dem Weg weiterentwickelt. Also definitiv ein Marathon und kein Sprint.

Schutzbedarfsanalyse nach BSI

Auf der Basis unserer Asset-Struktur haben wir dann den Schutzbedarf der einzelnen Assets analysiert und dokumentiert. Dazu orientierten wir uns an den drei Standard-Grundwerten des Bundesamts für Sicherheit in der Informationstechnik (BSI): Vertraulichkeit, Integrität und Verfügbarkeit. Im GRC-COCKPIT können noch weitere Grundwerte selbst konfiguriert werden, aber wir haben uns erst einmal auf diese drei beschränkt. Eine Herausforderung liegt darin, den Schutzbedarf nicht nur aus dem Bauch heraus mit „normal“, „hoch“ oder „sehr hoch“ zu kategorisieren, sondern auch eine sinnvolle Begründung zu ergänzen, die die Auswahl der eingetragenen Kategorie rechtfertigt bzw. erläutert.

Beispiel Schutzbedarfsfeststellung

Am Beispiel der Fritz!Box im Büro kann man das gut erläutern: Für den Grundwert Verfügbarkeit trugen wir zu Beginn ein „sehr hoch“ ein. Schließlich braucht man ja im Office ein funktionierendes LAN/WLAN. Aber dann fiel uns auf, dass bei einem Ausfall eigentlich immer mit einem mobilen Gerät, also Handy oder Tablet, ein Backup zur Verfügung steht, mit dem ich in LTE-Geschwindigkeit auch mobil die Verbindung nach außen habe. Damit reicht für die Fritz!Box auch eine Verfügbarkeit „hoch“ oder sogar „normal“, weil die MitarbeiterInnen ohnehin derzeit im Homeoffice arbeiten. Zumindest hier im Hamburger Stadtgebiet. Auf dem Land sieht das möglicherweise ganz anders aus und die Standleitung ist da tatsächlich der heiße Draht zur Außenwelt.

Screenshot aus dem GRC-COCKPIT

Blick ins GRC-COCKPIT: So haben wir die Schutzbedarfsfeststellung für unseren FRITZ!Box Router im Büro umgesetzt.

Ach ja, Stichwort Homeoffice: Das muss natürlich bei der Schutzbedarfsanalyse mit einbezogen werden. Wir haben das unter den Standorten miterfasst und die Ausrüstung ist auch jeweils abgebildet, da bei uns jeder seinen eigenen Laptop hat, mit dem er oder sie auch im Homeoffice arbeitet.

Schutzbedarf festgestellt – und jetzt?

Was passiert als nächstes? Wir weichen da in der Reihenfolge ein wenig von der Vorgehensweise des BSI ab. In der aus unserer Sicht großartigen Arbeitshilfe des BSI, in dem am Beispiel der virtuellen RECPLAST GmbH die IT-Grundschutz Methodik von Anfang bis Ende durchgeführt wird, folgt nach der Schutzbedarfsfeststellung die sogenannte Modellierung des Unternehmens. Dort wird auf Basis der dokumentierten Assets geschaut, welche Anforderungen, aus welchen der zehn IT-Grundschutzbausteinen für das Unternehmen überhaupt zutreffen. Das ist notwendig, um dann schlank weiter in die Risikoanalyse zu gehen.

Wir haben uns entschieden, einen anderen Schritt vorzuziehen: Für alle Assets mit der Kategorie „sehr hoch“ in einem oder mehreren Grundwerten, dokumentieren wir erst einmal die Maßnahmen, die wir sowieso schon durchführen oder geplant haben, um entsprechend sicher unterwegs zu sein. So haben wir selbstverständlich das Standardpasswort der Fritz!Box bei Inbetriebnahme geändert. Die Durchführung der Maßnahme wollen wir im GRC-COCKPIT entsprechend dokumentieren. Denn in der Regel ist es ja so, dass schon eine Menge Maßnahmen etabliert sind, die man erst einmal einsammeln und aufschreiben muss. Das spart am Ende dann Arbeit.

…to be continued:

Hier die Zusammenfassung unserer Erkenntnisse:

  • Diskussionen sind wichtig: geben Sie ihnen Zeit und Raum, um eine zufriedenstellende Asset-Sicht auszuarbeiten
  • IT-Sicherheit ist ein Marathon und kein Springt
  • Nicht immer ist der Schutzbedarf so hoch, wie man ihn im ersten Moment einschätzt
  • Die Arbeitshilfen des BSI sind großartig, jedoch nicht in Stein gemeißelt – man kann die Schritte flexibel den eigenen Bedürfnissen anpassen
  • Es kann sinnvoll sein die bereits bestehenden und geplanten Maßnahmen vorab zu sammeln

Im nächsten Blog-Beitrag schauen wir gemeinsam in das Projekt Compliance-Management: GoBD – was hat sich geändert?

Über den Autor:

Foto Ingo Simon

Ingo Simon (Geschäftsführer SAVISCON GmbH)

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de

GRC@SAVISCON: Risiko-Management

Wie versprochen geht in unserem heutigen Blog-Beitrag aus dem Projekt Risiko-Management um die Risikobewertung. Zur Erinnerung: Wir als SAVISCON GmbH bilden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) ab. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt.

GRC@SAVISCON: Compliance

Zu klein für Compliance?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „GRC@SAVISCON: Datenschutz“ der Reihe über den Start unseres Datenschutz-Managements berichtet haben, soll es heute um Compliance gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Compliance.

Ähnlich wie beim Thema Datenschutz stellte ich mir auch hier die Frage: wo fange ich da am besten an? Was ist „Compliance“ überhaupt? Der englische Begriff wird sinngemäß wie folgt definiert: Compliance ist die Einhaltung von Gesetzen, Normen und Regeln. Früher war Compliance überwiegend ein Thema für die Bankwirtschaft und Versicherungsbranche, doch mittlerweile entwickelt sich in vielen unterschiedlichen Unternehmen immer stärker eine Compliance-Kultur. Angefangen mit Richtlinien, wie z. B. Verhaltensregeln des Unternehmens, die im Intranet veröffentlicht werden. Solche Richtlinien können Regeln bezüglich des Datenschutzes und der Gleichbehandlung enthalten, aber auch Regeln zur Vermeidung von Korruption sowie Vorschriften zum Arbeitsschutz. Aber auch eine Geschäftsordnung oder Satzung, ein Whistleblowing-System und auch gesetzliche Vorgaben können Teil eines Compliance-Programmes sein.

Compliance-Treiber

Ist Compliance für alle Unternehmen wichtig? Ja! Ist die SAVISCON GmbH nicht zu klein, um sich mit diesem Thema beschäftigen zu müssen? Nein, ist sie nicht! Natürlich sind die Risiken unterschiedlich zu bewerten – je nach Unternehmensgröße (Mitarbeiteranzahl, Umsatz, etc.). Aber jede Geschäftsleitung ist verpflichtet, sämtliche geltenden Gebote und Verbote zu kennen und zu beachten. Ist das nicht der Fall, können rechtliche Folgen (Geldbußen, Freiheitsstrafen, Ersatzansprüche, Auftragssperren) oder auch Reputations- und Vertrauensverluste drohen.

Nutzen + Akzeptanz

Durch eine funktionierende Compliance-Kultur im Unternehmen werden nicht nur hohe Kosten durch evtl. entstehende Bußgelder vermieden, sondern es erhöht sich die Transparenz und das gegenseitige Vertrauen wird weiter gefördert. Wie bei vielen anderen Themen auch, erfordert eine wirksame Compliance-Kultur aber das tatsächliche Handeln aller, und zwar auf allen Hierarchieebenen. Werte können nur glaubhaft vermittelt werden, wenn diese auch erkennbar von der Unternehmensleitung selbst vorgelebt werden. Ist dies nicht der Fall, wird aufgrund fehlender Akzeptanz auch keine Compliance-Kultur im Unternehmen gelebt werden.

Compliance-Management-System

Um eine Compliance-Organisation aufzubauen, zu dokumentieren, zu überwachen und weiterzuentwickeln ist ein Compliance-Management-System sinnvoll. Wir nutzen hier wieder unser GRC-COCKPIT. Doch wie starte ich nun am besten? Im ersten Schritt sind die Risiken zu identifizieren und zu bewerten. Wenn Sie sich erinnern, hat dazu mein Kollege Uwe Straßberger bereits einen Blog geschrieben (NO RISK – MORE FUN! GRC@SAVISCON) und ein bisschen aus dem Nähkästchen geplaudert. Wenn wir mit der Risikoidentifizierung und Risikobewertung fertig sind, geht es darum, mit meinen Kollegen ein gemeinsames Verständnis für die aktuelle Risikosituation zu erreichen. Welche Compliance-Risiken liegen vor und mit welchen Maßnahmen können wir hier gegensteuern? Dazu aber mehr in einem der nächsten Blog-Beiträge.

Compliance in der Praxis

Parallel zum Thema Risiko haben wir uns dazu entschlossen, eine Vorschrift näher zu betrachten, und zwar die GoBD: die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Die GoBD und deren Vorgaben sind relevant für alle EDV-Systeme, die steuerrelevante Daten erfassen bzw. verarbeiten. Mit diesen Systemen ist aber nicht nur das Buchführungsprogramm gemeint, sondern auch sogenannte Vor- und Nebensysteme (z. B. Zeiterfassungssysteme, elektronische Waagen, Software zur Erfassung von Dienstreisen o. ä.)

Die erste GoBD wurde zum 01.01.2015 eingeführt und zuletzt mit dem Stand von November 2019 zum 01.01.2020 aktualisiert. Im GRC-COCKPIT hatten wir die GoBD als Norm bereits hinterlegt, haben jetzt aber festgestellt, dass wir die Aktualisierung der Norm noch durchführen müssen. Mit dem neuen Stand wurden einige Änderungen und Vereinfachungen für die Praxis eingeführt. Man sollte also immer darauf achten, auf dem aktuellen Stand der Dinge zu sein. Hier zwei Auszüge aus dem GRC-COCKPIT zur GoBD:

Blick ins GRC-COCKPIT, hier OdG

Blick ins GRC-COKPIT: hier alle relevanten Anforderungen aus den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff.

OdG im GRC-COCKPIT

Blick in die Anforderung „Datenverarbeitungssystem; Haupt-, Vor- und Nebensysteme.

Gerade sichten wir die Neuerungen zur aktuellen Version und pflegen diese im GRC-COCKPIT entsprechend ein. Der aktuelle Stand steht dann selbstverständlich auch unseren Kunden als Norm zur Verfügung.

GoBD Praxis-Beispiel

Aber jetzt zu einem Beispiel aus der Praxis: Die Ordnungsmäßigkeit elektronischer Bücher und sonst erforderlicher elektronischer Auszeichnungen ist nach den gleichen Prinzipien zu beurteilen wie die Ordnungsmäßigkeit bei manuell erstellen Büchern und Aufzeichnungen. Das bedeutet beispielsweise, dass elektronische Daten auch elektronisch archiviert werden müssen. Da der Versand von elektronischen Rechnungen und aufbewahrungspflichtigen Handelsbriefen per E-Mail immer mehr zunimmt, ist die GoBD-konforme Aufbewahrung zu beachten und die E-Mail-Archivierung unumgänglich. Demnach muss beispielsweise die Buchhaltung E-Mails mit steuerrelevanten Dokumenten elektronisch aufbewahren.

Die Archivierung gemäß der GoBD umfasst fünf zentrale Aspekte:

  • Originalformat (Die Buchhaltung darf eine Rechnung, die per E-Mail eingeht, nicht einfach ausdrucken und abheften. Vielmehr gilt es, das Originalmedium zu verwenden. Jedes Dokument muss in seiner überbrachten Form archiviert werden. Eine Papierrechnung kommt in den Aktenordner, während die E-Mail in einem elektronischen Archiv abgespeichert wird.)
  • Unveränderbarkeit (Die elektronischen Dokumente dürfen nicht im Nachhinein bearbeitet und verändert werden. Sie müssen in einer Form abgelegt werden, dass Unbefugte das Dokument nicht öffnen oder transferieren können.)
  • Volltextsuche (Das Finanzamt bekommt bei einer Betriebsprüfung Zugang zum Datensystem. Dem Betriebsprüfer wird hier nicht nur ein betriebsinterner Rechner für seine Prüfung zur Verfügung gestellt, sondern es muss auch alles über eine Volltextsuche einfach aufzufinden sein. Die E-Mails müssen im Originalzustand vorhanden sein (keine Screenshots oder Scans).
  • Ordnungssystem (Durch die Zuweisung von eindeutigen Indices muss das Ordnungssystem gut überschaubar sein. Der Index muss die Suche nach bestimmten Dokumenten erleichtern. Um E-Mails GoBD-konform zu archivieren, müssen sie eine Zuordnung zu einem Geschäftsvorgang erkennen lassen.)
  • Transparenz (Das Ordnungssystem muss so aufgebaut sein, dass eine externe Person die Struktur leicht verstehen kann. Um dem Betriebsprüfer seine Arbeit zu erleichtern, können schriftliche Anleitungen den Aufbau der Struktur in der Archivierung dokumentieren.)

Außerdem sind je nach Dokument unterschiedliche Aufbewahrungsfristen zu beachten: E-Mails, die für die Steuerbehörden von Interesse sein können, müssen für sechs bis zehn Jahre elektronisch archiviert werden. Was passiert eigentlich, wenn man als Unternehmer die Vorgaben der GoBD nicht erfüllt? Das kann dazu führen, dass das Finanzamt wichtige Dokumente nicht anerkennt. In der Folge können evtl. Steuerabzüge nicht geltend gemacht werden, was zu höheren Steuerabgaben führen kann. Es lohnt sich also hier dranzubleiben und das Thema Compliance nicht aus den Augen zu verlieren. Auch wenn das Unternehmen noch so klein ist …

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt Compliance:

  • Compliance ist für alle Unternehmensgrößen ein wichtiges und notwendiges Them
  • Nur wenn die Unternehmensleitung Compliance vorlebt und mit gutem Beispiel vorangeht, kann eine wirksame Compliance-Kultur entstehen
  • Auch bei knappen Ressourcen darf das Thema nicht außer Acht gelassen werden
  • Compliance funktioniert nur in Verbindung mit einem guten Risiko-Management

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Risiko-Management: Wie funktioniert die Risikobewertung?

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

GRC@SAVISCON: Datenschutz

Los geht‘s: Wie wir den Datenschutz intern umsetzen

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „Step by step“ der Reihe GRC@SAVISCON über den Start unseres IT-Sicherheitsmanagements berichtet haben, soll es heute um den Datenschutz gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Datenschutz.

Datenschutz in der Praxis: wie geht das?

Vielleicht geht es Ihnen wie es mir bei meinem vorherigen Arbeitgeber erging, dort habe ich mich als Datenschutzkoordinatorin oft gefragt: was bedeuten die Anforderungen aus der EU-Datenschutz-Grundverordnung (DSGVO) eigentlich für uns in der Praxis? Wie genau ist das alles umzusetzen? Auch heute – nach meiner Ausbildung zur Datenschutzbeauftragten ist das teilweise noch immer so. Ja, ich kenne und verstehe die Hintergründe besser und sammle immer mehr Erfahrung auf dem Gebiet, aber die DSGVO ist in vielen Punkten einfach noch unscharf. In vielen Bereichen fehlen eindeutige Gerichtsurteile und das wird auch noch einige Zeit dauern. Aber: es gibt viele Orientierungshilfen, Kurzpapiere, Leitlinien und Muster u. a. von der deutschen Datenschutzkonferenz und den Aufsichtsbehörden der einzelnen Bundesländer, die sehr hilfreich sind. Auch unterschiedliche Fachliteratur und Fachzeitschriften können weitere Orientierung bringen. Dazu später mehr.

Datenschutz-Management: das Fundament

Das Thema Datenschutz wird oft als unliebsames Thema gesehen, das die Unternehmen mit zig Regelungen immens einschränkt, keine praktikablen Lösungen für die wirkliche Praxis bietet und eigentlich nur Zeit und Geld kostet. Deshalb ist es wichtig, dass die Führungsetage hinter dem Thema steht und die nötigen Ressourcen zur Verfügung stellt. Unser Geschäftsführer, Ingo Simon, hat die Wichtigkeit dieses Themas erkannt und die notwendigen Ressourcen bereitgestellt. Dafür bin ich der lebende Beweis, denn meine Stelle als Consultant Compliance und Datenschutz sowie interne Datenschutzbeauftragte wurde im Januar 2021 neu geschaffen. So steht einem guten Start nichts im Wege. Doch wo fängt man an?

Verzeichnis von Verarbeitungstätigkeiten

Die DSGVO bietet 99 Artikel, da kann man schon mal den Überblick fürs Wesentliche verlieren und scheut sich vielleicht überhaupt erst anzufangen. Hier kann ich empfehlen, kleine Meilensteine / Arbeitspakete zu schnüren. Wir haben uns dazu entschieden, erstmal unser „Verzeichnis von Verarbeitungstätigkeiten“ aufzubauen. Warum? Ein kurzer Einstieg in zwei Artikel der DSGVO: Im Artikel 5 Abs. 1 werden die Grundsätze für die Verarbeitung personenbezogener Daten beschrieben (z. B. Rechtmäßigkeit, Zweckbindung, Datenminimierung). Im Abs. 2 heißt es, dass der Verantwortliche für die Einhaltung des Absatzes 1 verantwortlich ist und dessen Einhaltung nachweisen können muss („Rechenschaftspflicht“). Im Artikel 24 Abs. 1 sind die Pflichten des Verantwortlichen im Hinblick auf die zu ergreifenden technischen und organisatorischen Maßnahmen aufgeführt. Wir als Unternehmen müssen also den Nachweis erbringen können, dass wir die Anforderungen aus der DSGVO umgesetzt haben. Dazu gehört natürlich auch der Nachweis der umgesetzten Maßnahmen.

Das Verzeichnis von Verarbeitungstätigkeiten erfüllt demnach gleich mehrere Funktionen. Zum einen soll mit der Führung des Verzeichnisses der Nachweis zur Einhaltung der Vorgaben gemäß DSGVO erfolgen. Zum anderen ist jeder Verantwortliche bzw. jeder Auftragsverarbeiter verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten und auf Anfrage das entsprechende Verzeichnis vorzulegen (Art. 30 DSGVO). Sie können das Verzeichnis auch als „Zentrum/Kern“ des Ganzen sehen, denn die komplette Dokumentation lässt sich um das Verzeichnis herum aufbauen, in dem auf Dokumente, Richtlinien, Vertragswerke, Rechtsgrundlagen verwiesen werden kann.

Übrigens: Die Datenschutzkonferenz hat hier ein Kurzpapier zum Verzeichnis von Verarbeitungstätigkeiten (Kurzpapier Nr. 1 – Stand 17.12.2018) herausgegeben, um eine einheitliche Handhabung bei der Führung des Verzeichnisses zu erreichen. Alle Kurzpapiere sind im Internet auf der Seite der Datenschutzkonferenz veröffentlicht: Datenschutzkonferenz (datenschutzkonferenz-online.de).

Wie setze ich das Verzeichnis von Verarbeitungstätigkeiten auf?

Zum Start des Verzeichnisses habe ich erstmal sämtliche Kolleginnen/Kollegen mit „ins Boot“ geholt. Ich allein kann unmöglich alle Verarbeitungstätigkeiten im Haus kennen, deshalb bin ich auf die Mithilfe der anderen Mitarbeiter angewiesen. Dazu habe ich mit allen Kollegen virtuell gesprochen, alle Tätigkeiten gesammelt und grob beschrieben. Wir bilden das im GRC-COCKPIT in der Prozessdokumentation der Stammdaten ab. Ein Prozess oder Teilprozess, der eine Verarbeitungstätigkeit darstellt, bekommt eine entsprechende Markierung. Dadurch werden die spezifischen Detailfelder, die ich im nächsten Abschnitt erwähne, aktiviert und können gefüllt werden. Aus den eingegebenen Daten kann per Knopfdruck ein Bericht erstellt werden, der alle diese markierten Prozesse enthält und damit unser Verzeichnis der Verarbeitungstätigkeiten darstellt. Dieser Bericht kann dann der Aufsichtsbehörde zur Verfügung gestellt werden.
Übrigens: unser Entwicklungsteam wird hier permanent mit eingebunden. Wenn sich neue oder verbesserte Funktionen aus der Praxis ergeben und bei unserer Nutzung bewähren, übernehmen wir sie auch in das GRC-COCKPIT für unsere Kunden. Unser Ansporn ist es, das GRC-COCKPIT stetig zu verbessern, sodass wir unseren Kunden eine Software aus der Praxis, für die Praxis bieten können!

Verzeichnis von Verarbeitungstätigkeiten mit Details verfeinern

Im nächsten Schritt (dort stehen wir aktuell) wird jede einzelne Verarbeitungstätigkeit im GRC-COCKPIT erfasst und zur weiteren Erhebung von Details an den jeweils verantwortlichen Mitarbeiter geschickt. Das bedeutet, dass jeder verantwortliche Mitarbeiter über das Tool eine Aufgabe mit einer Deadline erhält. Über den „Health Check“ im System kann ich mir anzeigen lassen, wie viele Aufgaben zur Detailerfassung der Verarbeitungstätigkeiten noch offen sind. So kann ich nichts vergessen. In den Details werden z. B. die Betroffenengruppen, die Datenkategorien, die Empfänger und Löschfristen hinterlegt sowie Risikobewertungen durchgeführt. Selbstverständlich werden dort auch Verknüpfungen zu den technischen und organisatorischen Maßnahmen hergestellt, z. B. Verweis auf IT-Sicherheitskonzept, Berechtigungskonzept, Richtlinien, etc. Hierbei wird klar erkennbar, dass die Themenfelder Datenschutz, IT-Sicherheit und Risiko-Management sich überlappen bzw. eng miteinander verbunden sind. Demnach ist der Austausch mit meinen Kollegen aus den Projekten Risiko-Management und IT-Sicherheit zwingend notwendig, um auch Doppelarbeit zu vermeiden. Die Kommunikation ist aber auch wichtig, um ein gemeinsames Verständnis von Definitionen zu erhalten. Immer wieder stolpern wir darüber, was eigentlich eine Anforderung und was eine Maßnahme ist und, wie detailliert ein Risiko formuliert sein sollte.

Hier habe ich ein konkretes Beispiel zum besseren Verständnis herausgesucht:

Norm: EU-Datenschutz-Grundverordnung
Anforderung_1: Führen des Verzeichnisses von Verarbeitungstätigkeiten (gemäß Art. 30 DSGVO
Anforderung_2: Erfüllung der Rechenschaftspflicht (gemäß Art. 5 Abs. 2 DSGVO)
Anforderung_3: Beschreibung der technischen und organisatorischen Maßnahmen (gemäß Art. 24 Abs. 1 + Art. 32 Abs. 1 DSGVO)
Maßnahme_a: Erfassen aller Verarbeitungstätigkeiten mit allen geforderten Pflichtangaben im GRC-COCKPIT
Maßnahme_b: Regelmäßige Pflege und Aktualisierung der Verarbeitungstätigkeiten mit allen geforderten Pflichtangaben im GRC-COCKPIT
Risiko: Sanktionen (Geldbuße) bei fehlendem bzw. nicht vollständigem Verzeichnis von Verarbeitungstätigkeiten (gemäß Art. 83 Abs. 4 lit. a DSGVO)

Das ist natürlich nur ein Auszug an Anforderungen, Maßnahmen und Risiken. Zur vollständigen Erfüllung der Rechenschaftspflicht sind z. B. noch viele weitere Maßnahmen notwendig. Unser Ziel ist es, alle Anforderungen aus der EU-DSGVO mit den jeweils notwendigen Maßnahmen und den entsprechenden Risikobewertungen (inkl. Datenschutz-Folgenabschätzungen) im GRC-COCKPIT abzubilden und zu dokumentieren. Bei Maßnahmen, die regelmäßig durchgeführt werden müssen, kann uns das Tool ebenso unterstützen, und zwar in Form von Erinnerungen/Überwachungen.
Wie Sie sehen, haben wir noch eine ganze Menge Arbeit vor uns, aber der Grundstein ist gelegt und jetzt müssen wir dranbleiben. Und das werden wir auch!

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt Datenschutz:

  • Kleine Meilensteine / Arbeitspakete schnüren
  • Einfach mal loslegen mit einem Thema, z. B. Verzeichnis von Verarbeitungstätigkeiten
  • Mitarbeiter unbedingt mit „ins Boot holen“, denn sie liefern wichtigen Input
  • Gemeinsames Verständnis durch Beispiele schaffen
  • Nicht verzweifeln, wenn zu Beginn nicht alle Details vorliegen, sondern weiter recherchieren und im Nachgang ergänzen
  • Kurzpapiere der DSK und weitere Handlungsempfehlungen aus dem Netz zur Orientierung heranziehen
  • Austausch mit anderen Datenschutzbeauftragten

In unserem nächsten Blog-Beitrag geht es um das Thema Compliance und die Frage: Zu klein für Compliance?

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

Step by step: GRC@SAVISCON

Wie wir unser IT-Sicherheits-Management aufsetzen

von Ingo SimonGeschäftsführer bei der SAVISCON GmbH 

Nachdem wir in unserem letzten Blog-Beitrag „No Risk – more fun!“ der Reihe GRC@SAVISCON über den Start unseres Risiko-Managements berichtet haben, soll es heute um die IT-Sicherheit gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-ManagementIT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: IT-Sicherheit. 

IT-Sicherheit: Wo fangen wir an? 

Wie auch beim Risiko-Management brauchen wir bei SAVISCON uns nicht extra der Unterstützung der Geschäftsleitung zu versichern. Das ist ja qua Persona schon gegeben. Aber klar ist: In anderen Unternehmen muss man die Rückendeckung der Unternehmensleitung haben, um die benötigten Ressourcen für die Durchführung des Projekts einfordern zu können. Bei uns kann es also losgehen. 

Noch eine Anmerkung: Im IT-Grundschutz Baustein ISMS Sicherheitsmanagement wird in der Anforderung ISMS.1.A3 eine Leitlinie zur Informationssicherheit und nach ISMS.1.A10 ein Sicherheitskonzept eingefordert, die anfangs erstellt und kommuniziert werden müssen. Das werden wir auch nicht vernachlässigen. Wir haben allerdings entschieden, die Fleißarbeit, wie in den nächsten Absätzen beschrieben, bereits zeitgleich anzugehen. In unserem Fall gehen wir davon aus, dass die Erkenntnisse aus der Strukturanalyse und Schutzbedarfsfeststellung eine gute Indikation darüber geben, was in den Leitlinien zu berücksichtigen ist. Für „unfertige“ Organisationsstrukturen, wie es in den bei uns vorherrschenden Umbruchzeiten gerade der Fall ist, halten wir das für ein sehr vorteilhaftes Vorgehen. Wir werden über die Erstellung der Leitlinien und Sicherheitskonzepte in zukünftigen Blog-Beiträgen berichten.

Klar ist außerdem, dass wir uns über die Tool-Auswahl keine Gedanken machen müssen, das GRC-COCKPIT ist als System für unser ISMS ja prädestiniert. Wir wollen das IT-Sicherheitsmanagement als Teil unseres GRC-Managements durchführen und haben so in einem System den Überblick über die gesamten Unternehmensrisiken und den Compliance-Status inklusive der IT-Sicherheit.

 Nun krempeln wir also die Ärmel hoch und fangen an. Als erstes gibt es drei Kernaufgaben, die erledigt werden müssen: Assets erfassen, diese gruppieren und Abhängigkeiten dokumentieren, sowie deren Schutzbedarf analysieren. 

Assets erfassen 

Was sind überhaupt Assets? Ins Deutsche übersetzt bedeutet das „Vermögenswerte im Unternehmen“. Diese Assets müssen nicht unbedingt reale Güter darstellen, sondern können auch nicht-reale Güter wie Wissen, Patente oder Lizenzen sein. Bei uns ist das zum Beispiel der Source Code unserer Produkte, die wir auch als Assets betrachten. Die sind schließlich eine Basis für unser Geschäftsmodell und somit besonders schützenswert, der ITGrundschutz spricht hier von den Kronjuwelen. Diese Betrachtung geht genau genommen über das Thema IT-Sicherheit hinaus, und fällt unter den Begriff Informationssicherheit. Es ist für uns jedoch eine bewusste Entscheidung, diese Assets in die Gesamtmethodik des IT-Grundschutz mit einzubinden. Ein weiteres, griffigeres Beispiel für Assets aus der IT-Sicherheit: Es gibt vermutlich in so ziemlich jedem Unternehmen mindestens einen Arbeitsplatz-PC oder Server, der Daten beinhaltet, die für das Unternehmen sehr wichtig sindDas können beispielsweise Kundeninformationen sein. Somit ist dieser PC oder Server ein Unternehmens-Asset, das für die IT-Sicherheit des Unternehmens relevant ist. 

Wo fängt man anwo hört man auf? 

Was sind Assets bei der SAVISCON GmbH, die unsere IT-Sicherheit betreffen? Das ist genau die Frage, die wir uns zu Beginn gestellt haben. Theoretisch muss man jedes IT-Gerät mit in die Assets aufnehmen und dort abbilden. Doch hier gilt es ein gesundes Maß zu finden, welche Geräte einzeln aufgenommen werden sollen und welche z. B. als Gruppe abstrahiert werden können. Führe ich jeden Laptop einzeln auf? Oder führe ich nur einen Laptop auf, der in der Schutzbedarfsanalyse als Prototyp für alle anderen steht. Diese Fragen lassen sich leider nicht pauschal für jedes Unternehmen beantworten. Daher kann man beliebig viel Zeit darauf verwenden ein Konzept zu entwickeln, welche Assets wie erstellt und gruppiert werden sollen und welche nicht. Oder:

Einfach loslegensammeln, strukturieren(aus)sortieren  

Man fängt einfach an! Unsere Erfahrung hat gezeigt, dass es wichtig ist einfach zu starten und die Assets festzuhalten, die uns gleich in den Sinn gekommen sindWir haben uns zum Beispiel entschieden alle Laptops einzeln zu erfassen, nicht „den Laptop“ als solches. Warum? Weil jeder Laptop in unserer übersichtlichen Organisation einem bestimmten Rolleninhaber gehört, der wiederum unterschiedliche Informationen mit dem Laptop bearbeitet. Fällt einer der Entwicklungs-Laptops aus, so dauert es eine längere Zeit, die gesamte Entwicklungsumgebung auf einem Ersatzgerät wieder einzurichten. Ein Consulting Laptop, der im Wesentlichen über Remote Zugriff die relevanten Informationen in den Kundenwelten verarbeitet, kann ich im Prinzip mit jedem Gerät ersetzen, auf dem ein Citrix Receiver installiert werden kann. Damit unterscheidet sich die Anforderung an die notwendige Verfügbarkeit für diese Laptops. Deswegen erfassen wir alle Laptops einzeln. 

Screenshot der Asset Übersicht aus dem GRC-COCKPIT

Hier sehen Sie die Übersicht unserer Assets im GRC-COCKPIT.

Die erfassten Assets haben wir dann in eine grobe Struktur gebracht. Keine Sorge, wenn die zu Beginn etwas verwirrend aussieht. Das ist ganz normal und sie wird sich im Prozess vermutlich noch viele Male ändern. In unserem Prozess haben wir sogar nach und nach Assets wieder entfernt, verschoben oder sogar ihre gesamte Gruppierung verworfen, weil sie obsolet geworden sind. Das ist aber in unserem GRC-COCKPIT gar kein Problem. Wenn man das auf verteilten Excel-Listen versuchen würde, an denen mehrere MitarbeiterInnen arbeiten, wäre die Koordination der Änderungen sehr viel aufwändiger und fehleranfällig. 

Für uns als Software-Unternehmen sind die folgenden Assets relevant: Gebäude und Räume, IT-Geräte, Lizenzen, gemietete Server, Produktions- oder auch Testinstanzen, die wir unseren Kunden zur Verfügung stellen. Beim Erstellen mehrerer Assets haben wir diese nach Typen aufgeteilt und gruppiertZur Ableitung der Schutzbedarfe haben wir dann die Abhängigkeiten von Assets zu anderen Assets hergestellt, indem wir sie im GRC-COCKPIT miteinander verknüpft haben. Die Abhängigkeiten sind nach IT-Grundschutz Methodik: „Nötig für“ bzw. „Benötigt“ oder „Befindet sich in“ bzw. „Beinhaltet“

Screenshot der Abhängigkeiten aus dem GRC-COCKPIT

Blick ins GRC-COCKPIT: So werden die Abhängigkeiten für Assets dargestellt.

An dieser Stelle merkt man bereits, ob man sich mit der Struktur wohl fühlt und ob sich Assets bzw. Gruppierungen noch nicht so rund anfühlen. In diesem Fall kann man versuchen ein Asset aufzusplitten oder mehrere zusammenzufassen. Wir haben festgestellt, dass die Identifizierung von Assets sehr gut in einer Gruppe funktioniert, da jeder eine andere Sicht auf die Dinge hat und man diskutieren kann, welche Assets aufgenommen werden sollten und warum. Aus den unterschiedlichen Perspektiven konnten wir häufig weitere Assets ableiten, die wir direkt in unser GRC-COCKPIT aufgenommen haben.  

Schutzbedarf feststellen 

Für alle Assets muss dann der Schutzbedarf festgestellt werden. In der Diskussion darüber kommt man meist zwangsläufig zu Ideenwelche geeigneten Maßnahmen sich für das Asset ableiten lassenHierbei wird jeder eine etwas andere Meinung haben, welche Assets besonders schützenswert sind und warum. Auch hier keine Scheu zeigeneinfach starten und die Assets bewerten. Zu Beginn haben wir eher „vorsichtiger bewertet, sprich den Schutzbedarf höher angesetzt. Denn wir können die Bewertung im Laufe der Zeit noch etwas abschwächen, wenn wir neue Erkenntnisse gewonnen haben. Während der Schutzbedarfsfeststellung haben wir uns schon gleich die Fragen gestellt: Welche Assets sind besonders schützenswert? Warum? Was können wir tun, um dem Schutzbedarf gerecht zu werden? 

Screenshot der GRC-COCKPIT-Funktion Schutzbedarfsfeststellung

Auf dieser Abbildung ist die GRC-COCKPIT-Funktion Schutzbedarfsfeststellung zu sehen.

Maßnahmen ableiten 

Mit den Antworten auf die Fragen aus der Schutzbedarfsanalyse fällt es uns leicht mögliche Maßnahmen abzuleiten. Wenn beispielsweise ein Arbeits-Laptop besonders schützenswert ist, da er wichtige Daten enthält, so könnten sich bezüglich des Schutzbedarfes für die Vertraulichkeit die Maßnahme Festplatten verschlüsseln anbieten, sowie für die Verfügbarkeit die Maßnahme regelmäßige Backups erstellen. Wir werden darüber in den folgenden Blog-Beiträgen noch ausführlicher berichten.

Denn auch hier ist es wichtig, einen Schritt nach dem anderen zu gehen. Solange die Assets nicht erfasst und die Schutzbedarfe nicht fertig analysiert sind, sollte man sich davor hüten, schon in die Dokumentation der Maßnahmen abzudriften. Sonst läuft man Gefahr, sich zu verrennen. Deswegen erst die Strukturanalyse und Schutzbedarfsfeststellung beenden, dann erst die Risikobetrachtung und die Maßnahmen angehen. Oft ergeben sich Ideen zu Risiken und Maßnahmen in der gemeinsamen Diskussion. Dann muss man sich aber disziplinieren und den Schritt zurück machen, um, wie oben beschrieben, die ersten Schritte erst einmal vollständig abzuarbeiten. 

 to be continued: 

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt IT-Sicherheit:  

  • Einfach erst einmal anfangen alle Assets zu sammeln, (aus)sortieren kann man in einem späteren Schritt noch immer 
  • Die gesammelten Assets typisieren und gruppieren 
  • Danach die Abhängigkeiten der Assets voneinander dokumentieren 
  • Der nächste Schritt ist die Festlegung des Schutzbedarfs  
  • Wichtig: Sparringspartner suchen! in der Diskussion in Gruppen ergeben sich wichtige Erkenntnisse und differenziertere Sichten über relevante Assetspotenzielle Gruppierungen und Schutzbedarfe 
  • Bei der Schutzbedarfsfeststellung zu Beginn den „Worst Case“ annehmen – abschwächen geht immer noch 
  • Nicht scheuen auch mal einen Schritt zurück zu gehen, um zwei voran zu kommen! 

Im nächsten Blog-Beitrag der Reihe schauen wir gemeinsam mit unserer internen Datenschutzbeauftragten Karin Selzer in das Projekt Datenschutz: Los geht‘s: Wie wir den Datenschutz intern umsetzen.

Über den Autor: 

Foto Ingo Simon

Ingo Simon (Geschäftsführer SAVISCON GmbH)

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de 

No Risk – More Fun! GRC@SAVISCON

Wie wir mit unserem Risiko-Management starten

von Uwe Straßberger, Director Sales & Marketing bei der SAVISCON GmbH

Wie versprochen geht es heute in die zweite Runde unserer Blog-Reihe GRC@SAVISCON. Heute mit mir, Uwe Straßberger, als Autor und einem genaueren Blick in das Projekt „Risiko-Management“. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Risiko-Management.

Risikokultur – Tone from the Top

Wenn man ein solches Projekt startet, muss das vom höheren Management getragen werden. Das ist aufgrund der Struktur und Größe bei uns nicht so ein großes Thema. Da unser Geschäftsführer (siehe letzter Blog) das Programm ja selbst aufgesetzt hat, wissen wir natürlich auch, dass das Thema in der Unternehmensleitung als wichtig angesehen und vorangetrieben wird. In anderen Unternehmen mag das aber nicht so sein, daher ist hier wichtig: Versichern Sie sich der vollen Unterstützung Ihrer Unternehmensführung! Wenn diese das Thema als unwichtig oder zweitrangig abstempelt, werden Sie mit hoher Wahrscheinlichkeit Probleme bekommen, die notwendigen Ressourcen in Form von Personal, Zeit und Arbeitsmitteln zur Verfügung gestellt zu bekommen. Außerdem ist es dann schwieriger, in der Belegschaft die notwendige Akzeptanz zu erzeugen.

Projekt- und Ressourcenplanung

Gemeinsam mit meinem Kollegen Mark Teichmann (Produktentwicklung) leite ich das Projekt Risiko-Management. Als aufmerksamer Leser haben Sie bestimmt festgestellt, dass ich als „Director Sales & Marketing“ sowie Mark als „Produktentwickler“ keine klassischen „Risiko-Manager“ sind. Das liegt daran, dass wir unser Risiko-Management schnellstmöglich starten und vorerst kein Budget für zusätzliche Personalkosten verwenden wollten. Daher auch unser Tipp für kleine und wachsende Unternehmen: Schieben Sie Ihr Risiko-Management nicht auf die lange Bank, wenn aktuell kein Budget für einen Risiko-Manager eingeplant ist. Nutzen Sie beim Aufbau Ihres Risiko-Management-Systems stattdessen zu Beginn die vorhandenen internen Personalressourcen. Das Risiko-Management wächst zusammen mit ihrem Unternehmen und wenn die Geschäftsprozesse sowie Regularien komplexer werden, können Sie auch zu einem späteren Zeitpunkt einen Risiko-Manager einstellen – eventuell zunächst als Teilzeitstelle. Mit dem passenden digitalen Risiko-Management-Tool können Sie Ihr Unternehmen bereits mit einem geringen Personal- bzw. Budgetaufwand absichern. Diese Entscheidung hängt natürlich auch immer ganz von der Größe ihres Unternehmens und der Komplexität ihrer Geschäftsprozesse ab. Wir haben uns, wie erwähnt, zunächst dazu entschieden bestehende Ressourcen zu nutzen und planen pro Woche mit fünf Stunden pro Mitarbeiter. Wenn zwei Mitarbeiter an einem Projekt arbeiten, gibt es außerdem einen wöchentlichen Jour fixe, um den aktuellen Stand und das weitere Vorgehen zu besprechen. Die Meilensteine wurden uns vom Programm vorgegeben. Auf der Basis haben wir dann die einzelnen Schritte in Termine heruntergebrochen.

Risikoidentifizierung

Im ersten Schritt haben wir den Ist-Zustand analysiert: Welche Organisationseinheiten bzw. welche Geschäftsprozesse haben wir, welche externen Tools nutzen wir und welche Risiken resultieren daraus? Dazu haben wir alle Kollegen mit eingebunden und befragt. In virtuellen Sitzungen sprachen wir mit jeder Organisationseinheit, in unserem Fall sind das: Geschäftsführung, IT, Consulting, Administration, Marketing und Vertrieb sowie Datenschutz. So konnten wir in einem Brainstorming-Ansatz über zwei Wochen hinweg alle aus den Abteilungen bekannten potenziellen Risiken sammeln. Wichtig: Wir haben vorab eine Mail an alle Kollegen geschrieben, in der wir den Ablauf erklärt und die Deadline genannt haben. Uns war ebenfalls sehr wichtig rüberzubringen, dass es erstmal nur darum geht zu starten. An dieser Stelle gibt es keinen Anspruch auf Perfektion oder Vollständigkeit. Tatsächlich hat das bei uns im Team gut funktioniert und wir haben bis zur genannten Deadline alles geschafft. Alle Mitarbeiter so detailliert zu befragen ist natürlich – je nach Unternehmensgröße – nicht immer möglich. Dennoch sollte hier zumindest immer ein Vertreter jeder Organisationseinheit befragt werden, der sich eventuell vorab Feedback aus seinem Team holt.

Risikobewertung

Im nächsten Schritt ging es mit den eingeholten Infos für Mark und mich ans Sortieren der Risiken und ans Rausschmeißen von Doppelungen. Danach war es endlich so weit: wir konnten die identifizierten Risiken in unsere webbasierte Software einspeisen, das GRC-COCKPIT. Hier sind ebenfalls alle Organisationseinheiten und Assets hinterlegt, sodass wir die Risiken bereits damit verknüpfen konnten. Eine Herausforderung war das Formulieren der Risiken. Die KollegInnen benannten teilweise die Risiken als Anforderung, z. B.: „Es muss sichergestellt sein, dass…“. Diese Herangehensweise erschwert allerdings das Verständnis und vor allem auch die Bewertung für die anderen. Ein Hilfsmittel für das Formulieren von Risiken ist, dass man die folgenden Einleitungssätze im Geiste nutzt: „Es besteht die Gefahr, dass…“ oder „Es besteht das Risiko, dass…“.

Konkretes Beispiel:

Gesammeltes Risiko Formulierungshilfe: Es besteht das Risiko, dass… Eintrag ins GRC-COCKPIT
Bilder auf der Webseite: Liegen die entsprechenden Nutzungslizenzen vor? …eine dritte Partei Ansprüche auf die Lizenzrechte der von uns genutzten Bilder erhebt und uns mit einer Abmahnung belangt. Risiko: Abmahnung aufgrund fehlerhaft ausgewiesener Bildrechte

Das konkrete Formulieren ist die Voraussetzung für den darauffolgenden Schritt: die Risikobewertung. Dazu müssen die KollegInnen genau verstehen, welches Risiko hier gemeint ist. Sie sind dann nämlich wieder an der Reihe und müssen anhand der Risiko-Matrix Eintrittswahrscheinlichkeit vs. Schadenshöhe bei Eintritt des Risikos bewerten.

Aber darum soll es dann im Detail in unserem nächsten Blog-Beitrag aus dem Projekt Risiko-Management gehen.

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt Risiko-Management:

  • Risiko-Management Projekte funktionieren nur mit Rückendeckung der Unternehmensleitung
  • Risiko-Management sollte nicht auf die lange Bank geschoben werden: lieber früh starten und zu einem späteren Zeitpunkt zusätzliches Personal dazu nehmen
  • Mitarbeiter aus allen Organisationseinheiten mit einbeziehen, denn die kennen ihre Arbeitsprozesse, Tools und die damit verbundenen Risiken selbst am besten
  • in der Initialphase besteht kein Anspruch auf Perfektion und Vollständigkeit
  • „better safe than sorry“ – besser zu Beginn jedes noch so klein erscheinende Risiko aus den Organisationseinheiten sammeln und im Nachgang aussortieren
  • bei der endgültigen Erfassung der Risiken ausreichend Zeit darauf verwenden, dass die Formulierung sprechend und eindeutig ist (dabei aber bitte die Verhältnismäßigkeit wahren und nicht in Schönheit sterben…😉)

Im nächsten Blog-Beitrag schauen wir gemeinsam in das Projekt IT-Sicherheit: Step by step: GRC@SAVISCON | Wie wir unser IT-Sicherheits- Management aufsetzen

Über den Autor:

Porträtfoto Uwe Straßberger

Uwe Straßberger (Director Sales & Marketing bei SAVISCON GmbH)

Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de

 

Practice what you preach: GRC@SAVISCON

Wie wir unser GRC-Management mit dem GRC-COCKPIT umsetzen 

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Practice what you preach! Das ist unter anderem unser Antrieb für das interne Programm „GRC@SAVISCON“. Ziel ist es dabei, unser eigenes GRC-Management strukturiert und digital mit unserer GRC-Management-Software (GRC-COCKPIT) abzubilden. Denn wir sind überzeugt: Das was man verkauft, muss man auch selbst leben und umsetzen. Und damit herzlich willkommen zum ersten Beitrag auf unserem Blog! Hier dreht sich zukünftig alles um die Themen Governance, Risk- und Compliance-Management. In der Beitragsreihe „GRC@SAVISCON“ wollen wir Sie auf unsere Reise mitnehmen und Ihnen Einblicke in unser Programm und die darunter liegenden Projekte ermöglichen: Wie läuft es ab, wenn man ein strukturiertes, digitales GRC-Management-System einführt? Welche Hürden gilt es zu überwinden und welche Vorteile zeichnen sich ab?

Am Ende des Blogs finden Sie die Kommentar-Funktion. Wir würden uns sehr über einen Erfahrungsaustausch freuen: Haben Sie bei sich bereits ein GRC-Management-System eingeführt? Hatten Sie eine ähnliche Herangehensweise?

Warum (erst jetzt) GRC-Management?

Kritische Köpfe könnten sich fragen: Sie sind seit 2010 mit SAVISCON am Markt, wieso führen Sie erst jetzt ein GRC-Management-System ein? Uns geht es da wie vielen anderen Unternehmen. Bis Ende 2017 dachten wir: „Wir sind zu klein“, „die Risiken sind überschaubar“… Doch dann entwickelte sich eine uns bis dahin unbekannte Dynamik. Bis 2018 waren wir mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Keine allzu komplizierte Sache. Ende 2018 übernahmen wir die Software unseres heutigen GRC-COCKPITs, die in einem Spin-off der Universität Münster ihren Ursprung hatte. Wir übernahmen damit auch die Bestandskunden, sind allerdings nicht der Rechtsnachfolger des vorherigen Rechteinhabers. Um den Kauf und den Produktlaunch herum galt es jetzt, ein entsprechendes Team aufzubauen. Produktentwicklung, Kundenbetreuung, IT-Betrieb, neue GRC-Consultants, Digital Marketing und Vertrieb sind Themen, die vorher keine Rolle gespielt haben. Seit 2018 hat sich daher die Anzahl unserer Mitarbeiter fast verdreifacht. Und auch die Themen sind mehr geworden oder haben an Bedeutung gewonnen: Personal-Compliance, Gewährleistung und Haftung gegenüber Kunden, Datenschutz, IT-Sicherheit. Und genau das sind ja die Themen, die wir mit dem GRC-COCKPIT abdecken. Durch das Wachstum und die steigende Komplexität stand schnell der Entschluss fest: Wir wollen unser GRC-Management umfassend und vollständig in unserem GRC-COCKPIT abbilden. Bisher waren wir da sporadisch für einige wenige Themen unterwegs, es fehlte allerdings der strukturierte Ansatz. Das war vor allem dem Umstand geschuldet, dass ich als Geschäftsführer den Anspruch hatte, alles – zumindest bis zu einem gewissen Grad – selbst zu initiieren, aufzusetzen und durchzuführen.

Da für uns das Jahr 2019 und auch das Corona-Krisenjahr 2020 überraschend gut lief, konnten wir wie beschrieben neue Mitarbeiter einstellen und weiterwachsen. Damit haben wir auch zusätzliche interne Ressourcen gewonnen, die an den Projekten mitarbeiten und mich entlasten können. Somit hatten wir die Grundlage dafür geschaffen, dass ich ein Stück weit „loslassen“ konnte. Aus dem Entschluss konnte nun ein handfestes Programm werden. Denn wenn wir mal ehrlich sind, eigentlich kann man nie früh genug anfangen und das GRC-Management-System wächst ja mit!

Also: Am 19. November 2020 hat dann unser Kick-off-Meeting stattgefunden. Für uns gibt es übrigens gleich zwei Pluspunkte: Wir sichern die SAVISCON hinsichtlich Compliance-Management, IT-Sicherheit und Risiko-Management ab und das GRC-COCKPIT steht praktisch pausenlos auf dem internen Prüfstand. So können wir unseren Kunden eine Software bieten, die praxiserprobt ist und mit Best Practises aushelfen. Jetzt können wir aus dem Nähkästchen plaudern, wo uns bisher bei Erfahrungen mit unseren Kunden aus Geheimhaltungsgründen regelmäßig die Hände gebunden sind.

Apropos aus dem Nähkästchen plaudern, legen wir doch direkt mal los:

Wie starte ich mein GRC-Management?

Wo soll ich bloß anfangen? Das ist wohl einer der meistgestellten Fragen, wenn es darum geht ein strukturiertes Risiko- und Compliance-Management-System aufzusetzen.

Im ersten Schritt habe ich mich dazu entschieden unser Programm in drei Projekte zu gliedern, für die jeweils ein bis zwei Mitarbeiter zuständig sind:

  1. Risiko-Management (Projektleiter: Mark Teichmann und Uwe Straßberger)
  2. Compliance-Management und Datenschutz (Projektleiterin: Karin Selzer)
  3. IT-Sicherheit (Projektleiter: Ingo Simon)

Klar, jedes Projekt benötigt auch Ziele, auf die es zuarbeiten kann. Diese habe ich in Rücksprache mit den Projektleitern definiert.

Anschließend – und das ist sehr wichtig! – haben wir allen MitarbeiterInnen in einem Kick-off-Termin via Microsoft Teams das Programm vorgestellt. Denn alle Projekte haben eines gemeinsam: Das Management muss das Vorgehen erlebbar unterstützen. Den MitarbeiterInnen muss klar werden, wie wichtig das GRC-Management für die ganze Firma ist. Ich habe im Kick-off-Termin nochmal betont, dass alle MitarbeiterInnen während des gesamten Prozesses die Möglichkeit haben, ihre Sicht der Dinge einzubringen. Das steigert die Akzeptanz und damit auch die Qualität – davon profitiert am Ende das ganze Team.

Projekt Risiko-Management

Beim Projekt Risiko-Management haben Mark Teichmann und Uwe Straßberger die Aufgabe, die maßgeblichen und potenziell existenzgefährdenden Risiken für SAVISCON zu identifizieren. Sobald diese Risiken identifiziert sind, sollen entsprechende Maßnahmen zur Risikominimierung entwickelt und umgesetzt werden. Alle Ergebnisse werden wir durchgängig im GRC-COCKPIT dokumentieren. In einem späteren Blog-Beitrag zeigen wir, wie das genau aussehen kann.

Meilensteine:

  • Kick-off-Termin: 19. November 2020
  • Projektplanung, Ressourcenplanung und Budgetplan: Mitte Dezember 2020
  • Risikoidentifizierung und Bewertung: Ende Januar 2021
  • Maßnahmen finden und bewerten: Ende März 2021
  • Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende April 2021

Projekt Compliance-Management und Datenschutz

Im Projekt Compliance-Management und Datenschutz wird unsere Projektleiterin und Datenschutzbeauftragte Karin Selzer die maßgeblichen Richtlinien für unser Unternehmen identifizieren und die bisherige Umsetzung bezüglich der Compliance bewerten. Daraufhin entwickelt sie entsprechend angemessene Maßnahmen, setzt sie um und trägt für den Datenschutz die bereits vorhandenen technischen und organisatorischen Maßnahmen (TOMs) im GRC-COCKPIT nach. Hier müssen dann auch ggf. Compliance-Risiken erkannt und in Abstimmung mit dem Projekt Risiko-Management bearbeitet werden. Alle Ergebnisse dokumentieren wir ebenfalls durchgängig im GRC-COCKPIT.

Meilensteine*:

  • Kick-off-Termin: 19. November 2020
  • Projektplanung, Ressourcenplanung und Budgetplan: Ende Januar 2021
  • Compliance-Bewertung für Datenschutz, GoBD und Personal-Compliance: Ende März 2021
  • Maßnahmen finden und bewerten: Ende Mai 2021
  • Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende Juni 2021

Projekt IT-Sicherheit

Für das Projekt IT-Sicherheit bin ich selbst zuständig. Allerdings teile ich mir die Aufgaben mit unserem Entwicklungsleiter Merlin Konert. Hier werden wir die IT-Struktur und Prozesse vor allem der Entwicklung und des Betriebs der Kundensysteme dokumentieren sowie die Schutzbedarfsanalyse durchführen. Das findet aber natürlich auch für unsere internen Prozesse statt, wie z. B. Personalprozesse, Buchhaltung und Rechnungswesen. Auch ich werde in meinem Projekt eine Risikoanalyse in Zusammenarbeit mit den Projektleitern vom Risiko-Management erstellen. Alle Ergebnisse werden wieder im GRC-COCKPIT festgehalten.

Meilensteine:

  • Kick-off-Termin: 19. November 2020
  • Projektplanung, Ressourcenplanung und Budgetplan: Mitte Dezember 2020
  • Dokumentation der IT-Struktur + Prozesse sowie Schutzbedarfsanalyse: Ende Januar 2021
  • Risikoanalyse und Maßnahmen finden: Ende März 2021
  • Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende April 2021

…to be continued:

So weit unser Plan.

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse:

  • Das Management (in diesem Fall ich als Geschäftsführer) muss Vertrauen zu den MitarbeiterInnen haben und auch diese wichtigen Aufgaben delegieren. Sonst bleiben sie schlicht liegen. Die Verantwortung bleibt letztendlich natürlich bei der Unternehmensleitung!
  • Die MitarbeiterInnen müssen mitgenommen und sensibilisiert werden. Man muss schon erklären, warum man ein GRC-Programm aufsetzt, das – auf den ersten Blick – nur Arbeit macht und kein Geld einbringt. Das war bei uns natürlich relativ einfach, weil das strategische Geschäftsfeld „GRC-Management“ mit dem Produkt und den Beratern ja jedem bei SAVISCON bekannt ist

In den nächsten Blog-Beiträgen aus der Rubrik GRC@SAVISCON schauen wir gemeinsam in die einzelnen Projekte und stellen unseren Fortschritt, die Herausforderungen und Hürden sowie unsere Lösungen vor. Hier geht es zum ersten Blog-Beitrag aus dem Projekt Risiko-Management.

Über den Autor:

Foto Ingo Simon

Ingo Simon (Geschäftsführer SAVISCON GmbH)

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de

* Die Termine der Meilensteine unterscheiden sich zu denen von den Projekten Risiko-Management und IT-Sicherheit, da Karin Selzer erst seit Januar 2021 in Vollzeit unser Team verstärkt.