Kategorie: GRC@SAVISCON

Practice what you preach! Das ist unter anderem unser Antrieb für das interne Projekt „GRC@SAVISCON“. Ziel ist es dabei unser eigenes GRC-Management strukturiert und digital mit unserer GRC-Management-Software (GRC-COCKPIT) abzubilden. Denn wir sind der Überzeugung: Das was man verkauft, muss man auch selbst leben und umsetzen. In der Beitragsreihe „GRC@SAVISCON“ wollen wir Sie auf unsere Reise mitnehmen und Ihnen Einblicke in unser Programm ermöglichen: Wie läuft es ab, wenn man ein strukturiertes digitales GRC-Management-System einführt? Welche Hürden gilt es zu überwinden und welche Vorteile zeichnen sich ab?

Wie läuft eine Zertifizierung nach ISO 27001 ab?

SAVISCON GmbH lässt ihr ISMS zertifizieren

Von Daniel Straßberger, Informationssicherheitsbeauftragter der SAVISCON GmbH

In unserer Reihe GRC@SAVISCON nehmen wir Sie mit auf unsere interne Reise zum strukturierten, konsistenten GRC-Management-System. Frei nach dem Motto „Practice what you preach“, entwickeln wir Schritt für Schritt unser Compliance-, Risiko-, Datenschutz- und Informationssicherheits-Management weiter.

Im heutigen Blog-Beitrag geht es um das Aufsetzen und Zertifizieren eines Informationssicherheits-Management-Systems (ISMS).

Hintergrund

Als Informationssicherheitsbeauftragter arbeite ich seit April 2021 für die SAVISCON GmbH. Eine meiner Aufgaben ist die Umsetzung eines ISMS nach der ISO27001. Gerade zu Beginn war das meine Hauptaufgabe und ich habe sehr viel daran gearbeitet. Durchaus eine große Herausforderung, gerade weil ich zu dem Zeitpunkt frisch dabei war. Doch dann passierte das, was wohl vielen in meiner Position passiert: Es kommen neue Aufgaben, neue Projekte und neue Themenfelder dazu. Mit dem Ergebnis, dass unser internes ISMS immer mehr in den Hintergrund getreten ist. Allerdings ist uns eine Entwicklung im Gespräch mit unseren Kunden aufgefallen: Immer mehr Unternehmen erkennen den Wert von Informationssicherheit und stellen auch entsprechende Forderungen an Geschäftspartner und Dienstleister. Deswegen haben wir unser ISMS und die Zertifizierung unseres Systems nach ISO 27001 priorisiert.

Anfang Juni 2022 hatten wir den Kickoff-Termin mit dem Auditor und bis zum Ende des Jahres soll die Zertifizierung abgeschlossen sein. Dazu werde ich sicherlich noch den einen oder anderen Blog-Beitrag schreiben. An dieser Stelle möchte ich Sie schonmal mitnehmen, den Stand der Dinge vorstellen und einen Ausblick geben, auf das, was die nächsten Wochen auf mich zukommen wird.

Warum eine Zertifizierung nach ISO27001?

Wir bei der SAVISCON GmbH sind davon überzeugt, dass Informationssicherheit ein wichtiger Bestandteil in der heutigen Geschäftswelt ist. Offenlegung von Betriebsgeheimnissen, personenbezogene Daten oder der Ausfall von geschäftskritischen IT-Geräten; ohne vernünftige Überlegungen und ausgearbeitete Prozesse für den Ernstfall kann dies zu existentiellen Schäden führen. Von daher war uns schon letztes Jahr klar, dass wir ein ISMS umsetzen und letztendlich zertifizieren lassen wollen.

Aber es gibt noch mehr Vorteile, so sind wir zurzeit dabei unsere Software, das GRC-COCKPIT, bei unserem Partner d.velop im Store zu platzieren. Dazu hatten wir vor ein paar Wochen ein Security Review. Mehr als die Hälfte der Anforderungen konnten mit Hinweis auf die laufende ISO-Zertifizierung abgehakt werden. Es zeigt sich also schon hier: Mit einer Zertifizierung nach ISO27001 ist es möglich die Wirksamkeit des ISMS glaubwürdig nachzuweisen.

Der Kickoff-Termin und der Stand der Dinge

Unser Zertifizierungsprozess startete Anfang Juni 2022 mit einem Kickoff-Termin gemeinsam mit unserem Geschäftsführer Ingo Simon, dem Auditor und mir selbst in unserem alten Büro in Hamburg. Wir sind nämlich Ende Juni in neue Räumlichkeiten am Heegbarg 16 umgezogen – aber das nur am Rande. In einer sehr entspannten Runde haben wir den Stand des ISMS der SAVISCON GmbH präsentiert. Davon ausgehend wurde eine GAP-Analyse erstellt. Ich habe anschließend mehrere Dokumente erhalten, vor allem Richtlinien und Prozessbeschreibungen, die von uns anzupassen sind. Dies wird nachher die Basis für unser ISMS sein.

Besonders im operativen Teil sind noch viele Lücken zu schließen, das Durchführen Interner Audits, die Überprüfung von Maßnahmen und das aktive Monitoring von Anwendungen und IT-Geräten stehen da ganz oben auf der Liste. All dies ist in den kommenden Monaten von mir auszuarbeiten und muss anschließend durch die Geschäftsleitung legitimiert werden.
Ebenso sind die Dokumentenlenkung und die Zugriffssteuerung bei uns bisher eher mit niedriger Priorität betrachtet worden und dementsprechend nicht vollständig definiert und umgesetzt. Dies haben wir bis jetzt damit rechtfertigen können, dass wir ein sehr kleines Unternehmen mit familiärer Stimmung sind, wo jeder den Kollegen vertraut. Dieses Vertrauen wird hoffentlich auch in Zukunft untereinander bestehen, die Prozesse werde ich trotzdem ausarbeiten und gemeinsam mit den Kollegen umsetzen.

Zertifizierung mit dem GRC-COCKPIT

Als Entwickler einer SaaS-Lösung zum Bearbeiten von Compliance-Themen und Management-Systemen ist es natürlich unser Ziel das ISMS in unserem GRC-COCKPIT abzubilden und wir wollen auf der Basis auch die Zertifizierung abschließen. Unser Assessor schien von dem GRC-COCKPIT auch sehr angetan und bezeichnete die Zertifizierung mit dem GRC-COCKPIT als „spannendes Projekt“.

Als erstes habe ich ihm einen Lese-Account erstellt, dazu habe ich ihn als externen Mitarbeiter bei uns hinzugefügt (und natürlich auch gleich die Firma unter Partner eingetragen) und dem Account eine Read-Only Rolle gegeben. So kann er jederzeit die Arbeit, die wir im ISMS geleistet haben, einsehen und kann zum Beispiel die Asset-Liste überprüfen, ohne dass wir uns vorher auf einen Termin einigen müssen.

Screenshot Auditor-Account im GRC-COCKPIT

Screenshot aus dem GRC-COCKPIT vom Auditor-Account mit der „Only-Read“-Funktion.

Wir wollen das ISMS bei uns so umsetzen, dass sich nahezu alles im GRC-COCKPIT abspielt. Die internen Audits zum Beispiel werden wir als Maßnahmen anlegen und mit Überwachungshandlungen dafür sorgen, dass wir keine Audit-Termine verpassen. Die Ergebnisse der Audits können auch gleich im GRC-COCKPIT festgehalten werden. Dies wiederum kann dann über den Zertifizierer-Account eingesehen werden, sodass wir schnell unseren Compliance-Status nachweisen können oder eben Nichtkonformitäten sofort auffallen.
Das wird natürlich vorerst mehr Arbeitsaufwand mit sich bringen, da ich nicht nur den Anforderungen aus der Norm gerecht werden muss, sondern auch ein System entwickeln muss, um die Ergebnisse entsprechend im GRC-COCKPIT abzubilden, wobei hier schon in den letzten Monaten einige gute Überlegungen entstanden sind. Ich denke aber es wird sich lohnen, zum einen wird der Aufwand für die Aufrechterhaltung und Überprüfung (Lebenszyklus!) des ISMS sinken und zum anderen können wir unsere gewonnenen Erfahrungen aus der Praxis (Arbeit mit dem GRC-COCKPIT) an unsere Kunden weitergeben.

Fazit

Es werden spannende und zwischenzeitlich sicherlich anstrengende Wochen für mich werden. Auch für meine Kollegen wird es interessant, da es im Zuge der ISMS-Umsetzung definitiv Veränderungen bei uns geben wird. Doch ich bin motiviert und hoffe, in meinen nächsten Blog-Einträgen von ersten Erfolgen berichten zu können.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheits-Management-Systems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit: daniel.strassberger@saviscon.de

 

Der Code of Conduct als Teil des Integrity-Managements

Mit gemeinsamen Werten vom Compliance- zum Integrity-Management

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Am 19. Mai 2022 hat unsere Kollegin Kerstin Wittemeier in ihrem Blog-Beitrag „Was ist ein Code of Conduct?“ berichtet, wie wir gemeinsam mit allen Mitarbeitenden die Strategie der SAVISCON diskutiert, entwickelt und formuliert haben. Sie hat dabei auch unseren Code of Conduct erwähnt, den wir anlässlich des Strategietreffens ganz am Anfang der Veranstaltung unterschrieben haben. In diesem Beitrag möchte ich unseren Wertekatalog im Kontext unserer Compliance-Management Aktivitäten und des Firmenwachstums einordnen.

Was unterscheidet Compliance- von Integrity Management?

Dazu gibt es viele wissenschaftlicher Abhandlungen. Ich fasse es für mich stark vereinfacht einmal so zusammen:

Im Compliance-Management werden durch Aufstellen von Regeln, Maßnahmen und Kontrollen die Mitarbeitenden angehalten, diesen von außen vorgegebenen Regeln Folge zu leisten. Das gesamte Regelwerk ist aus Sicht der Betroffenen ein externes Konstrukt, das quasi aufoktroyiert wird (ist schon sehr überspitzt, aber es ist ja schon ein bisschen so). Die Betroffenen müssen diesen Regeln für sich selbst nicht unbedingt zustimmen, aber im Rahmen des Arbeitsverhältnisses trotzdem folgen.

Im Integrity Management ist es das Ziel, die intrinsische Motivation aller Mitarbeitenden zu aktivieren, sodass sie aus sich selbst heraus das Regelwerk akzeptieren, sich dazu bekennen und entsprechend handeln, ohne groß darüber nachdenken zu müssen, was die richtige Handlung ist. Eine Art „natürliche Compliance“ vielleicht.

Wie macht man die ersten Schritte in Richtung Integrity Management?

Als erstes ist wichtig, dass es grundsätzlich einen Konsens im Team gibt, dass man sich versteht und vertraut. Wichtig ist aber auch, dass Verständnis und Vertrauen auch über die Hierarchieebenen aufgebaut werden. Damit verringert sich das Risiko der Illoyalität, das schnell zu Compliance-Verstößen führen kann (siehe auch mein Artikel „Teambuilding ist auch Risiko-Management„). Wenn man sich im Team versteht, ist es ein inneres Bedürfnis, dem Team nicht zu schaden. Das ist doch schon mal ein guter Schritt.

Der nächste Schritt ist dann, den Konsens im Team nicht nur als Bauchgefühl zu pflegen, sondern zu untersuchen, woher der Konsens, das Vertrauen, das Verständnis eigentlich kommen. Das haben wir in mehreren Events umgesetzt. Schon im August 2021 habe ich in unserem Teambuilding-Event gefragt, wo sich jeder und jede einzelne im Team in fünf Jahren sehen würde. Dann habe ich alle gefragt, wo sie die SAVISCON in fünf Jahren sehen würden. Daraus entstand dann der Strategieprozess, der oben schon erwähnt wurde.

Aber im Jahresabschlusstreffen im Dezember letzten Jahres haben wir dann noch einen Workshop aufgesetzt, in dem in mehreren Kleingruppen eben der Code of Conduct erarbeitet wurde. Die Frage war: Welche Werte sind Euch im Kontext der Arbeit bei SAVISCON wichtig? Alle Werte wurden von den einzelnen Teams vorgestellt und in einer Liste gesammelt.

Code of Conduct finalisieren und unterschreiben

Aus dieser Liste hat dann die Geschäftsführung, also Marian Grzabel und ich, den Code of Conduct formuliert und dann noch in zwei Qualitätssicherungs-Runden mit allen Beteiligten finalisiert. Dieses Dokument spiegelt also nicht nur den Willen und die Werte der Geschäftsführung wider, sondern die Werte aller SAVISCON-Mitarbeiter.

Das letzte Team-Event war dann im Mai 2022, wo wir das SAVISCON-Team gefragt haben, ob sie bereit sind, den Code of Conduct auch zu unterschreiben. Dieser eigentlich nur formelle Akt führt erwiesenermaßen bei allen Beteiligten zu einer größeren unbewussten und intrinsischen Bindung an diese Werte (auch bei mir natürlich).

Damit ist eine weitere Stufe auf dem Weg zum Integrity Management genommen. Es ist nicht nur ein inneres Bedürfnis, dem Team nicht zu schaden, sondern es ist genauso ein inneres Bedürfnis, die Werte zu beachten und sich entsprechend zu verhalten. Wer Robert Cialdini gelesen hat, kennt das als „Consistency“, also das innere Bedürfnis, sich konsistent zu seinen vergangenen Aussagen und Taten zu verhalten.

Transparenz für neue Kollegen: Wer sind wir und was wollen wir

Wir als SAVISCON GmbH freuen uns über ein stetiges Wachstum und somit auch regelmäßig neue Kollegen. In den Anfängen haben wir die Mitarbeitenden meist aus unserem persönlichen Umfeld rekrutiert, wir kannten uns meist schon länger privat oder aus Projekten. In der Phase kann man sich relativ sicher sein, dass die „Neuen“ ins Team passen. Mit steigendem Wachstum werden aber immer mehr „normale“ Recruiting-Prozesse zum Einsatz kommen. Man wird als Einstellender mit komplett unbekannten Menschen über das mögliche Arbeitsverhältnis verhandeln.
Wenn es so weit ist, ist es aus unserer Überzeugung heraus wichtig, dass die Werte des schon vorhandenen Teams auch transparent Richtung Bewerber transportiert werden können. Neue Mitarbeitende sollen wissen, in welchem Umfeld sie starten werden, nicht nur von den Aufgaben her, sondern eben im kollegialen Umfeld und auch im Verhältnis zu Kunden und Dritten. Wer sich im Bewerbungsgespräch hier nicht wiederfindet, wird sich in der Regel anders orientieren. Damit, so sind wir überzeugt, können wir es schaffen, die vorhandene Harmonie innerhalb des Teams auch zukünftig zu behalten.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir: XING Profil Ingo Simon LinkedIn Profil Ingo Simon

 

Praxis-Tipps: Hinweisgeberschutzgesetz digital abbilden

HinSchG mit einer Software abbilden

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Das Hinweisgeberschutzgesetz ist noch immer nicht zu nationalem Recht geworden. Deutschland hat den von der EU gesetzten Termin zur Einführung eines Gesetzes, das die EU-Whistleblower-Richtlinie umsetzt, am 17.12.2021 verstreichen lassen. Die aktuelle Bundesregierung schreibt im Koalitionsvertrag, dass sie das Gesetz umsetzen wird, jedoch binden die aktuellen Krisen vorerst die vorhandenen Ressourcen.

„Na gut“ könnte man meinen, „dann stelle ich das zurück, bis es wieder auf der Agenda erscheint. Dann diskutieren die ohnehin noch so lange, dass mir reichlich Zeit für einen Umsetzung bleibt“. Aus meiner Sicht ist das keine gute Idee, zeigt doch die Regierung in vielen Themen recht große Einigkeit. Und die EU-Kommission hat am 27. Januar 2022 mit der Einleitung des förmlichen Vertragsverletzungsverfahrens gegen Deutschland den Druck erhöht. Das Gesetz könnte also schneller kommen, als derzeit vermutet.

Das sind Argumente, um sich mit der Einführung eines Hinweisgebersystems genau jetzt auseinanderzusetzen. In diesem Artikel möchte ich aufzeigen, welche Punkte wesentlich für die Umsetzung eines digitalen Hinweisgebersystems sind (Stichwort im folgenden Text: „Praxis-Tipp“). Dazu orientieren wir uns an den Kernanforderungen des Referentenentwurfs (RefE). Seine für diesen Kontext relevanten Anforderungen finden sich relativ deckungsgleich auch in der EU-Richtlinie wieder.

Zentrale Anforderung: Einrichtung einer internen Meldestelle

Diese Anforderung findet sich im Referentenentwurf genauso wie in der EU-Richtlinie (Artikel 7 Abs (2)). Sie ist die Grundlage für die Einführung eines Hinweisgebersystems: Die Unternehmen und Organisationen sollen dafür Sorge tragen, dass sie eingehende Meldungen intern unter den Voraussetzungen des Hinweisgeberschutzgesetzes abarbeiten können.

Praxis-Tipp: Ein Hinweisgebersystem stellt die Pforte zur internen Meldestelle dar.

Artikel 8 der Richtlinie (Artikel 12 im RefE) schreibt für Unternehmen und Organisation die Pflicht vor, diese Pforte einzurichten. Grundsätzlich muss, bleiben wir beim Bild der Pforte, diese für alle Mitarbeitenden der Organisation offen sein. Zusätzlich kann sie aber auch für alle Personen geöffnet werden, die mit der Organisation beruflich zu tun haben, z. B. Lieferanten, Dienstleister, etc.

Praxis-Tipp: Neben Telefon, Briefkasten und offener Tür benötigt die Organisation eine digitale Pforte, die die Abgabe von Meldungen ermöglicht. Diese digitale Pforte musss dort präsent sein, wo die o. g. Personen darauf Zugriff haben. Es empfiehlt sich also die Bereitstellung der digitalen Pforte im Intranet und – sofern gewollt – auch auf der Webseite der Organisation.

Festlegung des Verfahrens: funktionale Mindestanforderung für ein Hinweisgebersystem

Im Artikel 9 der EU-Richtlinie stehen die prozessualen Anforderungen für ein Hinweisgebersystem. Hier steht die Wahrung der Vertraulichkeit für die meldende Person, aber auch für möglicherweise in der Meldung genannte Dritte, ganz vorne.

Praxis-Tipp: Ein System muss über Möglichkeiten verfügen, die Rollen und Rechte an entsprechende Personen so zu verteilen, dass diese Vertraulichkeit gewährleistet wird. Übrigens heißt das, dass vor der Implementierung eines Systems ein entsprechender Prozess definiert werden muss.

Interessanterweise sieht die EU-Richtlinie eine anonyme Meldung vor, schränkt aber ein, dass die Nationalstaaten entscheiden müssen, ob anonyme Meldungen bearbeitet werden müssen. Tatsächlich wird es im Referentenentwurf abgelehnt, die Bearbeitung anonymer Meldungen zur Pflicht zu machen. Eine Schwäche im Entwurf, ist es doch erwiesen, dass ein Hinweisgebersystem eben genau dann vermehrt genutzt wird, wenn es die Möglichkeit bietet, (vorerst) anonym die Meldung abzugeben. Also sollte ein System auch eine anonyme Meldung zulassen und Werkzeuge zur Verfügung stellen, welche die anonyme Kommunikation zwischen der Meldestelle und der meldenden Person mindestens so lange ermöglicht, bis ein ausreichendes Vertrauensverhältnis besteht, um sich zu offenbaren.

Praxis-Tipp: Es gibt diverse technische Möglichkeiten, die digitale Pforte auch anonymen Meldenden zu öffnen. Das kann mit einem generierten E-Mail-Account gehen, oder mit Formularen auf Webseiten. Wichtig: Auch diese anonyme Kommunikation muss vollständig dokumentiert und nachvollziehbar sein. Außerdem muss die digitale Pforte technisch so implementiert sein, dass z. B. bei Meldungen via Intranet keine technischen Rückschlüsse auf die anonym meldende Person gezogen werden können.

Screenshot von dem anonymen Chat zwischen Mitarbeiter und Hinweisgeber im SAVISCON GRC-OCKPIT.

Eine Chatfunktion bietet die Möglichkeit, Informationen und Anhänge beidseitig zu teilen. Der Chat ist Kommunikationsmittel der Wahl, bis die meldende Person ihre Kontaktdaten offenbaren will. Die Screenshots zeigen das Verfahren beispielhaft am GRC-COCKPIT der SAVISCON GmbH.

Die letzten wichtigen Anforderungen befassen sich mit dem zeitlichen Ablauf des Verfahrens. Nach spätestens 7 Tagen soll die meldende Person eine Eingangsbestätigung bekommen. Nach spätestens 3 weiteren Monaten soll die Information über die Folgemaßnahmen an die meldende Person kommuniziert werden. Sonst hat diese das Recht, sich an externe Meldestellen oder gar an die Öffentlichkeit zu wenden.

Praxis-Tipp: Das Hinweisgebersystem muss das Datum des Eingangs der Meldung speichern. Auch bei anonymen Meldungen muss ein technisches Verfahren bereitgestellt werden, wie die Bestätigung die meldende Person erreicht. Auf Basis des Eingangsdatums muss das System Fristen setzen, wann die Bearbeitung insoweit beendet sein muss, dass Folgemaßnahmen auf den Weg gebracht wurden. Überschrittene Fristen sollten zu Alarmen oder zur Eskalation führen.

Screenshot vom Health Check im SAVISCON GRC-COCKPIT.

Der Health Check im SAVISCON GRC-COCKPIT gibt Übersicht über den Status in Bezug auf die Fristen.

Fazit

Die Bereitstellung und der Betrieb eines Hinweisgebersystems ist ein wesentlicher Teilprozess des Compliance Managements (siehe auch DIN ISO 37301 Abs A.8.3). Allein die Tatsache, dass eine Organisation ein Hinweisgebersystem bereitstellt, hält potenzielle Täter davon ab, sich offensichtlich non-compliant zu verhalten.
Die Anforderungen, die von einem Hinweisgebersystems erfüllt werden müssen, sind recht klar in den gesetzlichen Grundlagen dargelegt. Bei der Auswahl eines Systems sollten daher zwei Dinge eine wesentliche Rolle spielen:

  • Die möglichst nahtlose Einbindung in ein digitales Compliance-Managementsystem
  • Die Konzentration auf die wesentlichen Anforderungen: digitale Pforte, Wahrung der Vertraulichkeit, Einhaltung der Fristen

Wenn man sich nicht durch lange Feature-Listen vom Wesentlichen ablenken lässt, kann die Einführung eines digitalen Hinweisgebersystems ihren Schrecken verlieren und auch mit überschaubarem Budget und Zeitaufwand durchgeführt werden.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

Wie funktioniert ein Personalwechsel im Risiko-Management?

Wissenstransfer & gemeinsames Verständnis aufbauen

Von Marcel Steur, Consultant Risiko-Management & GRC der SAVISCON GmbH

Vielleicht ist es Ihnen schon aufgefallen: Es gab im SAVISCON-Blog lange keinen Beitrag mehr zum Thema Risiko-Management. Das hat auch einen Grund, denn unser Mitarbeiter, der bisher das Risiko-Management verantwortet hat – Uwe Straßberger – ist im März 2022 in den Ruhestand gegangen. Doch seit April ergänze ich, Marcel Steur (Consultant Risiko-Management & GRC), das SAVISCON-Team und blogge zukünftig über alle Themen rund um das Risiko-Management. Qua akademischer Ausbildung bin ich Wirtschaftswissenschaftler mit Studienschwerpunkt Statistik und Data Science. Die Kontaktbereiche mit dem Risiko-Management waren bisher quantitativer Natur, also mathematisch- und zahlengetrieben. Mein Wirkungsbereich begann also, wenn Risiken bereits identifiziert, als relevant definiert und beschrieben wurden. Meine akademischen Schwerpunkte waren das Schließen einer Risikobewertung aus Rohdaten und die Risikoaggregation aus Einzelrisiken mit verschiedenen Kennzahlen.

Orientierungsphase: Mein Start ins SAVISCON-Risiko-Management

Mit dem aktuellen Wachstum der SAVISCON GmbH verändern sich auch die Abteilungen, interne Strukturen, das Personal wird umgeplant und Zuständigkeiten verlagern sich. Zu Beginn meiner Tätigkeit habe ich an einer Schulung teilgenommen, in der ich das vollständige Risiko-Management, den bundesweiten Stand, die typischen Prozesse und die Umsetzungsmethoden durchlaufen habe. Mit diesen Informationen habe ich mir das interne Risiko-Management, insbesondere die Risiken, den Risiko-Management-Leitfaden und die internen Bereiche und deren Zuständigkeiten angesehen und mich in diese Strukturen eingearbeitet. Mit dem Überblick der internen Strukturen mussten einige Fragen über meinen geplanten Zuständigkeitsbereich geklärt werden, damit zum einen kein Teilbereich ohne Zuständigkeit verbleibt und zum anderen kein Teilbereich mit doppelter Zuständigkeit geplant wird.

Definitionsphase: Gemeinsame Definition von „Risiko“

Beim Einsehen der Risiken stellte ich verschiedene Arten des Anlegens von Risiken fest. Dies resultierte aus jahrelangem Anlegen von Risiken durch unterschiedliche Zuständige mit jeweils anderer Sicht- und Denkweise. Ich musste „das Risiko“ also für mich klar erfassen und definieren. Grundsätzlich beschreibt das Risiko eine Wahrscheinlichkeit in einer kausalen Kette, es steht also zwischen Ursache und Wirkung. Diese kausale Kette beginnt mit einer Ursache, die sich wahrscheinlich realisieren könnte, eine negative Auswirkung auf vorhandene Prozesse hat und damit ein Unternehmensziel gefährdet oder verhindert.
Als Beispiel hätte ein veralteter Fuhrpark (Ursache) eine nicht zu vernachlässigende Wahrscheinlichkeit, dass eines der Fahrzeuge ausfällt (Risiko) und der das Fahrzeug nutzende Mitarbeiter nicht rechtzeitig zu einem Kundentermin kommt (Auswirkung). Damit wäre das Unternehmensziel „hohe Kundenzufriedenheit erreichen“ gefährdet.
Laut dieser klaren Definition war es mir möglich zu erkennen, dass in einigen der internen Risiken nicht genau das Risiko von der Ursache oder die Auswirkung vom Risiko getrennt eingetragen war.

Hier drei Beispiele für unklare Eintragungen:

  • Der Ausbruch einer neuen COVID-Variante ist ein Risiko für das Unternehmen – Hier handelt es sich um eine Ursache, dessen Risiko die mögliche Erkrankung eines Mitarbeiters wäre, was zum Ausfall eines Mitarbeiters führen könnte.
  • Die Handlungsunfähigkeit aller Mitarbeiter wegen IT-Problemen ist ein Risiko für das Unternehmen – Hier handelt es sich um eine Auswirkung, dessen zugehöriges Risiko der Ausfall des Unternehmensservers ist, der sich aus der Ursache von schädlichen IT-Fremdeinwirkungen ergibt.
  • Das Unterschreiten des geplanten Umsatzwachstums von 10 % ist ein Risiko für das Unternehmen – Hier handelt es sich um das Nichterreichen eines Unternehmensziels, das durch Auswirkungen gefährdet oder verhindert werden könnte. Hierbei kann es jedoch viele Auswirkungen geben, die sich aus unterschiedlichsten Risiken realisieren können, die sich aus verschiedensten Ursachen ergeben könnten.

Des Weiteren waren die eingetragenen Risiken in dreistelliger Anzahl für einen zentralen Risiko-Manager nicht mehr leicht zu überblicken. Dafür sollte ein Kategorisierungs-Konzept für die internen Risiken entwickelt und eingeführt werden. Die Möglichkeiten von Risiko-Kategorisierungen sind jedoch immens. Aus verschiedenen Risiko-Management-Fachbüchern folgen unzählige Risikoarten und Risikokategorien. Mit meinem ganzheitlichen Ansatz, alle möglichen Risiken zu identifizieren und daraus dann eine Beurteilung der Risikorelevanz ableiten zu können, bin ich sehr schnell an meine Grenzen gestoßen. Als vorerst klüger erwies es sich, Risikokategorien aus der aktuellen Unternehmensrealität zu definieren.
Beispielsweise könnten sich die Risikokategorien aus den Vermögengegenständen, den wichtigen Mitarbeitern, den Gefährdungen von Unternehmenszielen oder Gründe für negative Prozessveränderungen in der Vergangenheit ableiten. Diese primären Risikokategorien können auch im Rahmen von Workshops oder Brainstormings gebildet werden.
Um schnell den ersten Schritt gehen zu können, wurden die Risiken der SAVISCON vorerst nach den vier internen Zuständigkeitsbereichen Compliance, IT-Sicherheit, Projekte und Operatives Risiko-Management kategorisiert. Die identifizierten, kategorisierten und damit überschaubaren Risiken haben nun ihre erste Zuordnung erhalten.

Die nächsten Schritte: Anpassen des Risiko-Management-Leitfadens

Im nächsten Schritt wird es um den Risiko-Management-Leitfaden gehen, der nach der starken Wachstumsphase der SAVISCON GmbH, an Komplexität zunehmen wird. Aktuell abgestimmt wird die Einführung eines siebenstufigen Regelkreises aus Risikoidentifikation, Risikorelevanz, Risikobewertung, Risikoaggregation (Brutto), Risikosteuerung, Risikoaggregation (Netto) und Risikoüberwachung und auf die Anpassung auf die verschiedenen Zuständigkeiten. Diesen umfangreichen Prozess der Operationalisierung mit allen Kennzahlen und Details werde ich im nächsten Blogbeitrag darlegen, wenn wir den Prozess abgeschlossen haben.

Über den Autor

Porträtfoto Marcel Steur

Marcel Steur ist Consultant Risiko-Management und GRC bei der SAVISCON GmbH.

Marcel Steur ist Wirtschaftswissenschaftler mit Studienschwerpunkt Statistik und Data Science. Bei der SAVISCON GmbH arbeitet er seit April 2022 als Consultant Risiko-Management & GRC. Neben dem internen Risiko-Management berät er die SAVISCON-Kunden in allen Belangen rund um das Risiko-Management. Bei Fragen, Anregungen oder für den Austausch: marcel.steur@saviscon.de

Was ist ein Code of Conduct (CoC)?

Was regelt ein Verhaltenskodex in Unternehmen?

Von Kerstin Wittemeier, Digital Marketing Managerin bei der SAAVISCON GmbH

Vielleicht ging es Ihnen wie mir: Als ich den Begriff „Code of Conduct“ gehört habe, konnte ich mir darunter zunächst nichts vorstellen. Doch hinter diesem englischen Begriff steckt eine einfache Bedeutung. Es ist ein Dokument, in gedruckter oder digitaler Form, das die Werte und Umgangsformen in Unternehmen schriftlich festhält. Was genau darin vorkommen kann, lesen Sie im folgenden Blog-Beitrag:

Braucht jedes Unternehmen einen Code of Conduct?

Ein Code of Conduct ist nicht gesetzlich vorgeschrieben und hat somit auch keine rechtliche Bindung. Es ist eine freiwillige Selbstverpflichtung von Unternehmen. Das bedeutet auch, dass nirgendwo festgelegt ist, was er enthalten muss.

Häufig ist es so, dass kleinere Unternehmen eher auf einen Verhaltenskodex verzichten, da die Anzahl der Mitarbeiter überschaubar ist und beim Einstellen neuer Mitarbeiter ganz automatisch stärker darauf geachtet werden kann, dass diese in Bezug auf die Werte und Umgangsformen ins Team passen. Bei größeren Unternehmen sieht das schon anders aus. Deswegen ist es tendenziell so, dass große Unternehmen eher einen Code of Conduct erstellen, um Werte und Verhaltensgrundsätze unter den Mitarbeitern einheitlich zu kommunizieren.

Heutzutage ist ein Code of Conduct auch eine wichtige Botschaft nach außen. Potenzielle Kunden und auch Bewerber wollen wissen, welche Werte das Unternehmen vertritt und ob das in die eigene Wertevorstellung passt.

Für wen gilt der Verhaltenskodex?

Der Verhaltenskodex gilt für alle Mitarbeiter eines Unternehmens. Vom Aufsichtsrat, über den Vorstand, die Geschäftsführer, die Abteilungsleiter und die Angestellten. Hier werden keine Unterscheidungen gemacht. Es ist wichtig, dass das Wertebild und die Verhaltensregeln mit den Mitarbeitenden gemeinsam entwickelt und besprochen wird, damit das hinterher auch gelebt wird. Dazu muss man bei den Mitarbeitenden eine starke Bindung an den Wertekanon schaffen. Zum Beispiel kann der Code of Conduct auch von allen Mitarbeitern persönlich unterschrieben werden, wenn die Firmengröße und räumliche Verteilung das zulässt. So haben wir es in der SAVISCON gemacht. Bei größeren Organisationen muss man sich andere Möglichkeiten der Bindung überlegen

Was gehört in den Code of Conduct?

Da es keine gesetzlichen Vorgaben gibt, sind die Unternehmen beim Erstellen des CoC ziemlich frei. Themen, die häufig den Weg in den Verhaltenskodex finden, sind:

  • Umgangsformen unter den Kollegen
  • Umgangsformen mit Kunden
  • Umgangsformen mit Partnern
  • Umgangsformen mit Zulieferern
  • Die Gleichbehandlung aller Mitarbeiter, bezüglich Geschlecht, Alter und Herkunft
  • Die Einstellung des Unternehmens zum Thema Nachhaltigkeit

Zusammengefasst kann man also sagen: Der Code of Conduct enthält Verhaltensgrundsätze für das soziale Miteinander, den Umgang mit Dritten, das ökologische Handeln und die Einhaltung zu aktuellen Rechtsprechungen.

Was hat der Code of Conduct mit Compliance zu tun?

Auch wenn der Code of Conduct nicht gesetzlich vorgeschrieben ist, kann er ein hilfreiches Tool für die Compliance-Abteilung sein. Warum? Er kann sicherstellen, dass alle Mitarbeiter dasselbe Verständnis von Werten und Moral haben und bildet somit die Basis für ein funktionierendes Compliance-Management-System.
Der CoC unterstützt beispielsweise im Bereich Korruption die Entscheidungen beim Annehmen von Geschenken. Denn wenn das Grundverständnis und die Einstellung der Mitarbeiter bereits in die passende Richtung gehen, werden auch Compliance-Richtlinien eher befolgt.

Der Code of Conduct der SAVISCON GmbH

Für die SAVISCON GmbH sind die Themen Werte und Umgang wichtig. Initiiert durch unsere Geschäftsführer Ingo Simon und Marian Grzabel haben wir uns deswegen dazu entschieden bei einem Event gemeinsam einen Code of Conduct zu erarbeiten, aufzubereiten und zu unterschreiben. Aufgrund unserer noch übersichtlichen Anzahl an Mitarbeitern war es uns möglich die Anregungen und Meinungen aller mit einzubeziehen und so ein Dokument zu erstellen, mit dem sich alle identifizieren können.

Hier können Sie den SAVISCON Code of Conduct einsehen: Zum Verhaltenskodex der SAVISCON GmbH.

Über die Autorin

Porträt Kerstin Wittemeier

Kerstin Wittemeier arbeitet als Digital Marketing Managerin bei der SAVISCON GmbH. Seit 2020 kümmert sie sich um die Inhalte für die Webseite, die Social-Media-Kanäle und den Blog. Bei Fragen, Anregungen oder für den Austausch: kerstin.wittemeier@saviscon.de

Wo ein Ziel ist, da ist auch ein Weg

SAVISCON GmbH veranstaltet internen Strategietag

Von Kerstin Wittemeier, Digital Marketing Managerin bei der SAVISCON GmbH

Da wo ein Ziel ist, ist auch ein Weg. Bei Unternehmenszielen heißt der Weg dorthin „Strategie“. Nur wie genau findet man diesen Weg? Wir von der SAVISCON GmbH wollen diesem Weg in mehreren Handlungsfeldern alle gemeinsam erarbeiten und mehr Struktur verleihen. Deswegen haben wir am 6. Mai 2022 einen Strategietag mit allen Mitarbeitern in Hamburg durchgeführt.

Strategietag: wie alles begann

Den Grundstein für diesen Strategietag haben wir als Team bereits bei unserem Weihnachtsevent im Dezember 2021 gelegt. Nachdem wir gemeinsam unseren Code of Conduct erarbeitet haben, hat die Geschäftsführung vier Handlungsfelder vorgestellt, in die wir Mitarbeiter eingebunden werden sollen:

  1. Kunden, Vertrieb und Marketing
  2. Differenzierung vom Wettbewerb
  3. Beratungsprozess
  4. Produktentwicklung

Wir haben zurzeit noch eine Unternehmensgröße, mit der es problemlos möglich ist, alle Mitarbeiter in den Strategieprozess einzubinden – und das leben wir auch. Das gemeinsame Arbeiten stärkt das „Wir-Gefühl“ und durch das Einbinden von eigenen Ideen und Vorschlägen fällt es uns als Mitarbeitern leichter, sich mit dem Unternehmen zu identifizieren.

Der Entwicklungs-Prozess

Als wir im Dezember mit dem Auftrag aus dem Meeting entlassen wurden, uns Maßnahmen für die unterschiedlichen Handlungsfelder zu überlegen, stand bei vielen von uns erstmal ein großes Fragezeichen im Gesicht. Erst im Laufe der Zeit und nach den ersten Gesprächen in den Teams hat sich das verändert und wir haben langsam ein gemeinsames Verständnis für die Inhalte und Ziele der verschiedenen Handlungsfelder entwickelt.

Erarbeiten der Maßnahmen

Von der Geschäftsführung hat jede Gruppe eine Excel-Datei als Vorlage zum Eintragen der entwickelten Maßnahmen erhalten. Darin enthalten die Spalten:

  • Was (Welche Maßnahme soll umgesetzt werde)
  • Wie (Was benötigen wir dazu)
  • Wer (Auf welche Ressourcen muss zurückgegriffen werden)
  • Warum (Wie sieht der erwartete Nutzen aus)
  • Benötigte Ressourcen
  • Umsetzungszeitpunkt (kurzfristig, mittelfristig, langfristig)
  • Gewichtung (leicht, mittel, schwer)
  • Priorisierung (1, 2, 3)

Auswerten der Maßnahmen

Beim dann folgenden Strategietag in Hamburg haben alle Gruppen ihre erarbeiteten Maßnahmen vorgestellt und wir sind in die Diskussion gegangen. Tatsächlich haben sich viele Maßnahmen in den unterschiedlichen Gruppen auch überschnitten. So zum Beispiel die Maßnahme, als Basis für alle folgenden Maßnahmen eine neue, aktuelle Wettbewerbs- und Zielgruppenanalyse durchzuführen.
Jetzt liegt es an der Geschäftsführung, die Ergebnisse zu konsolidieren und die ersten konkreten Maßnahmen abzuleiten und anzustoßen. Wir planen diesen Strategieprozess als jährlich wiederkehrenden, kontinuierlichen Prozess.

Über die Autorin

Porträt Kerstin Wittemeier

Kerstin Wittemeier arbeitet als Digital Marketing Managerin bei der SAVISCON GmbH. Seit 2020 kümmert sie sich um die Inhalte für die Webseite, die Social-Media-Kanäle und den Blog. Bei Fragen, Anregungen oder für den Austausch: kerstin.wittemeier@saviscon.de

Office 365 datenschutzkonform einsetzen – klappt das?

Das müssen Sie beim Einsatz von Office 365 beachten

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

In unserem internen Programm „GRC@SAVISCON“ stoßen wir in den Themenfeldern Risiko-Management, Compliance-Management, Informationssicherheits-Management und Datenschutz-Management immer wieder auf herausfordernde Themen. Wie wir diese meistern und mit unserer Software, dem GRC-COCKPIT, dokumentieren, das zeigen wir Ihnen in unserer Blog-Serie. Hier können Sie unseren initialen Blog-Beitrag lesen: Practice what you preach: GRC@SAVISCON. Heute ist unser Thema Datenschutz-Management und Office 365.

Microsoft Office 365 wird in fast jedem Unternehmen eingesetzt. So auch bei uns. Doch lässt sich das mit der DSGVO vereinbaren? Diese Frage habe ich mir in den letzten Monaten immer wieder gestellt und so war ich sehr dankbar darüber, dass bei den 15. Praxistage Datenschutz (die ich Mitte Februar 2022 drei Tage online besuchen durfte) die Themen Office 365, Datenübermittlung in Drittländer und noch vieles mehr ganz aktuell besprochen wurden.

Im heutigen Blog-Beitrag möchte ich Ihnen eine Zusammenfassung meiner gesammelten Erkenntnisse und gegen Ende auch eine Antwort auf meine Eingangsfrage, ob sich Office 365 und die DSGVO vereinen lassen, geben.

Datenübermittlung

Wir werden immer digitaler, ob wir wollen oder nicht. Wir können uns nicht dauerhaft auf lokale Systeme stützen, sondern müssen uns damit anfreunden, dass wir zukünftig immer mehr mit cloudbasierten Systemen arbeiten werden und dabei massenhaft Daten übermittelt werden. Deshalb ist es wichtig zu prüfen, welche Daten wohin übermittelt werden und wer darauf Zugriff hat.

Natürlich ist ein selbstgehostetes System immer zu bevorzugen, doch das verursacht meist hohe Kosten. Deshalb ist die beste Lösung, einen Anbieter mit Sitz in der EU bzw. dem europäischen Wirtschaftsraum (EWR) auszuwählen, denn dort sind die Daten nach der EU-Datenschutz-Grundverordnung zu schützen. Was ist aber, wenn aufgrund fehlender Alternativen ein globaler Anbieter (wie z. B. Microsoft) aus einem Drittland ausgewählt werden muss?
Dann werden z. B. Daten in die USA übermittelt und hier gilt US-Recht, nicht die DSGVO. Die Spielräume der US-Gesetze sind sehr breit und die Anwendungsbereiche nicht klar genug definiert. Es gibt keine Einschränkungen des Zugriffs von Behörden, keine Garantien für Nicht-US-Bürger.
Hört sich erstmal nicht gut an. Denn: Wir können die Grundsatzproblematik nicht lösen, trotzdem können wir einiges dafür tun, damit eine Datenübermittlung in Drittländer risikominimiert und unter Berücksichtigung der DSGVO und des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) stattfindet. Dazu aber später mehr.

TTDSG

Über das neue Telekommunikation-Telemedien-Datenschutz-Gesetz hatte ich in einem eigenen Blog bereits im November 2021 berichtet. Seit 01.12.2021 ist das Gesetz nun in Kraft und seitdem fester Bestandteil im Arbeitsalltag eines Datenschutzbeauftragten. Im TTDSG sind u. a. die Regelungen zum Fernmeldegeheimnis geregelt, was früher im TKG (Telekommunikationsgesetz) zu finden war. Besonders wichtig ist hier § 25 TTDSG:

Absatz 1:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

Absatz 2:
„Die Einwilligung nach Absatz 1 ist nicht erforderlich,

    1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
    2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Das TTDSG regelt also das Speichern und Nutzen der Daten in den Endeinrichtungen (auch der nicht personenbezogenen Daten). Als Datenschutzbeauftragter muss hier zukünftig 2-stufig geprüft werden, nämlich erstens aufgrund des TTDSG (Schutz der Privatsphäre) und zweitens aufgrund der DSGVO (Schutz der personenbezogenen Daten).

2-stufiger Prüfvorgang

Zur Prüfung aufgrund TTDSG muss ich mir z. B. folgende Fragen stellen:

  • Gilt das Fernmeldegeheimnis gemäß § 3 TTDSG?
  • Erfolgt ein Zugriff/eine Speicherung auf Endeinrichtungen nach § 25 TTDSG?
  • Wer greift auf die Endeinrichtung zu?
  • Aufgrund welcher Rechtsgrundlage findet der Zugriff statt?
  • Liegt eine Einwilligung vor (§ 25 Absatz 1)?
  • Trifft eine der beiden Ausnahmen zu (§ 25 Absatz 2)?

Zur Prüfung aufgrund DSGVO muss ich mir z. B. folgende Fragen stellen:

  • Für welchen Zweck werden Daten verarbeitet?
  • Welche Personen sind betroffen?
  • Welche Art von Daten werden verarbeitet?
  • Wie werden die Daten erhoben?
  • Aufgrund welcher Rechtsgrundlage erfolgt die Verarbeitung?
  • Wann werden die Daten gelöscht?
  • Wer hat Zugriff auf die Daten?

Und ich muss die datenschutzrechtliche Rolle bestimmen, also welchen Hut habe ich bei welcher Art von Verarbeitung auf. Bestimme ich die Antworten der oben genannten Fragen, bin ich Verantwortlicher. Geht es aber z. B. um Diagnosedaten aus Office 365, so ist Microsoft der Verantwortliche, denn Microsoft erhebt die Daten zu eigenen Zwecken, wie z. B. Aktualisierung der Software, Fehlerbehebung, Produktverbesserung, Sicherheit, etc.

Microsoft Office 365

Was gibt es nun konkret zu beachten bzw. zu tun, wenn Office 365 im eigenen Unternehmen genutzt werden soll?
Zuerst einmal sei erwähnt, dass Office 365 keine eigene Verarbeitungstätigkeit darstellt, sie ist lediglich das verwendete Tool, also „Mittel zum Zweck“. In unserem GRC-COCKPIT arbeiten wir mit Assets, d. h. in jeder Verarbeitungstätigkeit können die entsprechenden Assets (z. B. Tools wie Office 365) hinterlegt werden.

Screenshot GRC-COCKPIT

Auf diesem Screenshot aus dem GRC-COCKPIT sehen wir, dass die Verarbeitungstätigkeit „Adressliste Mitarbeiter“ mit dem Asset „Microsoft 365“ verknüpft ist.

Zusätzlich ist bei jeder Verarbeitungstätigkeit verpflichtend anzugeben, ob Daten in ein Drittland übermittelt werden. Bei der Verwendung von Office 365 ist das im Einzelfall (für jede Verarbeitungstätigkeit) zu prüfen. Wo genau Daten von Microsoft bei welcher Anwendung (Dienst) gespeichert werden, lässt sich hier nachlesen:

Auflistung Wo Microsoft 265-Kundendaten gespeichert werden.

Wo Microsoft 365-Kundendaten gespeichert werden.

Es wäre aber zu einfach, wenn man hier herauslesen könnte „Dienst: Microsoft Teams“ -> Daten werden in Deutschland gespeichert -> damit bin ich „safe“ und habe nichts weiter zu tun.

Denn hier muss tatsächlich die genaue Verarbeitungstätigkeit bzw. die Datenkategorien berücksichtigt werden. Nutze ich z. B. Microsoft Teams für eine Videokonferenz mit externen Teilnehmern und zeichne dieses Meeting auf (z. B. aufgrund von Nachweis- oder Dokumentationspflicht), so werden Daten in Microsoft Stream gespeichert und durch die Einladung externer Gäste werden Daten (Name und Mailadresse) über das B2B-Verzeichnis von Microsoft zusätzlich in die USA repliziert.

Es ist also wichtig, jede Verarbeitungstätigkeit einzeln zu prüfen. Eine pauschale Bewertung z. B. zur Verwendung von Office 365 mit JA oder NEIN hilft uns hier nicht weiter. Folgende Vorgehensweise zur Einzelfallprüfung kann angewendet werden:

1. Bestandsaufnahme:

  • Welche Datenkategorien werden in welche Länder übermittelt (innerhalb EU/EWR oder Drittland)?
  • Welche Rechtsgrundlage liegt hinter der Verarbeitung (z. B. Aufzeichnung wg. Nachweispflicht)?
  • Sind Informationspflichten zu beachten (z. B. Mitarbeiter, Kunden bei Aufzeichnungen)?
  • Welche technischen und organisatorischen Maßnahmen werden bereits ergriffen (z. B. Passwortschutz, Verschlüsselung, Pseudonymisierung)?

2. Alternativen prüfen:

Findet eine Übermittlung in ein Drittland statt, sollte geprüft werden, ob es einen alternativen Anbieter innerhalb EU/EWR gibt.

3. Überprüfung Rechtslage:

  • Wie ist die Rechtslage im entsprechenden Drittland?
  • Welche Eingriffsbefugnisse haben die dortigen Behörden?
  • Welche Standardvertragsklausel (SCC) kann zusätzlich zum AV-Vertrag abgeschlossen werden?

4. Risikoanalyse:

  • Welche Risiken bestehen?
  • Wie hoch ist der Schaden, der entstehen kann?
  • Wie hoch ist die Eintrittswahrscheinlichkeit?
  • Wie stufe ich das Risiko ein (geringes Risiko, Risiko, hohes Risiko)?
    Bei einem hohen Risiko ist zwingend eine Datenschutzfolgenabschätzung durchzuführen.

5. Zusätzliche Maßnahmen:

Zur Risikominimierung können weitere vertragliche, technische und organisatorische Maßnahmen ergriffen bzw. vereinbart werden. z. B. Verschlüsselung der Daten, Diagnosedaten in den Einstellungen minimieren, Tools wie MyAnalytics deaktivieren.

Kann man Office 365 DSGVO konform nutzen?

Wenn diese Punkte für jeden Einzelfall berücksichtigt werden, kann meiner Meinung nach Office 365 gut als Tool im Unternehmen eingesetzt werden. Da wir bei der SAVISCON GmbH Office 365 bereits nutzen, habe ich nach dieser ausführlichen Betrachtung nun deutlich weniger Bauchschmerzen, aber noch ein paar offene ToDos:

  • Sind alle Verarbeitungstätigkeiten mit dem Asset „Office 365“ auf dem aktuellen Stand?
  • Prüfen, ob wir (neben dem Hauptvertrag) den aktuellen Datenschutznachtrag von Microsoft dokumentiert haben (letzte Version sollte vom 15. September 2021 sein; Stand: 24.02.2022)
  • Können evtl. weitere Verschlüsselungsmethoden von Microsoft in Anspruch genommen werden?
  • Haben wir die Diagnosedaten soweit möglich eingedämmt?
  • Haben wir die Verwendung von MyAnalytics flächendeckend deaktiviert?

Wie sieht es bei Ihnen aus?

Nutzen Sie Office 365 in Ihrem Unternehmen und wie ist Ihre Einschätzung zum Thema Datenschutz? Lassen Sie uns gerne in den Kommentaren diskutieren.

Die Zukunft bleibt natürlich auch weiter spannend, denn die neue ePrivacy-Verordnung steht immer noch aus. Sobald diese dann in Kraft tritt, werden wahrscheinlich Vorgaben aus dem TTDSG durch die ePrivacy-Verordnung abgelöst. Aber nun bleibt erstmal abzuwarten, wann die EU-Mitgliedsstaaten die neue Verordnung verabschieden werden.

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse des heutigen Blog-Beitrages:

  • Wir werden immer digitaler
  • Immer mehr Cloud-Anbieter werden unseren Alltag bestimmen, nicht nur Microsoft
  • Es müssen immer die DSGVO und das TTDSG zur Prüfung herangezogen werden
  • Die Datenübermittlung ist immer im Einzelfall zu prüfen
  • Bestehende Geschäftsmodelle und Geschäftsbeziehungen hinterfragen und ggf. umstellen
  • Wenn keine Alternative innerhalb EU/EWR zu finden ist, sind Standardvertragsklauseln und zusätzliche Maßnahmen notwendig

Über die Autorin:

Porträtfoto Karin Slezer

Karin Selzer ist als Compliance- und Datenschutz Consultant, sowie interne Datenschutzbeauftragte bei der SAVISCON GmbH tätig.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

Online Marketing und die DSGVO

Oder: „How to trigger a Marketing Professional”

Von Kerstin Wittemeier, Digital Marketing Managerin bei der SAVISCON GmbH

Ein Wort reicht aus und so gut wie jeder Online Marketer verdreht die Augen: Datenschutzgrundverordnung (DSGVO). Was war sie schön, die Zeit vor Mai 2018. Keine DSGVO. Kein Double-Opt-In. Keine komplizierten Cookie-Banner. Die DSGVO hat den Arbeitsalltag von Online Marketern verkompliziert, denn mit ihr sind auch einige rechtliche Stolpersteine hinzugekommen. So wurde beispielsweise die Nutzung von Google Analytics in Frage gestellt: Geht das überhaupt noch datenschutzkonform? Wir von der SAVISCON GmbH haben das interne Programm GRC@SAVISCON ins Leben gerufen, um unser eigenes Governance-, Risk- and Compliance-Management – darunter auch das Datenschutz-Management – strukturiert aufzubauen. Wir nutzen dazu unsere eigene GRC-Software, das GRC-COCKPIT. Aber darum soll es hier gar nicht gehen. Wir wollen viel mehr darüber berichten, was uns in der Marketing-Abteilung auf dieser Reise bisher aufgefallen ist und wie wir damit umgegangen sind. Was müssen Online Marketer beachten, um DSGVO-konform zu arbeiten? Disclaimer: Das hier soll und kann keine Handlungsempfehlung oder Rechtsberatung sein. Wir berichten lediglich von unseren ganz eigenen, individuellen Erfahrungen.

Wie betrifft die DSGVO das Online Marketing?

Vereinfacht gesagt: Die DSGVO soll personenbezogene Daten schützen. Also müssen wir uns im Online Marketing fragen: An welcher Stelle erheben und verarbeiten wir personenbezogene Daten und an welche Dienstleister geben wir sie eventuell sogar weiter? Personenbezogene Daten werden im Online Marketing beispielsweise hier erhoben:

  • Webanalyse-Tools (z. B. Google Analytics)
  • Schnittstellen zu Social Media Kanälen (z. B. Facebook Teilen-Buttons im eigenen Blog)
  • Kontaktformular auf der eigenen Webseite
  • Anmeldung zum Newsletter
  • Bestellung im Online-Shop

Hier haben wir im ersten Schritt eine Übersicht unserer Online Marketing Prozesse und Tools erstellt und festgehalten, welche personenbezogenen Informationen wir erheben und an welche Stellen wir sie weitergeben. Dieser Schritt ist Teil zum Aufbauen und Führen eins Verzeichnisses für Verarbeitungstätigkeiten. Dieses Verzeichnis ist eine Anforderung der DSGVO. Dafür ist bei uns im Unternehmen Karin Selzer (Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte der SAVISCON GmbH) zuständig. Sie hat dazu Feedback aus allen Fachabteilungen eingeholt, dokumentiert und in unser GRC-COCKPIT eingepflegt. Darüber hat sie schon in ihrem Blog-Beitrag „Verzeichnis von Verarbeitungstätigkeiten aufbauen“ berichtet.

Was sind personenbezogene Daten?

Laut Artikel 4 der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Kann Google Analytics datenschutzkonform eingesetzt werden?

Google Analytics kann zurzeit noch datenschutzkonform eingesetzt werden, wenn es dazu genutzt wird, Statistikdaten zu erheben und nicht, um den einzelnen Nutzer zu Marketingzwecken zu tracken. Dazu müssen einige Punkte beachtet werden. Hier eine Auflistung von Einstellungen und Maßnahmen, um Google Analytics datensparsam und nutzerfreundlich einzusetzen:

  • Auftragsverarbeitungsvertrag (AVV) mit Google abschließen
  • IP-Adresse der Nutzer anonymisieren
  • „User-ID-Funktion“ deaktivieren (damit könnte man einzelne User über verschiedene Geräte hinweg tracken)
  • Remarketing-Funktion deaktivieren (damit könnte man beispielsweise über Google Ads gezielt Anzeigen an Personen ausspielen, die die eigene Webseite bereits besucht haben)
  • Hinweis zu Deaktivierungs-Addon in die eigene Datenschutzerklärung einbinden
  • Opt-Out-Möglichkeit in der eigenen Datenschutzerklärung bereitstellen
  • keine weiteren Google-Dienste mit Analytics verknüpfen
  • Link auf die Datenschutzerklärung von Google in die eigene Datenschutzerklärung einbauen
  • Speicherdauer der Daten auf 14 Monate ab dem ersten Besuch begrenzen

Diese Einstellungen verwenden wir auch bei unserem Google Analytics Konto. Uns ist wichtig, dass wir erfolgreiche oder auch nicht so erfolgreiche Seiten und Blog-Beiträge auf unserer Webseite identifizieren können. Das setzen wir anhand der Besucherzahlen, der Absprungrate und der Verweildauer um. Für uns haben diese Informationen vor allem einen redaktionellen Nutzen, damit wir die Inhalte auf unserer Webseite noch besser auf die Interessen unserer Zielgruppe zuschneiden können.

Google Analytics datenschutzkonform einsetzen: Screenshot aus dem GRC-COCKPIT

So haben wir die Nutzung von Google Analytics in unserem GRC-COCKPIT dokumentiert. Bisher haben wir drei Risiken aus dem Prozess abgeleitet.

Update: Urteil in Österreich zu Google Analytics

Januar 2022: In Österreich hat die Datenschutzbehörde die Nutzung von Google Analytics für unzulässig erklärt. Ausgelöst hat dieses Urteil die Datenschutzorganisation NOYB von Max Schrems, die, nachdem der EuGH das Privacy Shield Abkommen in 2020 gekippt hat, in 101 Fällen Beschwerde eingereicht hat. Auch für das Ende des Privacy Shields im Jahr 2020 war NOYB rund um Max Schrems verantwortlich, daher wird es auch das Schrems-II-Urteil genannt. Im aktuellen Fall hat die österreichische Datenschutzbehörde entschieden, dass US-Behörden keine Daten von der EU in die USA übermitteln dürfen. Denn in den USA gibt es nicht so ein hohes Datenschutzniveau, wie in der EU. Die Google-Maßnahmen würden nicht ausreichen, um die Nutzerdaten hinreichend zu sichern. Doch was heißt das für deutsche Unternehmen? Bisher handelt es sich um eine Entscheidung für einen konkreten Fall. Es entstehen dadurch keine direkten Auswirkungen für deutsche Webseitenbetreiber und Google Analytics Nutzer. Dennoch: NOYB hat auch bei der deutschen Datenschutzbehörde Beschwerden eingereicht und sobald eine deutsche Behörde darüber entscheidet, könnte es zu einem ähnlichen Urteil kommen. Es sind zurzeit also keine übereilten Änderungen nötig, dennoch sind Google Analytics Nutzer gut darin beraten, die Situation genau zu beobachten und sich bereits frühzeitig über eine Alternative zu informieren, damit es im Ernstfall schnell gehen kann.

E-Mail-Marketing datenschutzkonform gestalten

Zum Thema E-Mail-Marketing gibt es eine wichtige Änderung seit Einführung der DSGVO. Die Empfänger müssen dem Erhalt des Newsletters vorab zugestimmt haben. Das muss per Double-Opt-In geschehen, also einem doppelten Zustimmungsverfahren. Das bedeutet, dass sich die Interessenten selbstständig in den Newsletterverteiler eintragen, dann eine Mail erhalten und in dieser Mail nochmals bestätigen müssen, dass sie den Newsletter auch wirklich erhalten möchten. Gerade der zweite Schritt erschwert es den Marketern einen Newsletterverteiler aufzubauen, weil einige – auch wenn sie den Newsletter erhalten wollen – die Anmeldung im zweiten Schritt nicht bestätigen. Auch bei der Auswahl des Mailing-Tools ist Vorsicht geboten. Da hier personenbezogene Daten, wie Namen und Mailadressen, durch einen Drittanbieter verarbeitet werden, muss mit dem Tool-Anbieter ein AVV geschlossen werden. Das funktioniert meist unkompliziert online.

Außerdem ist besondere Vorsicht bei Anbietern aus dem nicht-europäischen Ausland geboten. Beliebte Anbieter sind da beispielsweise mailchimp oder hubspot. Denn 2020 hat der Europäische Gerichtshof das EU-US Privacy Shield für ungültig erklärt, nachdem sich Unternehmen freiwillig verpflichten konnten, der EU-DSGVO nachzukommen. Deutsche Unternehmen sollten also am besten direkt einen deutschen oder europäischen Anbieter auswählen, der ebenfalls den Vorgaben der DSGVO gerecht werden muss. In unserem Fall ist die Wahl auf rapidmail gefallen, ein Deutscher Anbieter mit Serverstandort in Deutschland. Wenn die Wahl dann auf einen Tool-Anbieter gefallen ist, muss dies auch transparent in der eigenen Datenschutzerklärung des Unternehmens kommuniziert werden.

Stolpersteine bei Cookie-Bannern

Laut DSGVO müssen Webseitennutzern den Cookies vorab zustimmen. Angenommen Sie nutzen zur Webanalyse Google Analytics, dann darf das Skript auf Ihrer Webseite erst laden und diese Drittanbieter-Cookies setzen, sobald der User dem auch zugestimmt hat – andernfalls nicht. Wenn Sie dem Nutzer die Wahl lassen, welche Cookies er annehmen kann, dann dürfen keine Optionen vorausgewählt sein. Wichtig ist außerdem, dass die Webseitenbesucher auf der ersten Seite, wenn sie mit einem Klick allen Cookies zustimmen können, auch an derselben Stelle alle Cookies mit einem Klick ablehnen können. Im besten Fall sind diese beiden Optionen dann auch optisch gleichwertig gestaltet. Außerdem müssen die Nutzer die Möglichkeit haben, ihre Cookie-Einstellungen jederzeit anpassen zu können und so auch im Nachhinein noch das Tracking unterbinden zu können. Cookie-Banner sollten nutzerfreundlich gestaltet werden und nicht dazu führen, die Absprungrate zu erhöhen.

Auszug aus der SAVISCON Datenschutzerklärung

Bearbeitungsmöglichkeit: Den Nutzern muss in der Datenschutzerklärung die Möglichkeit gegeben werden, im Nachgang die ihre Cookie-Einstellungen anzupassen.

Ausblick ePrivacy Verordnung (ePVO)

Die ePrivacy Verordnung soll zukünftig die DSGVO ergänzen und damit die in Deutschland bisher geltende ePrivacy Richtlinie ablösen. Ziel ist es, das Datenschutzniveau für Nutzer elektronischer Kommunikationsdienste zu verbessern und beispielsweise die Bestimmungen für Cookies und Cookie-Banner zu konkretisieren. Wann genau die ePVO in Kraft tritt ist noch unklar. Der Bundesverband Digitale Wirtschaft e. V. (BVDW) hat die Entwicklung der ePVO auf ihrer Webseite zusammengefasst: Aktuelle Informationen zur ePVO.

Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

Zusätzlich zur DSGVO ist hat am 20.05.2021 der Bundestag den Entwurf des „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ mehrheitlich angenommen und zum 01.12.2021 ist das TTDSG nun gemeinsam mit dem neuen Telekommunikationsgesetz (TKG) in Kraft getreten. Damit sollen bisher offene Lücken geschlossen werden. Zudem wurden im TTDSG auch weitestgehend die Vorgaben der ePrivacy-Richtlinie (nicht zu verwechseln mit der noch ausstehenden ePrivacy-Verordnung!) umgesetzt. Das TTDSG hat folgende Inhalte:

  • Umgang mit dem digitalen Erbe
  • Verlangen eines amtlichen Ausweises
  • Auskunftsverfahren bei Bestands- und Nutzungsdaten
  • Schutz der Privatsphäre bei Endeinrichtungen
  • Anerkannte Dienste zur Einwilligungsverwaltung (PIMS)
  • Cookie-Consent
  • Straf- und Bußgeldvorschriften

Für Detail-Informationen können Sie unseren Blog-Beitrag „TTDSG – schon wieder ein neues Gesetz?“ von unserer Datenschutzbeauftragten Karin Selzer lesen.

Zusammenfassung Datenschutz im Online Marketing:

  • Übersicht verschaffen: In welchen Digital Marketing Prozessen werden personenbezogene Daten erhoben?
  • Übersicht konkretisieren: Welche personenbezogenen Daten werden in diesen Prozessen erhoben und werden sie an Dritte weitergegeben?
  • Maßnahmen ableiten: Müssen Auftragsverarbeitungsverträge mit den Dienstleistern geschlossen werden? Müssen die Dienstleister in der Datenschutzerklärung genannt werden?
  • Bei Unsicherheit immer Rücksprache mit der intern zuständigen Person für den Datenschutz halten oder sich externen Rat einholen
  • Google Analytics kann datenschutzkonform eingesetzt werden, wenn die passenden Einstellungen vorgenommen werden; wichtig: Skript darf erst nach Cookie-Zustimmung laden
  • Augen auf bei der Newsletter-Software: arbeitet der Anbieter selbst DSGVO-konform?
  • Cookie-Banner müssen nutzerfreundlich gestaltet werden

Fakt ist: Auch wenn es manchmal lästig ist, der Datenschutz ist ein wichtiger Teil des Online Marketings. Marketer sollten bereits vor der Auswahl eines neuen Marketing-Tools die Augen offen halten und prüfen, ob der Anbieter der DSGVO gerecht wird. Im Zweifel lohnt sich vorab die Rücksprache mit dem internen Datenschutzbeauftragten. Das bewahrt einen vor Fehlentscheidungen und spart im Zweifel Zeit und Geld.

Über die Autorin

Porträt Kerstin WittemeierKerstin Wittemeier arbeitet als Digital Marketing Managerin bei der SAVISCON GmbH. Seit 2020 kümmert sie sich um die Inhalte für die Webseite, die Social Media Kanäle und den Blog. Bei Fragen, Anregungen oder zum Austausch: kerstin.wittemeier@saviscon.de

Practice what you preach 2.0

Ein Resümee nach einem Jahr Programm GRC@SAVISCON

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Rückblick: Vor fast einem Jahr haben wir in der SAVISCON GmbH das Programm GRC@SAVISCON gestartet. In meinem allerersten Blog-Beitrag vom 14.01.2021 habe ich beschrieben, wie wir das Programm angegangen sind. Seitdem haben wir in verschiedenen Blogs einerseits erläutert, wie wir inhaltlich arbeiten und vorangekommen sind, andererseits haben wir generelle Tipps rund um Risiko- Compliance-, Informationssicherheits- und Datenschutz-Management gegeben.

Nun, nach einem Jahr Programlaufzeit, möchte ich zusammenfassen, wo wir stehen, welche Hürden wir genommen haben, wie wir weiter machen und uns noch mehr verbessern wollen.

Motivierter Start in die GRC-Projekte

Also, wir sind Anfang 2021 mit großem Elan in das Programm gestartet. Die Projektleiter wurden benannt und wir haben den Zeitplan festgelegt. Wie ich an anderer Stelle beschrieben habe, sind wir in vielen Dingen erst einmal pragmatisch vorgegangen:

  • Risiko-Management: Wir haben im Team alle Risiken gesammelt, die wir für das Unternehmen sehen.
  • Compliance-Management: Wir haben in einem Brainstorming geschaut, welche gesetzliche Normen wir zu erfüllen haben.
  • ISMS: Wir haben angefangen eine IT-Strukturanalyse durchzuführen
  • Datenschutz: Wir haben die einzelnen Kapitel der DSGVO angeschaut und begonnen, Compliance-Risiken und bereits umgesetzte Maßnahmen abzuleiten

In dem Vorgehen haben wir für ein doch noch kleines Unternehmen schon eine Menge Daten zusammengetragen. Im nächsten Schritt war also die Aufgabe, die Daten entsprechend weiter zu nutzen und zu bewerten. Hier mussten wir an der ein oder anderen Stelle zuerst konzeptionelle Schritte durchführen, die man so ja auch in den einschlägigen Normen findet. Beispiele:

Die Fortschritte im Risiko-Management

Es wurde ein Risikoleitfaden erstellt, indem wir z.B. die Schwellwerte für die Eintrittswahrscheinlichkeit und Schadenshöhe festgelegt haben, die wir in der SAVISCON nutzen wollen. Außerdem wurde der Risikoprozess unter Nutzung unseres GRC-COCKPITs beschrieben, damit jeder Mitarbeitende weiß, wie wir das machen. Dann haben wir die gesammelten Risiken analysiert, bewertet und festgestellt, dass viele doch zu kleinteilig sind, also nicht wesentlich. Die Erkenntnis war, dass es im Wesentlichen zwei Risken gab, die den Bestand der Firma gefährden und zu denen daher unmittelbar Maßnahmen getätigt werden müssen:

Risiko 1: Als inhabergeführte Firma ist der Wegfall des Inhabers und Geschäftsführers fatal

Maßnahmen: Unterschrifts- und Vertreter-Regelung und Verstärkung der Geschäftsführung. Die Implementierung des neuen Geschäftsführers haben wir zum 01.01.2022 umgesetzt. Die Formulierung der Unterschriftsregelungen sind dann zur Umsetzung im März geplant.

Screenshot aus dem GRC-COCKPIT Risiko und verknüpfte Maßnahmen

Das Risiko und die verknüpften Maßnahmen im GRC-COCKPIT.

Screenshot GRC-COCKPIT Bruttorisiko vs. Nettorisiko

Risikobewertung vor (brutto) und nach (netto) Umsetzung der Maßnahme.

Risiko 2: Abhängigkeit von einem Großkundenprojekt

Maßnahmen: Erhöhung der Wahrscheinlichkeit zur Akquise weitere Projekte durch z.B. Partnerschaften, Netzwerken, Ausbau des GRC Produkt-Standbeins, etc.
Die Fortschritte im Compliance-Management
Hier haben wir uns erst den Scope festgelegt, welche der Normen auf uns den größten Impact haben. Mit denen beschäftigen wir uns seitdem intensiver. Das führte dann auch dazu, dass wir den Datenschutz und das Compliance-Management Projekt zusammengelegt haben, da als Ergebnis unserer Compliance-Risikoanalyse der Datenschutz einerseits einer der wichtigsten Normen war, die wir am Anfang betrachten müssen, anderseits dies ja eigentlich auch eine Compliance-Betrachtung ist. Also haben wir begonnen, AV-Verträge mit allen Dienstleistern zu prüfen, bzw. neu abzuschließen und alle Prozesse, die Verarbeitungstätigkeiten darstellen, entsprechend zu dokumentieren. Und vor allem haben wir uns mit der Dokumentation der Personalprozesse dem Beschäftigtendatenschutz gewidmet.

Screenshot GRC-COCKPIT Prozess-Übersicht

Abbildung der Prozesslandschaft und Definition der Verarbeitungstätigkeiten.

Screenshot GRC-COCKPIT Personalbestandsverwaltung

Erfassung der Daten für das Verzeichnis der Verarbeitungstätigkeiten.

Außerdem haben wir ein paar kleinere Dinge erledigen können, wie Einführung einer Datenschutztonne in den Büroräumen, etc.
Neben der DSGVO haben wir uns des Weiteren mit dem GmbH-Gesetz beschäftigt. Das oben beschriebene Risiko zum Geschäftsführer zahlt beispielsweise auf den §35 „Vertretung der Gesellschaft“ ein. Und wir sind noch dabei die GoBD detaillierter zu betrachten und haben in dem Zuge z.B. das Thema E-Mail-Archivierung bereits umgesetzt. Also, es ist doch recht umfangreich und herausfordernd für unsere recht kleine Mannschaft.

Die Fortschritte im ISMS

Auch hier haben wir dann ersteinmal den Leitfaden geschrieben und – ganz wichtig – den Scope festgelegt. Wir haben uns im ersten Schritt dazu entschieden, uns auf die IT-Aspekte zu fokussieren, die mittelbar und unmittelbar mit unserem Produkt GRC-COCKPIT zusammenhängen. Festgelegtes Ziel ist es, für die Prozesse rund um Entwicklung, Test und Bereitstellung der Kundensysteme in 2022 eine ISO Zertifizierung zu erlangen. Insofern haben wir die Strukturanalyse an der Stelle zu Ende geführt, die Schutzbedarfsanalyse nach IT-Grundschutz weitestgehend abgeschlossen und sind nun in der Risikoanalyse und entsprechenden Ableitungen von zusätzlichen oder verbesserten Maßnahmen unterwegs.

Screenshot GRC-COCKPIT Asset-Übersicht

Übersicht über die Strukturanalyse und die Ergebnisse der Schutzwertanalyse (rot: besonders schützenswert).

Screenshot GRC-COCKPIT Schutzbedarfsanalyse

Schutzbedarfsanalyse im Umfeld der Kundensysteme.

Fazit:

Ein Jahr ist um und als ich mich hingesetzt habe, um diesen Blog zu schreiben, hatte ich ein wenig das Gefühl, dass ich nicht allzu viel zu berichten habe. Aber wenn man genauer hinschaut, haben wir doch sehr viel bewegt. Denn man darf ja nicht vergessen: das Tagesgeschäft und die Kundenprojekte müssen ja auch weiterlaufen, das ist schließlich der Grund, warum die SAVISCON als Wirtschaftsunternehmen gegründet wurde.
Dementsprechend kann ich nur sagen: Rom wurde auch nicht an einem Tag erbaut. Man darf nicht die Vorstellung haben, dass man ein Compliance- oder Risiko-Management oder ein ISMS mit ein paar Köpfen in ein paar Wochen komplett hinstellt. Das ist ein Prozess, mit Lernkurven und viel notwendigem Austausch. Aber man wird feststellen, dass, wenn man kontinuierlich daran arbeitet, die Mannschaft und das System immer wieder ein Stück besser werden. Und damit ist für das Thema GRC eine Menge gewonnen.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

TTDSG – schon wieder ein neues Gesetz?

Was steht im Telekommunikation-Telemedien-Datenschutz-Gesetz?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Was bisher geschah: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Datenschutz.

Heute wollen wir uns das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz) genauer ansehen. Als ich das erste Mal davon gehört habe dachte ich: ach nein, nicht schon wieder ein neues Datenschutzgesetz … Bei näherem Betrachten tauchen aber bald alte Bekannte auf: das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG). Diese beiden älteren Gesetze stehen leider nicht im Einklang mit der aktuellen DSGVO und da kommt nun das neue TTDSG zur Harmonisierung ins Spiel. Datenschutzbestimmungen aus dem TMG und TKG wurden überarbeitet und sind nun dort mit eingeflossen.

Im Gesetzentwurf des Bundesministeriums für Wirtschaft und Energie (BMWi) vom 10.02.2021 heißt es wie folgt:

„Mit dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) sollen die bisher im Telekommunikationsgesetz (TKG) enthaltenen Bestimmungen zum Schutz des Fernmeldegeheimnisses und des Datenschutzes sowie die im Telemediengesetz enthaltenen Bestimmungen in einem neuen Stammgesetz zusammengeführt werden. Dabei werden die geltenden Bestimmungen an die europäische Datenschutz-Grundverordnung und an die neuen Begriffsbestimmungen des Telekommunikationsgesetzes angepasst. Der Entwurf flankiert den bereits vorgelegten Entwurf für ein neues Telekommunikationsgesetz und berücksichtigt die vom Bundestag am 28. Januar 2021 beschlossenen Regelungen zur Bestandsdatenauskunft im Telemediengesetz.“

Am 20.05.2021 hat der Bundestag den Entwurf des „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ mehrheitlich angenommen und zum 01.12.2021 tritt das TTDSG nun gemeinsam mit dem neuen Telekommunikationsgesetz (TKG) in Kraft. Damit sollen dann bisher unklare bzw. offene Lücken geschlossen werden. Zudem wurden im TTDSG auch weitestgehend die Vorgaben der ePrivacy-Richtlinie (nicht zu verwechseln mit der noch ausstehenden ePrivacy-Verordnung!) umgesetzt.

Alle Paragraphen des TTDSG können Sie u.a. hier einsehen: https://gesetz-ttdsg.de/

Begriffsbestimmungen

Unter § 2 TTDSG findet man wichtige Begriffsbestimmungen:

Anbieter von Telemedien

„jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt,“

Bestandsdaten

„im Sinne des Teils 3 dieses Gesetzes die personenbezogenen Daten, deren Verarbeitung zum Zweck der Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Anbieter von Telemedien und dem Nutzer über die Nutzung von Telemedien erforderlich ist,“

Nutzungsdaten

„die personenbezogenen Daten eines Nutzers von Telemedien, deren Verarbeitung erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen; dazu gehören insbesondere

1. Merkmale zur Identifikation des Nutzers,
2. Angaben über Beginn und Ende sowie Umfang der jeweiligen Nutzung und
3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien,“

Nachricht

„jede Information, die zwischen einer endlichen Zahl von Beteiligten über einen Telekommunikationsdienst ausgetauscht oder weitergeleitet wird; davon ausgenommen sind Informationen, die als Teil eines Rundfunkdienstes über ein öffentliches Telekommunikationsnetz an die Öffentlichkeit weitergeleitet werden, soweit die Informationen nicht mit dem identifizierbaren Nutzer, der sie erhält, in Verbindung gebracht werden können,“

Dienst mit Zusatznutzen

„jeder von einem Anbieter eines Telekommunikationsdienstes bereitgehaltene zusätzliche Dienst, der die Verarbeitung von Verkehrsdaten oder anderen Standortdaten als Verkehrsdaten in einem Maße erfordert, das über das für die Übermittlung einer Nachricht oder für die Entgeltabrechnung des Telekommunikationsdienstes erforderliche Maß hinausgeht,“

Endeinrichtung

„jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten; sowohl bei direkten als auch bei indirekten Anschlüssen kann die Verbindung über Draht, optische Faser oder elektromagnetisch hergestellt werden; bei einem indirekten Anschluss ist zwischen der Endeinrichtung und der Schnittstelle des öffentlichen Netzes ein Gerät geschaltet.“

Für wen gilt das TTDSG?

Das neue Gesetz gilt für Anbieter von Telemedien (siehe o.g. Begriffsbestimmungen), also für sämtliche Anbieter/Betreiber von Webseiten und Apps. Rein private Webseiten fallen nicht darunter. Der Begriff Telemedien wird im Telemediengesetz näher definiert (§ 1 TMG): unter Telemedien sind alle elektronischen Informations- und Kommunikationsdienste zu verstehen.

Welche Inhalte des TTDSG sind besonders hervorzuheben?

§ 1 TTDSG: Anwendungsbereich

Der Anwendungsbereich ist erweitert worden: mit den bereits genannten Endeinrichtungen (§ 2 TTDSG) sind auch alle mit dem Internet verbundenen Geräte gemeint, z.B. Messenger-Dienste wie WhatsApp oder auch Smarthome Anwendungen wie Alarmsysteme, Haushaltsgeräte etc.

Außerdem gilt – wie auch in der DSGVO – das „Marktortprinzip“ (§ 1 Abs. 3 TTDSG): „Diesem Gesetz unterliegen alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen.“

§ 4 TTDSG: Umgang mit dem digitalen Erbe

Bislang gab es keine gesetzliche Regelung zum Umgang mit den digitalen Daten eines Verstorbenen (z.B. Daten bei Facebook). Jetzt geht auch der digitale Nachlass an die Erben über:

„Das Fernmeldegeheimnis steht der Wahrnehmung von Rechten gegenüber dem Anbieter des Telekommunikationsdienstes nicht entgegen, wenn diese Rechte statt durch den betroffenen Endnutzer durch seinen Erben oder eine andere berechtigte Person, die zur Wahrnehmung der Rechte des Endnutzers befugt ist, wahrgenommen werden.“

§ 7 TTDSG: Verlangen eines amtlichen Ausweises

Lange war unklar, ob ein geklickter Button zur Bestätigung des Alters als Bestätigung wirklich ausreicht. Jetzt dürfen Anbieter zur Begründung eines Vertragsverhältnisses die Vorlage eines Ausweises verlangen. Der Ausweis kann in physischer Form vorgelegt werden, aber auch ein elektronischer Identitätsnachweis ist möglich. Der Anbieter darf eine Kopie erstellen, diese muss aber unverzüglich nach Feststellung der Identität vernichtet werden.

§§ 22 + 24 TTDSG: Auskunftsverfahren bei Bestands- und Nutzungsdaten

Immer wieder kommt es vor, dass behördliche Stellen (z.B. Strafverfolgungsbehörde, Bundeskriminalamt, Verfassungsschutzbehörde etc.) nach Bestands- und Nutzungsdaten fragen. Unklar war bis jetzt, ob und inwieweit die Daten herausgegeben werden dürfen. Dies ist jetzt im TTDSG geregelt. Was genau unter Bestandsdaten und Nutzungsdaten zu verstehen ist, haben wir oben bereits unter § 2 TTDSG erläutert.
Die Herausgabe von Passwörtern und sonstigen Zugangsdaten ist grundsätzlich ausgeschlossen. Nur in bestimmten Einzelfällen (§ 23 TTDSG) ist die Herausgabe möglich, z.B. in einem Strafprozess einer besonders schweren Straftat.

§ 25 TTDSG: Schutz der Privatsphäre bei Endeinrichtungen

Hier geht es um die bereits bekannten Cookies und Cookie-Banner. Laut § 25 Abs. 1 TTDSG ist nun eine ausdrückliche Einwilligung für Tracking, Cookies und Co. gesetzlich vorgeschrieben:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 (=DSGVO) zu erfolgen.“

Im Absatz 2 sind zwei Ausnahmen aufgeführt nämlich dann,

  • wenn „der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist“
  • wenn „die Speicherung unbedingt erforderlich ist, um den ausdrücklich vom Nutzer gewünschten Telemediendienst zur Verfügung stellen zu können“ (technisch notwendige Cookies)

Solche technisch notwendigen Cookies sind z.B. Warenkorb- oder Session-Cookies. Diese verhindern, dass der bereits gefüllte Warenkorb wieder geleert wird, nur weil ich auf Unterseiten weitersurfen bzw. weitershoppen möchte.

§ 26 TTDSG: Anerkannte Dienste zur Einwilligungsverwaltung (PIMS)

Durch diesen Paragraphen soll die Möglichkeit geschaffen werden, Einwilligungen über sogenannte Personal Information Management Systems (PIMS) zu verwalten. Als Endnutzer trifft man einmalig bestimmte Voreinstellungen und je nach Einstellung würden dann bestimmte Dienste (z.B. Cookies) angenommen oder blockiert, ohne dass separat ein Cookie-Banner durchgeklickt werden muss. Allerdings müssen sich Anbieter solcher PIMS zertifizieren lassen, damit das angewandte Verfahren auch offiziell anerkannt ist und bestimmte Voraussetzungen erfüllt sind (z.B. ausreichendes Sicherheitskonzept, kein wirtschaftliches Eigeninteresse etc.). Dazu fehlt allerdings noch die entsprechende Rechtsverordnung der Bundesregierung. Es wird also noch eine Weile dauern und bis dahin bleibt uns auch der Cookie-Banner erhalten.

§§ 27 + 28 TTDSG: Straf- und Bußgeldvorschriften

„Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer

  • entgegen § 5 Absatz 1 eine Nachricht abhört oder in vergleichbarer Weise zur Kenntnis nimmt,
  • entgegen § 5 Absatz 2 Satz 1 eine Mitteilung macht oder
  • entgegen § 8 Absatz 1 eine dort genannte Telekommunikationsanlage herstellt oder auf dem Markt bereitstellt.“

Je nach Verstoß fällt die Höhe des Bußgeldes unterschiedlich aus:

  • bis zu 300.000 € (z.B. bei einer fehlenden Einwilligung, § 25 TTDSG)
  • bis zu 100.000 € (z.B. bei der unrechtmäßigen Verarbeitung von Verkehrsdaten, § 12 TTDSG)
  • bis zu 50.000 € (z.B. bei falscher oder nicht rechtzeitiger Information des Endnutzers, § 13 TTDSG)
  • bis zu 10.000 € (z.B., wenn eine Aufsichtsbehörde nicht rechtzeitig in Kenntnis gesetzt wurde, § 12 TTDSG)

Bei einer fehlenden Einwilligung drohen Bußgelder nicht nur nach dem TTDSG, sondern auch nach der DSGVO!

Aktuell aus unserer Praxis

Bis zum Inkrafttreten des TTDSG ist nicht mehr viel Zeit. Deshalb laufen unsere Maßnahmen in vollem Gang:

  • Welche einwilligungsbedürftigen Cookies und Tools werden von uns genutzt?
  • Sind unsere Cookie-Banner auf dem aktuellen Stand?
  • Muss unsere Datenschutzerklärung ergänzt / angepasst werden?
  • Wie können wir uns schon jetzt auf ein zukünftiges PIMS vorbereiten?

Wie sieht es bei Ihnen aus? Haben Sie sich schon mit dem TTDSG beschäftigt?

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse zum Thema „TTDSG“:

  • das TTDSG schließt einige Lücken
  • ein Cookie-Banner ist Pflicht!
  • bestimmten Behörden darf Auskunft erteilt werden
  • PIMS vielleicht bald die Lösung für Einwilligungen?
Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Über die Autorin:

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

Compliance-Falle: Geschenke und Einladungen

Was ist erlaubt und was nicht?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Was bisher geschah: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Compliance-Management.

Kleine Geschenke sind doch ok – oder?

Kleine Geschenke erhalten die Freundschaft – heißt es so schön. Obwohl wir noch ein kleines Unternehmen sind und die Anzahl an Geschenken und Einladungen bisher überschaubar sind, wollen wir uns trotzdem aus Compliance-Sicht diesem Thema widmen. Die Bekämpfung von Korruption (Bestechung, Bestechlichkeit, Vorteilsgewährung, Vorteilsannahme) ist schließlich einer der wichtigsten Punkte aus dem Compliance-Management. So stellen sich also auch bei uns im Unternehmen folgende Fragen: wo fängt der Verdacht auf Korruption eigentlich an, was darf ich annehmen und was nicht?

Früher war es Gang und Gäbe: eine Essenseinladung in ein 3-Sterne-Lokal, VIP-Karten für ein Fußballspiel oder Vergünstigungen beim nächsten Einkauf. Heutzutage nicht mehr dran zu denken, da in vielen Unternehmen strenge Regeln gegen Korruption herrschen und das ist auch gut so. Kein Unternehmen möchte in den Verdacht der Bestechlichkeit geraten (Reputationsverlust), geschweige denn eine Geldstrafe oder sogar Freiheitsstrafe riskieren. Deshalb finden sich gerade in größeren Firmen Compliance-Richtlinien, die den Umgang mit Geschenken und Einladungen regeln und so die Mitarbeiter unterstützen, sich regelkonform zu verhalten. Aber auch ohne Richtlinie sollte jedem Mitarbeiter klar sein, dass er zu gesetzestreuem Verhalten verpflichtet ist. Es darf auf keinen Fall der Anschein entstehen, dass durch Geschenke persönliche Vorteile genutzt werden. Bei Verstoß droht dem Mitarbeiter die fristlose Kündigung. Um gar nicht erst in die Gefahr zu kommen, ist für uns als SAVISCON GmbH klar, dass wir eine interne Compliance-Richtlinie (Verhaltensrichtlinie) festlegen. Diese ist gerade innerhalb des laufenden Projektes in Arbeit.

Was ist erlaubt und was ist tabu?

Da es keine gesetzliche Regelung für die Grenze zwischen einer netten Aufmerksamkeit und einem Bestechungsversuch gibt, können neben festgelegten Wertgrenzen auch folgende Kriterien zur Beurteilung angewandt werden:

Zeitpunkt: Geschenke und Einladungen sollten in keinem engen zeitlichen Zusammenhang mit laufenden oder bevorstehenden Vertragsabschlüssen stehen.

Häufigkeit: Zuwendungen sollten sich nicht häufen und in einem angemessenen Maße stattfinden.

Angemessenheit: Ebenso ist es ein Unterschied, ob eine Essenseinladung zum Italiener um die Ecke stattfindet oder in ein nobles 3-Sterne-Restaurant. Allerdings kann es hier auch erlaubte Schwankungen geben, je nach hierarchischer Stellung der beteiligten Personen. Zuwendungen unter Geschäftsführern dürfen durchaus eine etwas höhere Wertkategorie erreichen.

Welche Wertgrenze sollte festgelegt werden?

In vielen Unternehmen wird die Grenze von 35,- € angewandt, denn bis zu dieser Grenze sind Geschenke an Geschäftspartner steuerlich absetzbar. Es können auch individuelle Wertgrenzen vereinbart werden (ggf. mit Genehmigung durch Vorgesetzte) – die Entscheidung liegt beim Unternehmen. Es gibt aber auch durchaus Firmen, die keinerlei Zuwendungen zulassen und ein komplettes Verbot in ihren Compliance-Richtlinien aussprechen. Auch Grundsätze wie diese können hilfreich sein:

Sinnbild Kugelschreiber als Geschenk = compliancekonform?

Sind Kugelschreiber als Geschenk in Ordnung? Foto von Jess Bailey Designs von Pexels

  • Werbeartikel (Kugelschreiber, Kalender etc.) sind in der Regel erlaubt
  • Keine Geschenke / Einladungen an Privatadressen
  • Keine Gutscheine oder Geldgeschenke
  • Keine Zuwendungen im Rahmen einer Vertragsanbahnung

Zusätzliche Vorsicht bei Amtsträgern

Amtsträger wie Richter, Notare, Beamte und Mitarbeiter der öffentlichen Verwaltung dürfen lt. § 331 ff. StGB überhaupt keine Zuwendungen annehmen. Selbst die Einladung zum Kaffee könnte problematisch gesehen werden. Von daher ist bei Amtsträgern zusätzliche Vorsicht geboten und es ist ratsam hier lieber komplett auf Geschenke und Einladungen zu verzichten.

Transparenz und Dokumentation

Werden Zuwendungen in einem bestimmten Rahmen zugelassen, sollte dies auch transparent dokumentiert werden. In der Praxis hat sich hier das Führen von Listen durchgesetzt, in denen alle Geschenke eingetragen werden. Gerade zu Weihnachten werden oft Kalender, besondere Weine, Präsentkörbe, etc. verschenkt. So kann durch den Compliance-Verantwortlichen kontrolliert werden, ob die Geschenke und Einladungen im erlaubten Rahmen bleiben. Genehmigungspflichtige Geschenke können dort ebenso dokumentiert werden wie wertvolle Geschenke, die abgelehnt wurden.

Compliance-Kultur und Schulung

Um eine gute Compliance-Kultur im Unternehmen aufzubauen, muss diese auch von allen gelebt werden. Deshalb ist es wichtig, dass sich auch Geschäftsführung und Management an Compliance-Richtlinien halten und diese offen und transparent vorleben. Außerdem sollten Mitarbeiter bei diesem sensiblen Thema umfassend geschult und aufgeklärt werden. Nur wenn allen klar ist, welche Art von Zuwendungen erlaubt und welche nicht erlaubt sind, kann entsprechend gehandelt und ein Missbrauch ausgeschlossen werden.

Aus der Praxis

Wir sind gerade dabei, unsere Compliance-Richtlinien weiter aufzubauen. Neben der „Annahme von Geschenken und Einladungen“ werden hier auch Themen wie Diskriminierung, Verschwiegenheit, Datenschutz, etc. geregelt sein. Die finale Richtlinie wird dann durch unseren Geschäftsführer verabschiedet, anschließend an alle Mitarbeiter kommuniziert und zentral abgelegt. Ebenso wird es eine Schulung für alle Mitarbeiter geben. Sie sehen: da ist noch viel zu tun. Los geht’s!

Wie ist die Annahme von Geschenken und Einladungen bei Ihnen geregelt?

…to be continued:

Hier die Zusammenfassung der wichtigsten Erkenntnisse zum Thema „Annahme von Geschenken und Einladungen“:

  • auch kleine Unternehmen wie wir sollten sich dazu Gedanken machen
  • es ist hilfreich, das gewünschte Verhalten in Compliance-Richtlinien festzuhalten
  • umso klarer Wertgrenzen und Regeln formuliert sind, desto besser
  • Compliance muss in allen Ebenen (vor)gelebt werden
  • Mitarbeiter sollten umfassend geschult werden

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Risiko-Management.

Über die Autorin:

Porträtfoto Karin Slezer

Karin Selzer ist als Compliance- und Datenschutz Consultant, sowie interne Datenschutzbeauftragte bei der SAVISCON GmbH tätig.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

Der Auftragsverarbeitungs-Vertrag (AVV)

Was ist der AVV und was muss rein?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

In diesem Blog-Beitrag sehen wir uns in unserem internen Projekt Datenschutz aus der Reihe GRC@SAVISCON (hier geht’s zum initialen Blog-Beitrag) den AV-Vertrag (Auftragsverarbeitungsvertrag) genauer an. Ein AV-Vertrag ist ein Vertrag über die Auftragsverarbeitung, der immer dann abgeschlossen werden muss, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden. Ganz neu ist das Thema nicht, denn im Bundesdatenschutzgesetz (BDSG) war das Dokument als ADV-Vertrag (Auftragsdatenverarbeitungs-Vertrag) bekannt.

Was hat sich durch die Einführung der EU-Datenschutz-Grundverordnung geändert?

Das Verhältnis zwischen Auftraggeber und Auftragnehmer wird schärfer ausgestaltet. Insbesondere durch die Rechenschaftspflicht wird man als verantwortliche Stelle deutlich stärker in die Pflicht genommen. Nach Art. 26 DS-GVO gibt es nun auch „Gemeinsame Verantwortliche“. Neu ist auch die gemeinsame Haftung von Auftraggeber und Auftragnehmer bei Datenschutzverstößen mit Schadenersatzansprüchen (Art. 82 DS-GVO).

Was passiert mit bereits bestehenden ADV-Verträgen auf Grundlage des BDSG?

Diese sollten neu verhandelt und neu abgeschlossen werden. Zumindest ist dies die datenschutzkonformere und damit sicherere Lösung. Ansonsten besteht auch die Möglichkeit alte ADV-Verträge durch Ergänzungsverträge an die neue gesetzliche Grundlage anzupassen. Das kann allerdings mit hohem manuellen Aufwand verbunden sein, wenn die ADV-Verträge nicht standardisiert, sondern sehr individuell gestaltet wurden.

Deckblatt eines Vertrags zur Auftragsverarbeitung

Auszug aus SAVISCON Muster AV-Vertrag

Inhalt eines AV-Vertrages

Folgende Bestandteile (Mindestanforderungen) muss ein AV-Vertrag lt. DS-GVO haben, um die einzelnen Rechte und Pflichten von Auftraggeber und Auftragnehmer bei der Auftragsverarbeitung zu regeln (Art. 28 DS-GVO):

  • Angaben zu Auftraggeber, Auftragnehmer und Vertreter innerhalb der EU
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Pflichten und Rechte des Verantwortlichen (z. B. Kontrollrecht)
  • Pflichten des Auftragsverarbeiters (z. B. Rückgabe bzw. Löschung personenbezogener Daten nach Auftragsende, Beschäftigung von Subunternehmer, Unterstützung bei Betroffenenanfragen und bei der Meldepflicht von Datenschutzverletzungen)
  • Sicherstellung von technischen und organisatorischen Maßnahmen (TOM)

Die Auflistung der technischen und organisatorischen Maßnahmen erfolgt üblicherweise in einer separaten Anlage zum AV-Vertrag und ist ebenfalls von beiden Parteien zu unterschreiben.

Screenshot: Auszug aus SAVISCON Muster Anlage 1 TOM

Auszug aus SAVISCON Muster Anlage 1 TOM

Woran erkenne ich einen Auftragsverarbeiter?

Ein „Auftragsverarbeiter“ ist eine natürliche oder eine juristische Person (Unternehmen), eine Behörde, eine Einrichtung oder eine andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Ein Auftragsverarbeiter bestimmt weder den Zweck noch die Mittel der Datenverarbeitung, dies obliegt ausschließlich dem Auftraggeber (Verantwortlicher). Allerdings darf der Auftragnehmer durchaus geeignete technische und organisatorische Schutzmaßnahmen selbst auswählen. Folgende Kriterien deutet auf eine Auftragsverarbeitung hin:

Der Auftragnehmer

  • hat keine Entscheidungsbefugnis über die Daten
  • verfolgt keinen eigenen Geschäftszweck bezüglich der personenbezogenen Daten
  • unterliegt einem Nutzungsverbot der zu verarbeitenden Daten
  • steht in keiner vertraglichen Beziehung zu den Betroffenen
  • ist nach außen hin nicht für die Datenverarbeitung verantwortlich, sondern der Auftraggeber

Klassische Auftragsverarbeiter sind z. B.

  • IT-Dienstleister, Hosting-Anbieter (Webseite)
  • Anbieter für Daten- und Aktenvernichtung (Datenschutztonne)
  • Externer Lettershop (Mailings)

Wann ist kein AV-Vertrag notwendig?

Eine einfach Frage, auf die es aber leider keine einfache pauschale Antwort gibt. Denn hier sind die einzelnen Aufsichtsbehörden und auch die Datenschutzkonferenz (DSK) nicht immer einer Meinung und es gibt immer mal wieder unterschiedliche Auslegungen.

Laut LDA Bayern stellt die Beauftragung mit fachlichen Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht, bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. D. h. wenn ein Dienstleister z. B. die Wartung an der Stromzufuhr oder an der Kühlung übernimmt, spricht man nicht von einem Auftragsverarbeiter (keine Verarbeitung personenbezogener Daten) und es ist kein AV-Vertrag notwendig.

Wird aber ein IT-Dienstleister, der sich z. B. per Fernwartung (IT-Support) auf den Rechner aufschalten kann und dabei Zugriff auf personenbezogene Daten haben könnte, als Auftragsverarbeiter gesehen. Sie sehen, es ist eine genaue Betrachtung des Dienstleisters und der Art der Verarbeitung notwendig.

Hier einige Beispiele aus der FAQ-Liste des LDA Bayern wann keine Auftragsverarbeitung vorliegt:

a) Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen z. B.

  • Berufsgeheimnisträger (Ärzte, Steuerberater, Rechtsanwälte, Wirtschaftsprüfer)
  • Inkassobüros mit Forderungsübertragung
  • Bankinstitute für den Geldtransfer
  • Postdienste für den Brief- oder Pakettransport
  • Matching-Dienste (z. B. Personalvermittler)

b) im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit z. B.

  • vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten
  • Sachverständige zur Begutachtung eines Kfz-Schadens
  • Personenbeförderung, Krankentransportleistungen
  • Bewachungsdienstleistungen
  • Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen

Muster AV-Verträge

Um einen datenschutzkonformen AV-Vertrag zu erstellen, müssen Sie das Rad aber nicht neu erfinden. Hier gibt es sehr gute Vorlagen, die auf jeden Fall eine gute Basis darstellen und an Ihr Unternehmen und Ihre Auftragsverarbeiter angepasst werden können:

Aktuell aus unserer Praxis

Wir arbeiten mehrmals im Jahr mit einer Telemarketing-Agentur zusammen, die für uns im Anschluss an Mailings Adressen abtelefoniert, um Beratungstermine zu vereinbaren oder Informationsmaterial zu versenden. Hier werden ganz klar personenbezogene Daten nach Weisung von uns als Auftraggeber verarbeitet. Zusätzlich zu den jeweiligen Einzelaufträgen (Hauptverträge) gibt es einen AV-Vertrag zwischen beiden Parteien, der so lange gültig sein wird, wie die Geschäftsbeziehung aktiv ist.
Den Abschluss haben wir natürlich auch in unserem GRC-COCKPIT dokumentiert, in dem wir eine Maßnahme dazu angelegt und mit dem erfassten Partner (Telemarketing-Agentur) verknüpft haben. So können wir auf Knopfdruck überprüfen, ob es sich bei dem Partner um einen Auftragsverarbeiter (Dienstleister) handelt und ob hier ein gültiger AV-Vertrag vorliegt. Denn dieser wird ebenfalls verknüpft bzw. fest als Anhang hinterlegt.
Sollte es neue Vorgaben der Datenschutzbehörden geben, können wir aus dem GRC-COCKPIT heraus eine Liste an Auftragsverarbeitern erstellen und so weitere Maßnahmen (z. B. AV-Vertrag aktualisieren) erzeugen und bis zum Abschluss überwachen. Natürlich handelt es sich bei diesem Prozess um einen Verarbeitungsprozess nach Art. 30 DS-GVO. Wie man ein solches Verzeichnis von Verarbeitungstätigkeiten aufsetzt, haben wir bereits in einem vorherigen Blog-Beitrag erklärt: Zum Beitrag Verzeichnis von Verarbeitungstätigkeiten aufbauen

Screenshot AVV in GRC-COCKPIT

Auszug aus dem GRC-COCKPIT: Maßnahme AV-Vertrag abschließen.

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse zum Thema „AV-Vertrag“:

  • Alte ADV-Verträge am besten neu verhandeln und abschließen
  • Prüfen, bei welchen Partnern es sich um Auftragsverarbeiter handelt
  • Wenn möglich Muster AV-Verträge verwenden
  • Übersichtliche Dokumentation der Partner / Auftragsverarbeiter inkl. AV-Verträge

Im nächsten Blog-Beitrag am 16. September, schauen wir wieder gemeinsam in das Projekt Compliance-Management.

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

3 Tipps für Ihre Informationssicherheits-Leitlinie

Was muss rein in die IS-Leitlinie?

von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) erfordert vor allem eines: viele Dokumente. Prozesse müssen ausgearbeitet und Verfahrensregeln sowie Richtlinien müssen erstellt werden. Der Satz „Die Organisation muss dokumentierte Informationen […] aufbewahren“ ist auf jeder Seite der DIN ISO 27001 Norm mehrfach zu finden. Das mit Abstand wichtigste Dokument ist dabei die Informationssicherheits-Leitlinie, in der ISO etwas befremdlich mit Informationssicherheits-Politik definiert. Im Folgenden möchte ich den Prozess zum Erstellen unserer SAVISCON IS-Leitlinie erläutern. Was muss in einer solchen Leitlinie enthalten sein und welche Besonderheiten sind zu beachten?

Die Informationssicherheits-Leitlinie

Eine Anforderung der ISO-Norm 27001 und somit auch des BSI IT-Grundschutzes, ist die Erstellung und Herausgabe einer Informationssicherheits-Leitlinie. Explizit wird dabei gefordert, dass die Herausgabe durch die oberste Leitung erfolgt. Natürlich muss letztendlich alles im Zuge der Informationssicherheit durch die oberste Leitung legitimiert werden, der Informationssicherheitsbeauftragte (ISB) hat nach dem Verständnis der ISO-Norm keine Entscheidungsgewalt. Anders als bei den meisten Dokumenten, sollte die oberste Leitung bei der Erstellung der IS-Leitlinie aber aktiv mitwirken. Die Leitlinie ist als Grundstein der Informationssicherheit der Organisation zu verstehen. Sie stellt ein Rahmenwerk dar und umreißt die strategischen Ziele, die eine Organisation mit Hilfe von Informationssicherheit erreichen möchte.

Was gehört in die IS-Leitlinie?

Die Anforderungen zur IS-Leitlinie sind im Normenkapitel 5.2 „Politik“ der ISO 27001 festgelegt:

Unter Punkt a) wird verlangt, dass die Leitlinie „de[m] Zweck der Organisation angemessen ist“. Hier sind die Überlegungen zum Kontext der Organisation gefragt, insbesondere der Geltungsbereich sollte explizit beschrieben werden. Des Weiteren sollte die oberste Leitung klarstellen, welchen Stellenwert Informationssicherheit in der Organisation haben soll. Wichtig ist auch, dass sich die gesamte Organisation, einschließlich der obersten Leitung und aller Mitarbeiter, zur Informationssicherheit bekennt und diese als gelebten Prozess in die Unternehmenskultur integriert. Hier soll der obersten Leitung eine Vorbildrolle zugesprochen werden, denn Informationssicherheit bedarf möglicherweise einiger Umstrukturierungen und Anpassungen. Angestellte werden zum Beispiel möglicherweise ihr Passwort besser auswählen und häufiger ändern, wenn sie wissen, dass der Chef dies auch umsetzt.

Punkt b) betrifft die Sicherheitsziele, also normalerweise Vertraulichkeit, Verfügbarkeit und Integrität. Diese Sicherheitsziele müssen in der Leitlinie explizit dargestellt werden. Sollte Ihre Organisation sich entscheiden weitere Sicherheitsziele zu formulieren, müssen diese ebenfalls in die Leitlinie aufgenommen werden.

Screenshot Sicherheitsziele der SAVISCON IS-Richtlinie.

So sieht der Abschnitt in der SAVISCON IS-Leitlinie aus.

Punkt c) ist der umfangreichste Punkt. Hier wird „eine Verpflichtung zur Erfüllung zutreffender Anforderungen mit Bezug zur Informationssicherheit“ gefordert. Die vorher definierten Sicherheitsziele müssen durch entsprechende Maßnahmen fortwährend eingehalten werden. Letztendlich handelt es sich dabei um das zu implementierende Informationssicherheits-managementsystem. Umreißen Sie daher wie das ISMS in Ihrer Organisation aussehen soll, zum Bespiel welche Befugnisse und Aufgaben der ISB bekommt und wie der Prozess der Informationssicherheit in Ihr Unternehmen integriert wird. Stellen Sie klar, dass Ihre Mitarbeiter ein elementarer Bestandteil der Informationssicherheit sind und sie daher sowohl Verantwortung übernehmen müssen, als auch von der obersten Leitung, zum Beispiel durch Schulungen, unterstützt werden. Wenn Sie schon ein Risiko- bzw. Compliance-Management oder ein Konzept dafür haben, könnte die Leitlinie beschreiben, wie diese Prozesse mit der Informationssicherheit verbunden werden.

Zum Schluss fordert Punkt d) „eine Verpflichtung zur fortlaufenden Verbesserung“. Informationssicherheit wird heutzutage zum großen Teil durch die IT-Sicherheit geprägt (siehe Blogpost Informationssicherheit vs. IT-Sicherheit). Durch die sich rasch verändernden Technologien und damit auch neue Arten von Schwachstellen und Angriffen müssen Sie ihr Informationssicherheitsmanagementsystem ständig auf dem neuesten Stand halten. So werden Sie auch Ihr ISMS selbst untersuchen und gegebenenfalls verbessern, falls die von Ihnen gewählten Maßnahmen nicht wirken oder nicht richtig umgesetzt werden. In der Leitlinie müssen Sie sich also zu einem kontinuierlichen Verbesserungsprozess bekennen und kurz beschreiben, wie sie diesen Prozess umsetzen wollen.

Zum Schluss folgt die Legitimation durch die oberste Leitung, mit der die Leitlinie in Kraft tritt. Zudem können Sie hier darauf hinweisen, dass die Leitlinie allen relevanten Parteien bekannt zu geben ist, dies ist eine weitere Anforderung der ISO-Norm.

Erstellen der Leitlinie

Nachdem wir nun einen guten Überblick erhalten haben, was in der Leitlinie stehen soll, geht es darum eine für Ihre Organisation geeignete Leitlinie zu erstellen.

Mein erster Tipp: Erfinden Sie das Rad nicht neu. Viele Unternehmen veröffentlichen Ihre Leitlinie im Zuge der Bekanntmachung und es gibt eine Menge Schulungsmaterialien frei erhältlich im Internet. Lassen Sie sich inspirieren und identifizieren sie die Aspekte, die zu Ihrem Unternehmen passen. Sehr wichtig ist auch die Kommunikation mit Ihrer Geschäftsführung, wie bereits gesagt, ist die Leitlinie vorrangig auch ein Bekenntnis der obersten Leitung zur Informationssicherheit. Ich habe mehrmals mit unserem Geschäftsführer gesprochen, um die Prioritäten zu erfassen. Daraufhin habe ich einen Entwurf erstellt und diesen dann meinem Chef vorgestellt. Im weiteren Austausch habe ich die Leitlinie mehrmals angepasst, bis wir schließlich zu einem Ergebnis gekommen sind.

Daher mein zweiter Tipp: Scheuen Sie sich nicht, erstmal etwas zu schreiben und es dann später zu verändern. Die Leitlinie, die Sie letztendlich veröffentlichen, werden Sie wahrscheinlich irgendwann anpassen müssen, wenn sich Ihr Unternehmen weiterentwickelt. Genau wie das ISMS an sich, unterliegt auch die Leitlinie einem Veränderungszyklus. Gerade vor der ersten Veröffentlichung wird das Dokument daher mehrere Iterationen durchlaufen.

Mein letzter Tipp: Halten Sie Ihre Leitlinie so kurz und prägnant wie möglich. Sie soll nur ein Rahmenwerk bzw. Fundament darstellen. Versteifen Sie sich nicht zu sehr auf Details. Insbesondere können Sie zu diesem Zeitpunkt noch nicht exakt abschätzen, wie das ISMS nachher aussehen wird. Bleiben Sie daher bei generellen Vorgaben. Außerdem ist die Leitlinie ein Dokument, das von Ihren Mitarbeitern und möglicherweise externen Parteien gelesen und idealerweise verinnerlicht werden soll. Dies erreichen Sie möglicherweis eher, wenn die Leitlinie nicht zu lang ist.

Fazit

Mir persönlich hat das Erstellen unserer Informationssicherheitsleitlinie viel Spaß gemacht, immerhin stellt die Veröffentlich einen ersten richtigen Schritt auf dem langen Weg zur Einführung unseres ISMS dar. Ich hoffe meine Erfahrungen können Ihnen bei der Erstellung Ihrer eigenen Leitlinie helfen. Ziehen Sie auch immer wieder die ISO 27001 zu Rate und vergleichen Sie den Inhalt Ihrer Leitlinie mit den Vorgaben. Dann werden Sie sicher zu einem zufriedenstellenden Ergebnis kommen.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:  daniel.strassberger@saviscon.de

Wesentliche Risiken für kleine und mittelständische Unternehmen

Ausfall von Schlüsselpersonen im Unternehmen und/oder Wegfall eines Großkunden

von Uwe Straßberger, Director Marketing & Sales bei der SAVISCON GmbH

Im letzten Blog-Beitrag aus unserer Reihe GRC@SAVISCON ging es um das Compliance-Thema “Know Your Customer (KYC)”, heute kehren wir zum Projekt Risiko-Management zurück. Hintergrund: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag.

Ein kurzer Rückblick:

Zum Start des Risiko-Managements bei SAVISCON wurden in einem Brainstorming die abteilungsspezifischen Risiken von allen Organisationseinheiten gesammelt. Lesen Sie hier meinen ersten Blog-Beitrag aus dem Projekt Risiko-Management. Das Ergebnis war eine Anzahl von mehr als 70 Risiken. Für ein kleines Unternehmen wie unseres eine beachtliche Anzahl. Für mich als Risikomanager bestand die erste Aufgabe darin diese Risiken in das SAVSICON GRC-COCKPIT einzupflegen. Das war eine reine Fleißarbeit, die in dem Fall mit Copy & Paste relativ schnell erledigt war.

Im nächsten Schritt erfolgte die Aufforderung an die Abteilungen zu den einzelnen Risiken eine Bruttobwertung abzugeben. Auch das war mit der Funktion „Risikobewertung → Neue Organisationseinheit hinzufügen“ im Cockpit schnell erledigt. Der Workflow sorgt für eine gute Übersicht, sowohl für den Risikomanager als auch für die Fachbereiche, welche Bewertungsaufgaben an welche Organisationseinheiten verteilt wurden, und wann diese fällig sind. Bei der Betrachtung der Bewertungen, die die Kollegen dann termingerecht gemacht hatten, fiel mir auf, dass die meisten Risiken innerhalb der Risikomatrix eher in einem unkritischen Bereich lagen.

Wir erinnern uns: Ganz am Anfang hatten wir in unserem Risikoleitfaden den Risikoappetit des Unternehmens festgelegt und in die Risikomatrix des Cockpits übernommen. Mehr zum Thema Risikoappetit lesen Sie in meinem Blog-Beitrag “Wie funktioniert die Risikobewertung?” Bei weit mehr als der Hälfte der Risiken lag sowohl die Eintrittswahrscheinlichkeit als auch die Auswirkung (Schadenshöhe) bei „gering“ oder „mittel“. Für SAVISCON sind diese Stufen der Risikobewertungen weder in wirtschaftlicher, noch hinsichtlich unserer Reputation von besonderer Bedeutung.

Risikomatrix mit normalem Risikoappetit

Ein Beispiel für eine Risikomatrix mit einem normalem Risikoappetit.

Klar, es ist ärgerlich, wenn für einige Stunden unsere Homepage nicht erreichbar ist oder wenn es durch den Ausfall unserer CRM-Software zu einer vorübergehenden Einschränkung bei der Kundenbetreuung kommt. Gravierender sind da schon solche Risiken wie beispielsweise der Ausfall der Infrastruktur für das SAVISCON GRC-COCKPIT, weil unsere SaaS-Kunden dann vorübergehend nicht mit der Software arbeiten könnten. Übrigens: Bei diesem Risiko decken wir gleich zwei Bereiche ab: Risiko-Management und IT-Sicherheitsmanagement. Das lässt sich bei uns im GRC-COCKPIT hervorragend miteinander verbinden.

Auch der Ausfall des technischen Supports hat unter Umständen weitreichendere Folgen. Unter anderem könnte in beiden Fällen unser Ansehen beim Kunden Schaden nehmen und bei einem länger andauernden Störfall könnten die Kunden eventuell sogar Schadensersatz einfordern oder den Lizenzvertrag kündigen. Alles ärgerlich, aber die Auswirkungen, die hinter diesen Risiken stecken hätten keine gravierenden wirtschaftlichen Folgen, solange nicht alle Kunden gleichzeitig abspringen. Es ist recht unwahrscheinlich, dass diese Risiken am Ende sogar existenzgefährdend für SAVISCON sein könnten. Damit sind wir beim Kern der Sache. In unseren Einführungsberatung für das SAVISCON GRC-COCKPIT empfehlen wir den Kunden:

Konzentrieren Sie sich am Anfang auf das Wesentliche
(Potenziell existenzgefährdende Normen und Risiken oder Risikoszenarien)

Wenn man als Unternehmen mit dem Risiko-Management startet hat man einen riesigen Berg an Arbeit vor sich. Risiken, aber auch Anforderungen und Normen müssen, identifiziert, eingepflegt und bewertet werden. Um die Situation bei kritischen Bewertungen zu verbessern, müssen dann noch Maßnahmen eingeleitet und Überwachungen durchgeführt werden. Das alles ist beim initialen Risikoprozess zeitintensiv und wird gerade bei kleineren und mittleren Unternehmen oftmals neben der eigentlichen Arbeit verrichtet. Das Risiko-Management ist jedoch ein fortlaufender Prozess, der mit einem strategischen Ansatz begonnen werden muss. Und klar ist: man kann nicht alles auf einmal schaffen.

Die Devise lautet also: Das Wesentliche zuerst!
Und das Wesentliche sind im ersten Step, die Risiken, die für ein Unternehmen wirtschaftlich gravierende Ausmaße haben oder im schlimmsten Fall sogar existenzgefährdend sein könnten. Natürlich gibt es auch bei uns eine Anzahl von Risiken, die in der Bruttobewertung, sowohl hinsichtlich der Eintrittswahrscheinlichkeit als auch der Auswirkung (Schadenshöhe) als „hoch“ oder „sehr hoch“ eingeschätzt wurden. Risiken deren Bearbeitung sicherlich eine hohe Priorität besitzen. Aber, es gibt zwei Risiken deren Auswirkungen eine potenziell existenzielle Gefährdung, mindestens aber einen erheblichen wirtschaftlichen Schaden für die SAVISCON bedeuten würden. Wobei eines der Risiken ein sog. Risikoszenario darstellt, weil es mehrere Einzelrisiken sind, die hier in der ungünstigen Zusammenwirkung eine hohe Gefährdung verursachen könnten. Konkret sind die folgenden Risken:

1. Der Wegfall eines Großkunden durch Umsatz- oder Zahlungsausfall
2. Der Ausfall von Schlüsselpersonen im Unternehmen

Hintergrund: Wachstum der SAVISCON GmbH

Foto SAVISCON-Team BesprechungSeit der Gründung der SAVISCON im Jahre 2010 lag das Kerngeschäft im Customer Communication- und Enterprise Content Management. Nachdem es in den ersten Jahren eine „One man show“, mit Ingo Simon als einzigem Mitarbeiter war, hatte das Unternehmen Ende 2018 vier Mitarbeiter. Seit wir Anfang 2019 mit der Vermarktung des SAVISCON GRC-COCKPIT und den dazugehörigen Dienstleistungen begonnen haben hat sich die Anzahl der Mitarbeiter vervielfacht.

Auswirkungen bei Risikoeintritt

Bevor wir mit den Risiko-Management begonnen haben, hatte sich niemand so richtig Gedanken über diese beiden Risiken gemacht. Fakt ist aber, dass ein Großteil des Umsatzes durch den Großauftrag eines Kunden generiert wurde, der durch alle Consulting Mitarbeiter erfüllt wurde. Somit war das Einkommen der Mitarbeiter und darüber hinaus auch die Existenz des Unternehmens von diesem einen Kunden abhängig. Ein Projektstopp oder Austausch der SAVISCON durch andere Dienstleister hätte fatale Folgen, es könnte bei fehlenden Folgeaufträgen das mögliche Aus der Firma und daraus resultierend die Arbeitslosigkeit der Mitarbeiter bedeuten.

Was den Ausfall der Schlüsselpersonen betrifft gab es im ersten Jahr nach dem Start des SAVISCON GRC-COCKPIT und den dazugehörigen Aktivitäten nur einen Mitarbeiter in unserer Entwicklungsabteilung. Die Auswirkungen eines kompletten Ausfalls dieses Mitarbeiters wären für das Projekt und somit für das Unternehmen dramatisch, unter Umständen sogar wiederum existenzgefährdend gewesen. In dieser Abteilung wird nicht nur die Software ständig weiterentwickelt, sie ist auch für das Bereitstellen der Instanzen für unsere Kunden sowie für den kompletten Support und die Wartung verantwortlich. Zu Beginn hatten wir also nur einen Mitarbeiter mit den notwendigen Programmierungskenntnissen. Sein Ausfall hätte uns jegliche Geschäftsgrundlage im Segment SAVISCON GRC-COCKPIT entzogen.

Wie oben bereits erwähnt gibt es ähnliche Risiken in Bezug auf Schlüsselpersonen auch für andere Organisationseinheiten, wie z. B. die Geschäftsführung oder Marketing & Vertrieb. Somit haben wir ein typisches Beispiel für ein Risikoszenario, mit dem Namen „Ausfall von Schlüsselpersonen“, weil es dasselbe Risiko mehrfach als Einzelrisiko in verschiedenen Abteilungen gibt.

Bei beiden Risiken – Ausfall Schlüsselperson und Wegfall Großkunde – war somit klar, dass die Schadenshöhe bei Eintritt für die SAVISCON existenzgefährdend sein könnte. Eine Einschätzung bezüglich der Eintrittswahrscheinlichkeit ist dabei nicht ganz einfach, jedoch für die Bewertung hier auch nicht ausschlaggebend. Fakt ist; es könnte eintreten (und es könnte auch jeden Tag eintreten) Der Schaden wäre in beiden Fällen zu hoch! Damit waren beide Risiken in der Matrix im roten Bereich und es gab sofortigen Handlungsbedarf in Form von Maßnahmen. Welche das waren sehen Sie für das Großkundenrisiko im Screenshot:

Screenshot GRC-COCKPIT Ausfall Großkunde

Blick ins GRC-COCKPIT: So sieht das Risiko Umsatzausfall Großkunde in der Risiko-Management Software aus.

Maßnahmen Wegfall eines Großkunden

Dem Risiko „Wegfall eines Großkunden durch Umsatz- oder Zahlungsausfall“ begegnen wir dadurch, dass wir und insgesamt breiter aufstellen. Dazu sind wir derzeit in Verhandlungen mit strategischen Partnern. Eigentlich wollten wir das schon im April abgeschlossen haben, aber manchmal dauern solche strategischen Maßnahmen dann doch länger. Im Bild sieht man jedoch: Die Maßnahme ist rot, weil wir das gesetzte Zeitlimit überschritten haben. Wenn wir im August die Überwachung als durchgeführt und wirksam dokumentieren, weil wir dann voraussichtlich die Verträge unterzeichnen werden, wird diese Maßnahme grün
Dann wird auch das Risiko grün, weil nämlich die Maßnahme „Langfristigen Vertrag mit Bestandskunden abschließen“ erfolgreich zum Jahresbeginn umgesetzt wurde.
Des Weiteren betreiben wir heute fortlaufend die Akquise weiterer Kunden für unsere Consultingtätigkeiten im Customer Communication- und Enterprise Content Management. Zum anderen haben wir damit begonnen, das Geschäft der SAVISCON zu diversifizieren. Das ist durch die Aktivitäten des SAVISCON GRC-COCKPIT (Software und Dienstleistungen) bereits erfolgt. Darüber hinaus bereiten wir derzeit den Launch weiterer Produkte und Dienstleistungen vor. Diese Maßnahmen müssen wir in der Dokumentation im GRC-COCKPIT nun noch nachdokumentieren.
Diese Maßnahmen bedeuten für uns übrigens nicht nur die Minimierung unserer Risiken, sondern ermöglicht uns auch die Ausweitung unserer Geschäftsaktivitäten und, wenn wir erfolgreich sind, auch das Wachstum unseres Unternehmens. Womit wir einen klassischen Beweis dafür haben, dass Risiko-Management auch immer eine Chance bedeutet und zur guten Unternehmensführung beitragen kann.

Maßnahmen Ausfall von Schlüsselpersonen

Zum Risikoszenario „Ausfall von Schlüsselpersonen im Unternehmen“ haben wir unterschiedliche Maßnahmen durchgeführt. Für die Entwicklungsabteilung haben wir einen weiteren Mitarbeiter eingestellt und zusätzlich einen Mitarbeiter aus dem Consultingbereich, der über entsprechende Grundkenntnisse verfügt, durch Aus- und Weiterbildungsmaßnahmen als weiteren Backup fit gemacht. Für andere Abteilungen, wie die Geschäftsführung und Marketing & Vertrieb haben wir durch entsprechende Stellvertreterregelungen die Risiken des Komplettausfalls minimiert. Aus unternehmerischer Sicht ist es dabei durchaus hilfreich sehr pragmatisch vorzugehen. Gerade KMU’s können es sich aufgrund ihrer finanziellen Situation oftmals nicht leisten, „mal eben“ einen neuen Mitarbeiter einzustellen und sind daher auf entsprechende Zwischenlösungen angewiesen.
Übrigens: Auch durch die Rekrutierung eines neuen Mitarbeiters für die Entwicklungsabteilung konnten wir unsere Aktivitäten und das Portfolio unserer Dienstleistungen erweitern. Aufgrund vorhandener Kapazitäten haben wir diesen Kollegen zum ISMS-Manager (zertifiziert) ausbilden lassen und können somit im Bereich IT-Sicherheit weiteres Know-how anbieten, welches wir als Dienstleistungen bei potentiellen Kunden abrechnen können. Ein weiterer Beweis dafür, dass Risiko-Management auch immer eine Chance bedeutet.

Fazit

Beim Risiko-Management kommt es nicht darauf an von heute auf morgen perfekt zu sein und jedes kleinste Risiko zu erfassen und zu bearbeiten. Vielmehr geht es in erster Linie darum überhaupt einmal anzufangen und sich dabei auf das Wesentliche zu konzentrieren. Dabei ist es empfehlenswert, dass Sie zunächst mit den möglicherweise existenzgefährdenden Risiken anfangen und sich dann durch Ihre weitere Risikosammlung arbeiten. Unter dem Motto, „das Wichtigste zuerst“ werden sie nach und nach Ihr strukturiertes und umfangreiches Risiko-Management aufbauen. Mit Hilfe einer Software, wie dem SAVISCON GRC-COCKPIT, haben Sie dann fortlaufend alles im Griff.

Foto Uwe StraßbergerÜber den Autor:

Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de

Was bedeutet Know Your Customer (KYC)?

Compliance: Kennen Sie Ihre Kunden?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag aus der Reihe GRC@SAVISCON über das Durchführen der Datenschutz-Folgenabschätzung berichtet haben, soll es heute um den Compliance-Prozess „Know Your Customer“ gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: „Know your Customer“ (KYC) ist in aller Munde, doch was ist das überhaupt und was ist hier konkret zu tun? Diese Fragen haben wir uns im Projekt ebenso gestellt und wollen uns nun Schritt-für-Schritt dem Thema nähern.

Definition

Unter „Know your Customer“ (zu Deutsch: kenne deinen Kunden) versteht man die Prüfung von persönlichen Daten und Geschäftsdaten zur Prävention von Geldwäsche und Terrorismusfinanzierung. Grundlage bietet hier unter anderem das Geldwäschegesetz (GwG). Es gilt zu prüfen, mit wem das eigene Unternehmen da überhaupt Geschäfte macht und dabei geht es nicht nur um Kunden, sondern ebenso um Dienstleister, Lieferanten und Mitarbeiter (auch eine Gehaltszahlung ist eine Art finanzielle Unterstützung).
Und: früher galten Prüfungen eher nur für Unternehmen im Finanzsektor, doch mittlerweile trifft es Organisationen aller Branchen.

Um Wirtschaftskriminalität, Geldwäsche und andere kriminelle Machenschaften zu bekämpfen, bestehen zahlreiche nationale und internationale Prüf-Standards, die in keinem Compliance-Management fehlen dürfen. Taucht ein bestehender oder potenzieller Geschäftspartner oder Mitarbeiter z.B. auf einer Sanktionsliste oder PEP-Liste auf, sind weitere Untersuchungen notwendig. Eine bedenkliche Einstufung hat ggf. sogar eine Beendigung bzw. Verweigerung der Geschäftsbeziehung zur Folge. Es gibt zwar keine rechtliche Verpflichtung, dass jedes Unternehmen prüfen muss, aber jedes Unternehmen muss gewährleisten, dass keine sanktionierten Personen/Unternehmen Unterstützung bekommen. Unter „Unterstützung“ sind sämtliche Aktionen gemeint: es dürfen keine Gelder ausgezahlt werden; aber auch Warenlieferungen und/oder Dienstleistungen dürfen nicht (mehr) erbracht werden.

Bei Missachtung können neben Reputationsverlust auch diese Folgen drohen:

  • Bei fahrlässigen Verstößen: Ahndung als Ordnungswidrigkeit gem. § 19 AWG Geldbuße bis zu 500.000 €
  • Bei vorsätzlichen Verstößen: Bestrafung der Verstöße als Straftat gem. § 17 AWG, bis zu 10 Jahre Freiheitsstrafe bzw. gem. § 18 AWG bis zu 5 Jahren Freiheitsstrafe
  • ggf. auch Entzug der Geschäftserlaubnis

Sanktionslisten

Begonnen wurde mit der Prüfung von terrorverdächtigen Personen als Reaktion auf die Anschläge vom 11. September 2001. Als Grundlage gilt die vom UN-Sicherheitsrat erarbeitete UN-Sanktionsliste. Darauf aufbauend gibt es erweiterte europäische Sanktionslisten (EU-Listen) und eigene Sanktionslisten einiger Staaten, wie z.B. der USA, Großbritannien, Japan und der Schweiz. Nicht alle Listen sind für alle Unternehmen relevant. Es muss also im Vorfeld erstmal geprüft werden, welche Listen (mit welchen Schwerpunkten) auf das eigene Unternehmen Anwendung finden. An dieser Stelle möchten wir einige Listen kurz erwähnen und einen Einblick in diese geben:

CFSP-Liste / Common Foreign & Security Policy (EU-Liste):
Die CFSP-Liste ist von jedem in der EU ansässigen oder wirtschaftlich tätigen Unternehmen zu prüfen. In dieser konsolidierten Liste stehen sämtliche Personen, Organisationen und Vereinigungen gegen welche Finanz-Sanktionen seitens der EU bestehen. Alle EU-weiten Namenslisten, die im Zuge von Verordnungen im Europäischen Amtsblatt veröffentlicht werden, finden sich auf dieser konsolidierten Listensammlung. Die Einträge erfolgen daher mit unterschiedlichen Hintergründen zur Terrorbekämpfung, zur Umsetzung von Länderembargos, zur Folter-Bekämpfung und zur politischen, wie wirtschaftlichen Sanktionierung. Nach den geltenden EU-Verordnungen und dem AWG sind die Unternehmen dazu verpflichtet, einen wirtschaftlich und technisch vertretbaren Aufwand zu betreiben, alle Geschäftspartner gegen diese Liste zu prüfen. Das bedeutet, dass nicht nur exportierende Unternehmen, sondern auch Unternehmen, die nur in Deutschland Geschäfte machen, alle Geschäftspartner, Lieferanten, Kunden und auch die Mitarbeiter gegen diese Sanktionsliste prüfen müssen. Hier ein Auszug:

Screenshot Auszug aus der CFSP-Liste

Auszug aus der CFSP-Liste (Stand 02.07.2021)

SDN-Liste / Specially Designated Nationals (US-Liste):
Hier handelt es sich um eine US-Liste. In dieser Liste finden sich natürliche oder juristische Personen, welche in Aktivitäten verwickelt sind, die die Sicherheit der USA gefährden. Kommt es hier zu einem Treffer, muss bei diesem Handelspartner für den Austausch von Gütern, die der Export Administration Regulations (EAR) unterliegen, lediglich eine Genehmigung bei den amerikanischen Behörden beantragt werden. Hier kommt es also nicht zu einem generellen Verbot. Hier ein Auszug:

Screenshot Auszug aus der SDN-Liste

Auszug aus der SDN-Liste (Stand 02.07.2021)


DPL-Liste / Denied Persons List (US-Liste):

Bei dieser US-Liste sieht es dagegen etwas anders aus. In dieser Liste werden natürliche und juristische Personen geführt, welche gegen das US-Ausfuhrrecht verstoßen haben. Das Bureau of Industry an Security (BIS) hat gegen diese Personen eine Verbotsverfügung (Denial Order) erlassen. Für diese Personen gilt ein umfassendes Verbot für den Handel mit US-Produkten.

Das Thema Sanktionsliste bedarf also einer näheren und individuelleren Betrachtung – je nach Geschäftsfeld des eigenen Unternehmens muss erstmal geprüft werden, welche Sanktionslisten relevant sind.
(Quelle der Listen: https://www.bex.ag/sanktionslisten/)

Was muss genau geprüft werden?

Wenn ich die notwendigen Sanktionslisten eruiert habe, kann anhand von Vorname, Name, Adresse und Geburtsdatum geprüft werden, ob es Übereinstimmungen zwischen dem jeweiligen Geschäftspartner oder Mitarbeiter und einer sanktionierten Person gibt. Doch auch hier muss berücksichtigt werden, dass Übereinstimmungen auch oft nur durch Namensgleichheit bzw. -ähnlichkeit entstehen können. Hier ist es zwingend notwendig, weitere Kriterien wie Anschrift und Geburtsdatum hinzuzuziehen.

Wie kann ein Abgleich stattfinden?

Auf der Seite Justizportal des Bundes und der Länder gibt es unter Onlinedienste => Finanz-Sanktionsliste die Möglichkeit, Einzelprüfungen vorzunehmen: Finanzsanktionsliste 2021 (finanz-sanktionsliste.de). Bei einem großen Stamm an Geschäftspartnern ist dies aber mit hohem Aufwand verbunden und deshalb gibt es mittlerweile eine Vielzahl an Anbietern, die zur Prüfung eine eigene Software anbieten, die dann z.B. über Schnittstellen an das hausinterne Bestandssystem angebunden werden können.

Wie oft sollte geprüft werden?

Da sich der Status einer Person im Laufe der Zeit ändern kann, reicht eine einmalige Prüfung zu Beginn einer Geschäftsbeziehung nicht aus. Demnach wird empfohlen, in der Praxis mind. alle 3 Monate eine Stammdatenprüfung durchzuführen. Dies ist zwar nicht gesetzlich verbindlich vorgeschrieben, aber das Unternehmen muss wie bereits erwähnt gewährleisten, dass keine Geschäfte mit sanktionierten Personen stattfinden.

PEP-Listen

Völlig unabhängig von diversen Sanktionslisten gibt es auch noch PEP-Listen, die ggf. berücksichtigt werden müssen. Steht man in Beziehung zu sogenannten politisch exponierten Personen (Politiker, Behörden, etc.) so spielt die Prüfung von PEP-Listen zur Vermeidung von Korruption und Bestechung eine wichtige Rolle. Eine PEP im Sinne des GwG ist eine natürliche Person, die ein hochrangiges wichtiges öffentliches Amt auf internationaler, europäischer oder nationaler Ebene oder ein öffentliches Amt unterhalb der nationalen Ebene, dessen politische Bedeutung vergleichbar ist, ausübt (§ 1 Abs. 12 GwG). Juristische Personen sind keine PEPs.

Zu den politisch exponierten Personen gehören insbesondere:
a) Staatschefs, Regierungschefs, Minister, Mitglieder der Europäischen Kommission, stellvertretende Minister und Staatssekretäre,
b) Parlamentsabgeordnete und Mitglieder vergleichbarer Gesetzgebungsorgane,
c) Mitglieder der Führungsgremien politischer Parteien,
d) Mitglieder von obersten Gerichtshöfen, Verfassungsgerichtshöfen oder sonstigen hohen Gerichten, gegen deren Entscheidungen im Regelfall kein Rechtsmittel mehr eingelegt werden kann,
e) Mitglieder der Leitungsorgane von Rechnungshöfen,
f) Mitglieder der Leitungsorgane von Zentralbanken,
g) Botschafter, Geschäftsträger und Verteidigungsattachés,
h) Mitglieder der Verwaltungs-, Leitungs- und Aufsichtsorgane staatseigener Unternehmen,
i) Direktoren, stellvertretende Direktoren, Mitglieder des Leitungsorgans oder sonstige Leiter mit vergleichbarer Funktion in einer zwischenstaatlichen internationalen oder europäischen Organisation;

Neben den eigentlichen Amtsträgern gelten auch unmittelbare Familienmitglieder (Ehe-/Lebenspartner, Kinder, Eltern, Geschwister) und evtl. enge Vertraute als PEP.

Bei der Zusammenarbeit mit einer politisch exponierten Person (PEP) wird ein erhöhtes Risiko von strafrechtlich relevanten Aktivitäten wie Geldwäsche, Korruption oder Steuerhinterziehung angenommen und aus diesem Grund schreibt das GwG die Einhaltung verstärkter Sorgfaltspflichten vor (§ 15 GwG, Anlage 2 zum GwG). Leider gibt es keine staatliche oder übergeordnete Stelle (UN oder EU), die offizielle PEP-Listen herausgibt. Zur Prüfung gibt es hier aber ebenso zahlreiche (kostenpflichtige) Datenbanken von diversen Anbietern. Es besteht zwar aber keine Verpflichtung, die am Markt angebotenen PEP Datenbanken zu nutzen, aber die Nutzung indiziert in aller Regel die angemessene Erfüllung der Pflichten zur Abklärung des PEP-Status. Bei Missachtung dieser Pflicht kann es zu hohen Geldbußen und Reputationsverlust führen.

Wie geht es weiter?

Unser Ziel ist es, in unserem GRC-Cockpit sämtliche Prüfungen direkt aus den Stammdaten vorzunehmen bzw. ein System zur Prüfung an das GRC-Cockpit anzubinden. In den nächsten Schritten werden wir relevante Listen weiter eruieren, Software von unterschiedlichen Anbietern testen und die bestehenden Möglichkeiten unseres Systems prüfen. Über die weitere Entwicklung halten wir Sie über unsere Blog-Beiträge auf dem Laufenden.

…to be continued:

Hier die Zusammenfassung der wichtigsten Erkenntnisse zum Thema „Know your Customer“:
• auch Unternehmen, die nur in Deutschland Geschäfte machen müssen gegen Sanktionslisten prüfen
• welche Listen genau relevant sind, sind individuell für das Unternehmen zu betrachten
• Sanktionslisten und PEP-Listen sind erstmal unabhängig voneinander zu betrachten
• Einzelprüfungen oder Software / Datenbank – diese Entscheidung muss getroffen werden
• Eine einmalige Prüfung reicht nicht aus – Stammdaten müssen regelmäßig gegen Listen geprüft werden

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Risiko-Management und beleuchten die wesentlichen Risiken für kleine und mittelständische Unternehmen (KMU).

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

Datenschutz-Folgenabschätzung

GRC@SAVISCON: Datenschutz

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „Verzeichnis von Verarbeitungstätigkeiten“ der Reihe GRC@SAVISCON über dessen Aufbau und die damit verbundenen Herausforderungen berichtet haben, soll es heute um die Datenschutz-Folgenabschätzung gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Datenschutz.

Ein kurzer Rückblick:

In meinem letzten Blog-Beitrag habe ich ausführlich über das Verzeichnis von Verarbeitungstätigkeiten (VVT) berichtet und darüber, dass das Verzeichnis als Zentrum/Kern gesehen werden kann. Eine Verarbeitungstätigkeit stellt einen Prozess dar, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden. Am Ende unseres Projektes GRC@SAVISCON wollen wir alle entsprechenden Prozesse vollständig (mit mind. allen Pflichtangaben, die ein VVT haben muss) in unserer eigenen GRC-Software (GRC-COCKPIT) erfasst haben.

Aktuell ist der Stand noch nicht ganz erreicht, da und das Tagesgeschäft uns mit den begrenzten Ressourcen allzu oft daran hindert, alle relevanten Informationen einzusammeln und einzutragen. Hier werden noch ein paar Abstimmungstermine mit den Fachbereichen notwendig sein. Wie Sie sehen, ist hier der Austausch zwischen Datenschutz und Fachbereichen sehr wichtig und unumgänglich. Aus dem Bereich Datenschutz kommt die Struktur, der Anstoß und eine Empfehlung – der fachliche Inhalt muss aber aus der Organisation heraus erstellt werden.

Wie aber hängt nun die Datenschutz-Folgenabschätzung mit dem VVT zusammen?

Im Verzeichnis kann auf Dokumente, Richtlinien, Vertragswerke, Rechtsgrundlagen, Maßnahmen, etc. verwiesen werden. Der Prozess ist somit als Verarbeitungstätigkeit bereits dokumentiert und es kann direkt eine Datenschutz-Folgenabschätzung (falls notwendig) als Maßnahme abgeleitet werden. Diese Funktion ist bereits in unserem GRC-COCKPIT umgesetzt. Aber dazu später mehr …

Was ist eigentlich eine Datenschutz-Folgenabschätzung (DSFA)?

Eine DSFA ist eine Form der Risikobewertung inkl. möglicher Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Führt die Art der Verarbeitung voraussichtlich zu einem hohen Risiko für die Betroffenen, so muss der Verantwortliche vorab (also vor Inkrafttreten dieser neuen Verarbeitungstätigkeit) eine Datenschutz-Folgenabschätzung durchführen. Dabei holt er den Rat des Datenschutzbeauftragten (sofern ein solcher benannt wurde) ein (gemäß Art. 35 Abs. 2 DS-GVO). Dieser prüft die Risiken und gibt abschließend eine Empfehlung / Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab.

Wann ist eine DSFA notwendig?

Gemäß Art. 35 Abs. 1 DS-GVO ist eine Datenschutz-Folgenabschätzung durchzuführen, wenn:

„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat]“.

In Art. 35 Abs. 3 DS-GVO werden folgende Beispiele genannt:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO oder
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Was bedeutet das nun für uns in der Praxis?

An dieser Stelle möchte ich zum einen die abgestimmte „Muss-Liste“ der Datenschutzkonferenz (DSK – Gremium der deutschen Datenschutzaufsichtsbehörden) und zum anderen ein Working Paper (WP) der Art. 29 Gruppe erwähnen. Diese beiden Quellen haben es mir leichter gemacht, das Thema DSFA besser einordnen und umsetzen zu können.
In der sogenannten „Muss-Liste“ (DSFA_MUSS_LISTE_DSK_DE.PDF – Stand 17.10.2018) werden Beispiele von Verarbeitungstätigkeiten aus der Praxis aufgeführt, für die eine DSFA zwingend durchzuführen ist.

Screenshot der Liste der Verarbeitungstätigkeiten Datenschutz-Folgenabschätzung

Screenshot: Auszug aus der DSK „Muss-Liste“

Im WP 248 (Stand 04.10.2017) hingegen, werden ab Seite 10 insgesamt 9 Kriterien aufgeführt, die für die eigene Bewertung hinzugezogen werden können, wenn die betreffende Verarbeitungstätigkeit nicht in der Muss-Liste aufgeführt ist. Außerdem sind ebenfalls Praxisbeispiele zur Orientierung aufgeführt.

Screenshot Auszug aus dem Working Paper 248 - Kriterien

Auszug aus dem Working Paper 248 – Kriterien

Screenshot Auszug aus dem Working Paper 248 - Praxisbeispiele

Auszug aus dem Working Paper 248 – Praxisbeispiele

Um es auch unseren Kunden des GRC-COCKPIT bei der Entscheidung „Datenschutz-Folgenabschätzung, ja/nein?“ einfacher zu machen, haben wir eine Checkliste mit den Inhalten aus den oberen beiden Dokumenten in die Software eingebaut. Anhand der Liste kann der User die Bewertung pro Verarbeitungstätigkeit durchführen und die entsprechenden Antworten vermerken.

Screenshot GRC-COCKPIT „Checkliste DSFA”

Auszug GRC-COCKPIT „Checkliste DSFA”

Wird mind. eine Frage mit ja beantwortet, so wird im GRC-COCKPIT systemtechnisch mittels eines Anwenderhinweises nachgefragt, ob eine Maßnahme „Datenschutz-Folgenabschätzung durchführen“ abgeleitet werden soll. Wird dies bestätigt, hat der Verantwortliche gleich eine Maßnahme im System hinterlegt und kann dies nicht mehr vergessen. Wird keine Maßnahme erstellt, so wird nur die Checkliste mit den aktuellen Angaben gespeichert.

Screenshot GRC-COCKPIT „Maßnahme DSFA ableiten?”

Auszug GRC-COCKPIT „Maßnahme DSFA ableiten?”

In der Verarbeitungstätigkeit selbst ist dann der aktuelle Status entsprechend dokumentiert:

Auszug GRC-COCKPIT „Datenschutz-Folgenabschätzung notwendig? Status offen / ja / nein”

Auszug GRC-COCKPIT „Datenschutz-Folgenabschätzung notwendig? Status offen / ja / nein”

Wie ist eine DSFA durchzuführen?

Gemäß Art. 35 Abs. 7 müssen folgende Punkte enthalten sein:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Sie sehen, auch beim Thema Datenschutz-Folgenabschätzung nutzen wir Orientierungshilfen und Kurzpapiere der Aufsichtsbehörden bzw. der Datenschutzkonferenz. So treiben wir Stück für Stück unser Datenschutz-Projekt voran und entwickeln parallel unsere eigene GRC-Software (GRC-COCKPIT) weiter, damit wir unseren Kunden auch weiterhin passende Lösungen für aktuelle Anforderungen bieten können.

…to be continued:

Hier die Zusammenfassung der wichtigsten Erkenntnisse zum Thema Datenschutz-Folgenabschätzung:

  • Datenschutz-Folgenabschätzung hört sich komplizierter an, als sie ist
  • Orientierungshilfen und Kurzpapiere können eine gute Grundlage geben, um die Artikel der DS-GVO praxistauglich umzusetzen
  • es lohnt sich, Zeit und Mühe in das Verzeichnis von Verarbeitungstätigkeiten zu stecken, da die Notwendigkeit einer DSFA direkt aus der einzelnen Verarbeitungstätigkeit bewertet werden kann
  • es ist sehr hilfreich, alles in einem System (z. B. unser GRC-COCKPIT) abbilden zu können, so werden Doppelerfassungen und Abweichungen vermieden und es findet eine zentrale Dokumentation und Kontrolle statt.

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

 

Verzeichnis von Verarbeitungstätigkeiten aufbauen

GRC@SAVISCON: Datenschutz-Management

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „GoBD – was hat sich geändert?“ der Reihe GRC@SAVISCON über die Aktualisierungen der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) berichtet haben, soll es heute um das Verzeichnis von Verarbeitungstätigkeiten gehen.

Ein kurzer Rückblick:

Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag.

In meinem letzten Blog zum Thema Datenschutz habe ich über das Verzeichnis von Verarbeitungstätigkeiten berichtet und darüber, dass das Verzeichnis als Zentrum bzw. Kern angesehen werden kann. Die komplette Dokumentation lässt sich um das Verzeichnis herum aufbauen und es kann auf Dokumente, Richtlinien, Vertragswerke, Rechtsgrundlagen und Maßnahmen verwiesen werden.

Was gehört alles in das Verzeichnis von Verarbeitungstätigkeiten?

Zur besseren Übersicht kann man mit dem Verzeichnis in übergeordneten Gruppen/Abteilungen starten (z. B. Personal, Buchhaltung, Vertrieb, Marketing) und dann mit Unterstützung der KollegInnen die entsprechenden Verarbeitungstätigkeiten darunter sammeln. Eine Verarbeitungstätigkeit stellt einen Prozess dar, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden, z. B. die Lohn- und Gehaltsabrechnung, ein System zur Zeiterfassung, das Bewerbermanagement oder die Videoüberwachung von Verkaufsräumen.

Detailtiefe bestimmen – eine Herausforderung

Als wir mit unserem Verzeichnis gestartet sind, haben wir uns immer wieder die Frage gestellt, was eigentlich als eine Verarbeitungstätigkeit zu sehen ist – wie feingranular muss das Verzeichnis aufgebaut werden? Hier kann keine pauschale Aussage getroffen werden, denn jedes Unternehmen ist individuell zu betrachten und natürlich spielt auch die Größe des Unternehmens eine Rolle. Aber wir haben für die SAVISCON entschieden, dass wir immer eine neue Verarbeitungstätigkeit dokumentieren, sobald sich die Kategorie der Daten oder die Gruppe der Empfänger unterscheidet.

Hier ein Beispiel aus der Praxis:

Mehrmals im Jahr führen wir Telemarketing-Aktionen über einen Dienstleister durch. Hierbei handelt es sich immer wieder um die gleichen Datenkategorien (Personendaten, Kontaktdaten) und auch die Empfänger (Dienstleister A und die Deutsche Post) sind identisch. Dieser Prozess wird als eine Verarbeitungstätigkeit in unserem Verzeichnis geführt, obwohl sie mehrmals im Jahr zu unterschiedlichen Themen/Produkten durchgeführt wird. In unserem GRC-COCKPIT ist dieser Prozess dann auch mit den Stammdaten von Dienstleister A verknüpft inkl. Dienstleistungsvertrag und Auftragsverarbeitungsvertrag.

Screenshot aus dem GRC-COCKPIT

Verknüpfung vom Prozess und der Verarbeitungstätigkeit mit dem Partner.

Wenn wir jetzt aber eine Telemarketing-Aktion mit einem anderen Dienstleister durchführen, wird es dazu eine neue, weitere Verarbeitungstätigkeit in unserem Verzeichnis geben. Auch wenn die gleichen Datenkategorien verarbeitet werden, haben wir einen anderen Empfänger der Daten (Dienstleister B und die Deutsche Post). Der neue Dienstleister wird ebenfalls in unserem GRC-COCKPIT als Partner erfasst und sämtliche Verträge damit verknüpft (Hauptvertrag und AV-Vertrag). So können wir ein strukturiertes Verzeichnis sicherstellen und behalten zusätzlich den Überblick über die Auftragsverarbeiter und die dazugehörigen Verträge. Endet eine Zusammenarbeit mit einem der Auftragsverarbeiter, so kann die Verarbeitungstätigkeit geschlossen/deaktiviert werden. Müssen AV-Verträge aktualisiert werden, kann ich über aktive Verarbeitungstätigkeiten die Auftragsverarbeiter ermitteln, die Aktualisierung strukturiert angehen und im GRC-COCKPIT zur besseren Nachverfolgung Termin-Überwachungen einrichten.

Screenshot aus dem GRC-COCKPIT

Verknüpfung von Partner mit Maßnahme und Anhängen.

Wie erkenne ich eine Verarbeitungstätigkeit?

Eine weitere Frage, die uns immer wieder beschäftigt: ist das überhaupt eine Verarbeitungstätigkeit und wenn ja, von uns oder von unserem Dienstleister? Wieder ein Beispiel aus der Praxis: Webinare über XING bewerben.
Wir haben uns dazu entschlossen, kostenfreie Webinare anzubieten und über XING zu bewerben. Wir nutzen XING als Dienstleister und XING schlägt unser Event in unserem Auftrag beispielsweise allen IT-Leitern vor und macht sie so auf unser Webinar-Angebot aufmerksam. Da wir in diesem Szenario keine Personen direkt anschreiben, findet keine Verarbeitung von personenbezogenen Daten durch uns statt, also keine Verarbeitungstätigkeit von uns – wohl aber von XING. Erst durch eine aktive Anmeldung zum Webinar erhalten wir personenbezogene Daten (Name, E-Mail-Adresse, etc.) und nutzen diese für die Termineinladung – erst jetzt ist es eine Verarbeitungstätigkeit für unser Verzeichnis.

Warum das Verzeichnis so wichtig ist:

Wie eingangs erwähnt, kann das Verzeichnis den zentralen Kern darstellen, um den man alles weitere aufbaut:

Grafik Verzeichnis von Verarbeitungstätigkeiten als Kern

Das Verzeichnis von Verarbeitungstätigkeiten als Kern des Datenschutz-Managements.

Mit jeder dokumentierten Verarbeitungstätigkeit werden die dazugehörigen Maßnahmen (TOM) verknüpft und dokumentiert. Werden Auftragsverarbeiter eingesetzt, so können die entsprechenden Vertragswerke (Dienstleistungsverträge, AV-Verträge, etc.) hinterlegt werden. Ebenso können aus dem Verzeichnis heraus Richtlinien (z. B. Archivierungsrichtlinien, Passwortrichtlinien, etc.), Arbeitsanweisungen und Konzepte (z. B. Löschkonzept) verlinkt werden.
Zur Erfüllung eines Auskunftsersuchens (Betroffenenrechte laut DSGVO) liefert das Verzeichnis wichtige Informationen, nämlich welche Daten sind wo gespeichert und warum und wie lange. Und auch eine Datenschutz-Folgenabschätzung kann (falls notwendig) direkt aus der entsprechenden Verarbeitungstätigkeit abgeleitet werden. Sie sehen, es lohnt sich Zeit und Mühe in das Verzeichnis zu stecken, da viele andere Themen darauf aufgebaut werden können.

In meinem nächsten Datenschutz-Blog wird die Datenschutz-Folgenabschätzung (kurz: DSFA) Thema sein. Auch hier haben wir in unserem GRC-COCKPIT neue Features eingebaut. Lassen Sie sich überraschen …

…to be continued:

Hier die Zusammenfassung der neuen Erkenntnisse aus dem Projekt Datenschutz:

  • für die Struktur des Verzeichnisses am besten mit übergeordneten Gruppen (Abteilungen) starten und darunter die einzelnen Verarbeitungstätigkeiten sammeln
  • Festlegung treffen, wie feingranular das Verzeichnis aufgebaut werden soll
  • das Verzeichnis kann als Zentrum/Kern gesehen werden
  • es lohnt sich, Zeit und Mühe in das Verzeichnis zu stecken, da alles Weitere darauf aufbaut

Im nächsten Blog-Beitrag schauen wir wieder in das Projekt Datenschutz: Datenschutz-Folgenabschätzung.

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

GoBD – was hat sich geändert?

GRC@SAVISCON: Compliance-Management

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „GRC@SAVISCON: IT-Sicherheit“ der Reihe über unsere Schritte nach der Schutzbedarfsanalyse berichtet haben, soll es heute um Compliance gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Compliance.

In meinem letzten Compliance-Blog-Beitrag habe ich über die Vorschrift GoBD geschrieben (GoBD = „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“) und dass sie zuletzt mit dem Stand von November 2019 zum 01.01.2020 aktualisiert wurde. Im GRC-COCKPIT hatten wir die GoBD als Norm bereits hinterlegt, haben jetzt aber festgestellt, dass wir die Aktualisierung der Norm noch durchführen müssen. Um welche Änderungen es sich genau handelt, will ich nun näher ausführen.

Am grundsätzlichen Aufbau der GoBD und der Nummerierung hat sich nicht viel verändert, aber es gibt einige Anpassungen, die aufgrund technischer Entwicklungen und zunehmender Digitalisierung längst überfällig waren. Hier ein paar Beispiele:

Verwendung von Cloudtechnologien

Im Kapitel 1.11 Datenverarbeitungssystem wurde unter Punkt 20 ergänzt, dass die Nutzung von Cloudsystemen ebenso möglich ist. Das Datenverarbeitungs- und Ablagesystem kann auch aus einer Kombination von eigener Hard- bzw. Software und einem Cloudsystem betrieben werden. Wichtiger Hinweis: Befindet sich der Cloud-Server im Ausland, ist eine Genehmigung zur Aufbewahrung der Buchführungsunterlagen im Ausland gem. § 146 Abs. 2 AO erforderlich.

Auszug aus der GoBD Stand 01.01.2015 (alt): Auszug aus der GoBD Stand 01.01.2020 (neu):

Digitalisierung von Belegen

Im Kapitel 9.2 Elektronische Aufbewahrung ist unter Punkt 130 beschrieben, dass Handels- oder Geschäftsbriefe sowie Buchungsbelege in Papierform empfangen und danach elektronisch erfasst (gescannt) werden dürfen. Durch die Aktualisierung wird nun klargestellt, dass auch das mobile Scannen bzw. Abfotografieren mittels Smartphone erlaubt ist. Dies gilt sowohl im In- als auch im Ausland und stellt gerade bei Reisekostenabrechnungen eine erhebliche Erleichterung dar. Das elektronische Dokument muss selbstverständlich weiterhin bildlich mit dem Original übereinstimmen.

Auszug aus der GoBD Stand 01.01.2015 (alt): Auszug aus der GoBD Stand 01.01.2020 (neu):

Umwandlung (Konvertierung) und Aufbewahrung von Belegen

Ebenfalls im Kapitel 9.2 Elektronische Aufbewahrung ist unter Punkt 135 eine weitere Erleichterung zu finden, und zwar ist es zukünftig ausreichend die konvertierte Fassung aufzubewahren, wenn bestimmte Voraussetzungen erfüllt sind (s. nachfolgenden Auszug). Die Ursprungsversion kann dann vernichtet werden.

Auszug aus der GoBD Stand 01.01.2015 (alt): Auszug aus der GoBD Stand 01.01.2020 (neu):

Verfahrensdokumentation

Für jedes buchführungsrelevante IT-System muss eine Verfahrensdokumentation geführt werden (Kapitel 10.1 Verfahrensdokumentation Punkt 154). Bislang war vorgeschrieben, bei Änderungen immer eine neue Version zu erstellen. Dies wurde nun vereinfacht: es reicht zukünftig aus, wenn die Änderungen versioniert sind und eine nachvollziehbare Änderungshistorie vorgehalten wird.

Auszug aus der GoBD Stand 01.01.2015 (alt): Auszug aus der GoBD Stand 01.01.2020 (neu):

Aber es gibt nicht nur Erleichterungen, die die aktualisierte GoBD mit sich bringt. Hier zum Beispiel auch eine verschärfende Anpassung:

Zeitgerechte Buchungen

Bisher wurde eine tägliche Erfassung von Kasseneinnahmen und Kassenausgaben empfohlen, nun ist die tägliche Erfassung verbindlich vorgeschrieben (Kapitel 3.2.3 Zeitgerechte Buchungen und Aufzeichnungen Punkt 48):

Auszug aus der GoBD Stand 01.01.2015 (alt): Auszug aus der GoBD Stand 01.01.2020 (neu):

Weiterentwicklung GRC-COCKPIT

Es ist wichtig bei Neuerungen eines Gesetzes oder einer Vorschrift die Neuerungen zu (er)kennen, einen eventuellen Änderungsbedarf festzustellen, die eigenen Prozesse dahingehend zu prüfen, und daraus passende Maßnahmen / Anpassungen zu ergreifen, wenn notwendig. Um unsere Kunden hierbei mit unserem GRC-COCKPIT unterstützen zu können, entwickeln wir das System kontinuierlich weiter. Bislang ist der Aktualisierungsservice nur für gängige Gesetze (die im Internet abrufbar sind) möglich, doch unsere Entwicklungsabteilung ist gerade dabei, die Funktion technisch zu erweitern. So soll es zukünftig möglich sein, anhand von zwei PDF-Dateien individuell einen Abgleich zu starten, der textliche Änderungen/Ergänzungen hervorbringt. So können auch diverse Vorschriften, wie z. B. eine Neufassung der GoBD über den Aktualisierungsservice aktualisiert werden.
Die Änderungen werden im System in der entsprechenden Norm kenntlich gemacht und es soll ebenso ein Hinweis an den Anwender erfolgen, dass sich etwas geändert hat, ein sogenannter Alert. Bei bestehendem Handlungsbedarf können dann gleich im System Maßnahmen angepasst oder neue Maßnahmen abgeleitet werden.

GoBD in der Praxis

Da wir nun Klarheit haben, welche Änderungen die aktualisierte Version der GoBD beinhaltet, ist die praktische Umsetzung intern in vollem Gange. Wir prüfen unsere Prozesse, führen bei Bedarf Anpassungen durch und ergreifen ggf. neue Maßnahmen. Zum Beispiel haben wir die E-Mail-Archivierung vollständig umgesetzt. Warum ist das wichtig?

Wie in meinem letzten Blog „Zu klein für Compliance?“ bereits ausführlich berichtet, nimmt der Versand von elektronischen Rechnungen und aufbewahrungspflichtigen Handelsbriefen per E-Mail immer mehr zu. Hier ist die GoBD-konforme Aufbewahrung zu beachten und die E-Mail-Archivierung ist unumgänglich. Demnach muss beispielsweise die Buchhaltung E-Mails mit steuerrelevanten Dokumenten elektronisch aufbewahren. Es ist aber nicht ausreichend, die E-Mails einfach im Mailprogramm (ggf. in Unterordner) aufzubewahren. Denn dort sind Grundsätze der GoBD (z. B. Unveränderbarkeit, die zuverlässige Protokollierung von Änderungen und die Indexierung) nicht gewährleistet. Es ist aber auch nicht zwingend notwendig, alle E-Mails zu archivieren. E-Mail-Korrespondenz, die keiner Aufbewahrungspflicht unterliegt und auch keine steuerrelevanten Daten beinhaltet muss nicht archiviert werden.

Wir haben uns im ersten Schritt für eine E-Mail-Archivierung über unseren Hosting-Anbieter entschieden. Uns war wichtig, dass die Sicherung in deutschen Rechenzentren und natürlich GoBD-konform stattfindet. Aufgrund unserer noch überschaubaren Firmengröße ist die Entscheidung erstmal gegen ein professionelles Dokumentenmanagement-System (DMS) gefallen. Aber was nicht ist, kann ja noch werden. Zu einem späteren Zeitpunkt ist ein DMS für uns auf jeden Fall ein nächster Schritt. Durch unsere aktuelle Archivierungslösung sind jedenfalls die maschinelle Auswertbarkeit, die Volltextrecherche und die Unveränderbarkeit gewährleistet.

Wie sieht es bei Ihnen aus? Sind Sie in Ihrem Unternehmen GoBD-konform oder sind noch Anpassungen notwendig?

…to be continued:

Hier die Zusammenfassung unserer neuen Erkenntnisse:

  • Änderungen in Gesetzen und Vorschriften immer im Auge behalten
  • Änderungsbedarf ist immer individuell für jedes Unternehmen zu betrachten
  • Maßnahmen sind ebenso individuell (je nach Risikobetrachtung) verhältnismäßig umzusetzen
  • Klein anfangen (E-Mail-Archivierung über Hosting-Anbieter) und nach und nach optimieren/ausbauen (eigenes DMS)
  • Compliance ist kein Projekt mit einem festen Ende – Compliance ist ein dauerhafter Prozess, der gelebt werden muss

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Datenschutz: Verzeichnis von Verarbeitungstätigkeiten aufbauen.

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

GRC@SAVISCON: IT-Sicherheit

Schutzbedarfsfeststellung – und jetzt?

von Ingo Simon, Geschäftsführer bei der SAVISCON GmbH

Im letzten Beitrag aus unserer Reihe GRC@SAVISCON hat Uwe Straßberger über Risikobewertungen geschrieben. Jetzt geht‘s wieder um die IT-Sicherheit. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance– und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: IT-Sicherheit.

IT-Sicherheit: Sprint oder Marathon?

In unserem letzten Beitrag zum Thema IT-Sicherheit haben wir bereits beschrieben, wie wir unsere Assets gesammelt und in eine grobe Struktur gebracht haben. Inzwischen konnten wir unsere IT-Landschaft inklusive aller gehosteten Systeme ins GRC-COCKPIT aufnehmen und dokumentieren. Bis wir eine für uns handhabbare Struktur gefunden und die einzelnen Assets in diese Struktur einsortiert haben, hat es allerdings ein wenig gedauert. Die Diskussionen dazu waren nicht immer einfach – jeder hat seine individuelle Sicht auf die Dinge und sortiert bzw. verknüpft die Assets im Kopf anders. Wir haben nun eine Asset-Sicht, mit der wir erst einmal arbeiten wollen und die gut in unserem GRC-COCKPIT zu visualisieren ist. Wieder einmal haben wir festgestellt: IT-Sicherheit ist ein Prozess, der sich auf dem Weg weiterentwickelt. Also definitiv ein Marathon und kein Sprint.

Schutzbedarfsanalyse nach BSI

Auf der Basis unserer Asset-Struktur haben wir dann den Schutzbedarf der einzelnen Assets analysiert und dokumentiert. Dazu orientierten wir uns an den drei Standard-Grundwerten des Bundesamts für Sicherheit in der Informationstechnik (BSI): Vertraulichkeit, Integrität und Verfügbarkeit. Im GRC-COCKPIT können noch weitere Grundwerte selbst konfiguriert werden, aber wir haben uns erst einmal auf diese drei beschränkt. Eine Herausforderung liegt darin, den Schutzbedarf nicht nur aus dem Bauch heraus mit „normal“, „hoch“ oder „sehr hoch“ zu kategorisieren, sondern auch eine sinnvolle Begründung zu ergänzen, die die Auswahl der eingetragenen Kategorie rechtfertigt bzw. erläutert.

Beispiel Schutzbedarfsfeststellung

Am Beispiel der Fritz!Box im Büro kann man das gut erläutern: Für den Grundwert Verfügbarkeit trugen wir zu Beginn ein „sehr hoch“ ein. Schließlich braucht man ja im Office ein funktionierendes LAN/WLAN. Aber dann fiel uns auf, dass bei einem Ausfall eigentlich immer mit einem mobilen Gerät, also Handy oder Tablet, ein Backup zur Verfügung steht, mit dem ich in LTE-Geschwindigkeit auch mobil die Verbindung nach außen habe. Damit reicht für die Fritz!Box auch eine Verfügbarkeit „hoch“ oder sogar „normal“, weil die MitarbeiterInnen ohnehin derzeit im Homeoffice arbeiten. Zumindest hier im Hamburger Stadtgebiet. Auf dem Land sieht das möglicherweise ganz anders aus und die Standleitung ist da tatsächlich der heiße Draht zur Außenwelt.

Screenshot aus dem GRC-COCKPIT

Blick ins GRC-COCKPIT: So haben wir die Schutzbedarfsfeststellung für unseren FRITZ!Box Router im Büro umgesetzt.

Ach ja, Stichwort Homeoffice: Das muss natürlich bei der Schutzbedarfsanalyse mit einbezogen werden. Wir haben das unter den Standorten miterfasst und die Ausrüstung ist auch jeweils abgebildet, da bei uns jeder seinen eigenen Laptop hat, mit dem er oder sie auch im Homeoffice arbeitet.

Schutzbedarf festgestellt – und jetzt?

Was passiert als nächstes? Wir weichen da in der Reihenfolge ein wenig von der Vorgehensweise des BSI ab. In der aus unserer Sicht großartigen Arbeitshilfe des BSI, in dem am Beispiel der virtuellen RECPLAST GmbH die IT-Grundschutz Methodik von Anfang bis Ende durchgeführt wird, folgt nach der Schutzbedarfsfeststellung die sogenannte Modellierung des Unternehmens. Dort wird auf Basis der dokumentierten Assets geschaut, welche Anforderungen, aus welchen der zehn IT-Grundschutzbausteinen für das Unternehmen überhaupt zutreffen. Das ist notwendig, um dann schlank weiter in die Risikoanalyse zu gehen.

Wir haben uns entschieden, einen anderen Schritt vorzuziehen: Für alle Assets mit der Kategorie „sehr hoch“ in einem oder mehreren Grundwerten, dokumentieren wir erst einmal die Maßnahmen, die wir sowieso schon durchführen oder geplant haben, um entsprechend sicher unterwegs zu sein. So haben wir selbstverständlich das Standardpasswort der Fritz!Box bei Inbetriebnahme geändert. Die Durchführung der Maßnahme wollen wir im GRC-COCKPIT entsprechend dokumentieren. Denn in der Regel ist es ja so, dass schon eine Menge Maßnahmen etabliert sind, die man erst einmal einsammeln und aufschreiben muss. Das spart am Ende dann Arbeit.

…to be continued:

Hier die Zusammenfassung unserer Erkenntnisse:

  • Diskussionen sind wichtig: geben Sie ihnen Zeit und Raum, um eine zufriedenstellende Asset-Sicht auszuarbeiten
  • IT-Sicherheit ist ein Marathon und kein Sprint
  • Nicht immer ist der Schutzbedarf so hoch, wie man ihn im ersten Moment einschätzt
  • Die Arbeitshilfen des BSI sind großartig, jedoch nicht in Stein gemeißelt – man kann die Schritte flexibel den eigenen Bedürfnissen anpassen
  • Es kann sinnvoll sein die bereits bestehenden und geplanten Maßnahmen vorab zu sammeln

Im nächsten Blog-Beitrag schauen wir gemeinsam in das Projekt Compliance-Management: GoBD – was hat sich geändert?

Über den Autor:

Foto Ingo Simon

Ingo Simon (Geschäftsführer SAVISCON GmbH)

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de

GRC@SAVISCON: Risiko-Management

Wie versprochen geht in unserem heutigen Blog-Beitrag aus dem Projekt Risiko-Management um die Risikobewertung. Zur Erinnerung: Wir als SAVISCON GmbH bilden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) ab. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt.

GRC@SAVISCON: Compliance

Zu klein für Compliance?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „GRC@SAVISCON: Datenschutz“ der Reihe über den Start unseres Datenschutz-Managements berichtet haben, soll es heute um Compliance gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Compliance.

Ähnlich wie beim Thema Datenschutz stellte ich mir auch hier die Frage: wo fange ich da am besten an? Was ist „Compliance“ überhaupt? Der englische Begriff wird sinngemäß wie folgt definiert: Compliance ist die Einhaltung von Gesetzen, Normen und Regeln. Früher war Compliance überwiegend ein Thema für die Bankwirtschaft und Versicherungsbranche, doch mittlerweile entwickelt sich in vielen unterschiedlichen Unternehmen immer stärker eine Compliance-Kultur. Angefangen mit Richtlinien, wie z. B. Verhaltensregeln des Unternehmens, die im Intranet veröffentlicht werden. Solche Richtlinien können Regeln bezüglich des Datenschutzes und der Gleichbehandlung enthalten, aber auch Regeln zur Vermeidung von Korruption sowie Vorschriften zum Arbeitsschutz. Aber auch eine Geschäftsordnung oder Satzung, ein Whistleblowing-System und auch gesetzliche Vorgaben können Teil eines Compliance-Programmes sein.

Compliance-Treiber

Ist Compliance für alle Unternehmen wichtig? Ja! Ist die SAVISCON GmbH nicht zu klein, um sich mit diesem Thema beschäftigen zu müssen? Nein, ist sie nicht! Natürlich sind die Risiken unterschiedlich zu bewerten – je nach Unternehmensgröße (Mitarbeiteranzahl, Umsatz, etc.). Aber jede Geschäftsleitung ist verpflichtet, sämtliche geltenden Gebote und Verbote zu kennen und zu beachten. Ist das nicht der Fall, können rechtliche Folgen (Geldbußen, Freiheitsstrafen, Ersatzansprüche, Auftragssperren) oder auch Reputations- und Vertrauensverluste drohen.

Nutzen + Akzeptanz

Durch eine funktionierende Compliance-Kultur im Unternehmen werden nicht nur hohe Kosten durch evtl. entstehende Bußgelder vermieden, sondern es erhöht sich die Transparenz und das gegenseitige Vertrauen wird weiter gefördert. Wie bei vielen anderen Themen auch, erfordert eine wirksame Compliance-Kultur aber das tatsächliche Handeln aller, und zwar auf allen Hierarchieebenen. Werte können nur glaubhaft vermittelt werden, wenn diese auch erkennbar von der Unternehmensleitung selbst vorgelebt werden. Ist dies nicht der Fall, wird aufgrund fehlender Akzeptanz auch keine Compliance-Kultur im Unternehmen gelebt werden.

Compliance-Management-System

Um eine Compliance-Organisation aufzubauen, zu dokumentieren, zu überwachen und weiterzuentwickeln ist ein Compliance-Management-System sinnvoll. Wir nutzen hier wieder unser GRC-COCKPIT. Doch wie starte ich nun am besten? Im ersten Schritt sind die Risiken zu identifizieren und zu bewerten. Wenn Sie sich erinnern, hat dazu mein Kollege Uwe Straßberger bereits einen Blog geschrieben (NO RISK – MORE FUN! GRC@SAVISCON) und ein bisschen aus dem Nähkästchen geplaudert. Wenn wir mit der Risikoidentifizierung und Risikobewertung fertig sind, geht es darum, mit meinen Kollegen ein gemeinsames Verständnis für die aktuelle Risikosituation zu erreichen. Welche Compliance-Risiken liegen vor und mit welchen Maßnahmen können wir hier gegensteuern? Dazu aber mehr in einem der nächsten Blog-Beiträge.

Compliance in der Praxis

Parallel zum Thema Risiko haben wir uns dazu entschlossen, eine Vorschrift näher zu betrachten, und zwar die GoBD: die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Die GoBD und deren Vorgaben sind relevant für alle EDV-Systeme, die steuerrelevante Daten erfassen bzw. verarbeiten. Mit diesen Systemen ist aber nicht nur das Buchführungsprogramm gemeint, sondern auch sogenannte Vor- und Nebensysteme (z. B. Zeiterfassungssysteme, elektronische Waagen, Software zur Erfassung von Dienstreisen o. ä.)

Die erste GoBD wurde zum 01.01.2015 eingeführt und zuletzt mit dem Stand von November 2019 zum 01.01.2020 aktualisiert. Im GRC-COCKPIT hatten wir die GoBD als Norm bereits hinterlegt, haben jetzt aber festgestellt, dass wir die Aktualisierung der Norm noch durchführen müssen. Mit dem neuen Stand wurden einige Änderungen und Vereinfachungen für die Praxis eingeführt. Man sollte also immer darauf achten, auf dem aktuellen Stand der Dinge zu sein. Hier zwei Auszüge aus dem GRC-COCKPIT zur GoBD:

Blick ins GRC-COCKPIT, hier OdG

Blick ins GRC-COKPIT: hier alle relevanten Anforderungen aus den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff.

OdG im GRC-COCKPIT

Blick in die Anforderung „Datenverarbeitungssystem; Haupt-, Vor- und Nebensysteme.

Gerade sichten wir die Neuerungen zur aktuellen Version und pflegen diese im GRC-COCKPIT entsprechend ein. Der aktuelle Stand steht dann selbstverständlich auch unseren Kunden als Norm zur Verfügung.

GoBD Praxis-Beispiel

Aber jetzt zu einem Beispiel aus der Praxis: Die Ordnungsmäßigkeit elektronischer Bücher und sonst erforderlicher elektronischer Auszeichnungen ist nach den gleichen Prinzipien zu beurteilen wie die Ordnungsmäßigkeit bei manuell erstellen Büchern und Aufzeichnungen. Das bedeutet beispielsweise, dass elektronische Daten auch elektronisch archiviert werden müssen. Da der Versand von elektronischen Rechnungen und aufbewahrungspflichtigen Handelsbriefen per E-Mail immer mehr zunimmt, ist die GoBD-konforme Aufbewahrung zu beachten und die E-Mail-Archivierung unumgänglich. Demnach muss beispielsweise die Buchhaltung E-Mails mit steuerrelevanten Dokumenten elektronisch aufbewahren.

Die Archivierung gemäß der GoBD umfasst fünf zentrale Aspekte:

  • Originalformat (Die Buchhaltung darf eine Rechnung, die per E-Mail eingeht, nicht einfach ausdrucken und abheften. Vielmehr gilt es, das Originalmedium zu verwenden. Jedes Dokument muss in seiner überbrachten Form archiviert werden. Eine Papierrechnung kommt in den Aktenordner, während die E-Mail in einem elektronischen Archiv abgespeichert wird.)
  • Unveränderbarkeit (Die elektronischen Dokumente dürfen nicht im Nachhinein bearbeitet und verändert werden. Sie müssen in einer Form abgelegt werden, dass Unbefugte das Dokument nicht öffnen oder transferieren können.)
  • Volltextsuche (Das Finanzamt bekommt bei einer Betriebsprüfung Zugang zum Datensystem. Dem Betriebsprüfer wird hier nicht nur ein betriebsinterner Rechner für seine Prüfung zur Verfügung gestellt, sondern es muss auch alles über eine Volltextsuche einfach aufzufinden sein. Die E-Mails müssen im Originalzustand vorhanden sein (keine Screenshots oder Scans).
  • Ordnungssystem (Durch die Zuweisung von eindeutigen Indices muss das Ordnungssystem gut überschaubar sein. Der Index muss die Suche nach bestimmten Dokumenten erleichtern. Um E-Mails GoBD-konform zu archivieren, müssen sie eine Zuordnung zu einem Geschäftsvorgang erkennen lassen.)
  • Transparenz (Das Ordnungssystem muss so aufgebaut sein, dass eine externe Person die Struktur leicht verstehen kann. Um dem Betriebsprüfer seine Arbeit zu erleichtern, können schriftliche Anleitungen den Aufbau der Struktur in der Archivierung dokumentieren.)

Außerdem sind je nach Dokument unterschiedliche Aufbewahrungsfristen zu beachten: E-Mails, die für die Steuerbehörden von Interesse sein können, müssen für sechs bis zehn Jahre elektronisch archiviert werden. Was passiert eigentlich, wenn man als Unternehmer die Vorgaben der GoBD nicht erfüllt? Das kann dazu führen, dass das Finanzamt wichtige Dokumente nicht anerkennt. In der Folge können evtl. Steuerabzüge nicht geltend gemacht werden, was zu höheren Steuerabgaben führen kann. Es lohnt sich also hier dranzubleiben und das Thema Compliance nicht aus den Augen zu verlieren. Auch wenn das Unternehmen noch so klein ist …

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt Compliance:

  • Compliance ist für alle Unternehmensgrößen ein wichtiges und notwendiges Them
  • Nur wenn die Unternehmensleitung Compliance vorlebt und mit gutem Beispiel vorangeht, kann eine wirksame Compliance-Kultur entstehen
  • Auch bei knappen Ressourcen darf das Thema nicht außer Acht gelassen werden
  • Compliance funktioniert nur in Verbindung mit einem guten Risiko-Management

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Risiko-Management: Wie funktioniert die Risikobewertung?

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

GRC@SAVISCON: Datenschutz

Los geht‘s: Wie wir den Datenschutz intern umsetzen

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „Step by step“ der Reihe GRC@SAVISCON über den Start unseres IT-Sicherheitsmanagements berichtet haben, soll es heute um den Datenschutz gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Datenschutz.

Datenschutz in der Praxis: wie geht das?

Vielleicht geht es Ihnen wie es mir bei meinem vorherigen Arbeitgeber erging, dort habe ich mich als Datenschutzkoordinatorin oft gefragt: was bedeuten die Anforderungen aus der EU-Datenschutz-Grundverordnung (DSGVO) eigentlich für uns in der Praxis? Wie genau ist das alles umzusetzen? Auch heute – nach meiner Ausbildung zur Datenschutzbeauftragten ist das teilweise noch immer so. Ja, ich kenne und verstehe die Hintergründe besser und sammle immer mehr Erfahrung auf dem Gebiet, aber die DSGVO ist in vielen Punkten einfach noch unscharf. In vielen Bereichen fehlen eindeutige Gerichtsurteile und das wird auch noch einige Zeit dauern. Aber: es gibt viele Orientierungshilfen, Kurzpapiere, Leitlinien und Muster u. a. von der deutschen Datenschutzkonferenz und den Aufsichtsbehörden der einzelnen Bundesländer, die sehr hilfreich sind. Auch unterschiedliche Fachliteratur und Fachzeitschriften können weitere Orientierung bringen. Dazu später mehr.

Datenschutz-Management: das Fundament

Das Thema Datenschutz wird oft als unliebsames Thema gesehen, das die Unternehmen mit zig Regelungen immens einschränkt, keine praktikablen Lösungen für die wirkliche Praxis bietet und eigentlich nur Zeit und Geld kostet. Deshalb ist es wichtig, dass die Führungsetage hinter dem Thema steht und die nötigen Ressourcen zur Verfügung stellt. Unser Geschäftsführer, Ingo Simon, hat die Wichtigkeit dieses Themas erkannt und die notwendigen Ressourcen bereitgestellt. Dafür bin ich der lebende Beweis, denn meine Stelle als Consultant Compliance und Datenschutz sowie interne Datenschutzbeauftragte wurde im Januar 2021 neu geschaffen. So steht einem guten Start nichts im Wege. Doch wo fängt man an?

Verzeichnis von Verarbeitungstätigkeiten

Die DSGVO bietet 99 Artikel, da kann man schon mal den Überblick fürs Wesentliche verlieren und scheut sich vielleicht überhaupt erst anzufangen. Hier kann ich empfehlen, kleine Meilensteine / Arbeitspakete zu schnüren. Wir haben uns dazu entschieden, erstmal unser „Verzeichnis von Verarbeitungstätigkeiten“ aufzubauen. Warum? Ein kurzer Einstieg in zwei Artikel der DSGVO: Im Artikel 5 Abs. 1 werden die Grundsätze für die Verarbeitung personenbezogener Daten beschrieben (z. B. Rechtmäßigkeit, Zweckbindung, Datenminimierung). Im Abs. 2 heißt es, dass der Verantwortliche für die Einhaltung des Absatzes 1 verantwortlich ist und dessen Einhaltung nachweisen können muss („Rechenschaftspflicht“). Im Artikel 24 Abs. 1 sind die Pflichten des Verantwortlichen im Hinblick auf die zu ergreifenden technischen und organisatorischen Maßnahmen aufgeführt. Wir als Unternehmen müssen also den Nachweis erbringen können, dass wir die Anforderungen aus der DSGVO umgesetzt haben. Dazu gehört natürlich auch der Nachweis der umgesetzten Maßnahmen.

Das Verzeichnis von Verarbeitungstätigkeiten erfüllt demnach gleich mehrere Funktionen. Zum einen soll mit der Führung des Verzeichnisses der Nachweis zur Einhaltung der Vorgaben gemäß DSGVO erfolgen. Zum anderen ist jeder Verantwortliche bzw. jeder Auftragsverarbeiter verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten und auf Anfrage das entsprechende Verzeichnis vorzulegen (Art. 30 DSGVO). Sie können das Verzeichnis auch als „Zentrum/Kern“ des Ganzen sehen, denn die komplette Dokumentation lässt sich um das Verzeichnis herum aufbauen, in dem auf Dokumente, Richtlinien, Vertragswerke, Rechtsgrundlagen verwiesen werden kann.

Übrigens: Die Datenschutzkonferenz hat hier ein Kurzpapier zum Verzeichnis von Verarbeitungstätigkeiten (Kurzpapier Nr. 1 – Stand 17.12.2018) herausgegeben, um eine einheitliche Handhabung bei der Führung des Verzeichnisses zu erreichen. Alle Kurzpapiere sind im Internet auf der Seite der Datenschutzkonferenz veröffentlicht: Datenschutzkonferenz (datenschutzkonferenz-online.de).

Wie setze ich das Verzeichnis von Verarbeitungstätigkeiten auf?

Zum Start des Verzeichnisses habe ich erstmal sämtliche Kolleginnen/Kollegen mit „ins Boot“ geholt. Ich allein kann unmöglich alle Verarbeitungstätigkeiten im Haus kennen, deshalb bin ich auf die Mithilfe der anderen Mitarbeiter angewiesen. Dazu habe ich mit allen Kollegen virtuell gesprochen, alle Tätigkeiten gesammelt und grob beschrieben. Wir bilden das im GRC-COCKPIT in der Prozessdokumentation der Stammdaten ab. Ein Prozess oder Teilprozess, der eine Verarbeitungstätigkeit darstellt, bekommt eine entsprechende Markierung. Dadurch werden die spezifischen Detailfelder, die ich im nächsten Abschnitt erwähne, aktiviert und können gefüllt werden. Aus den eingegebenen Daten kann per Knopfdruck ein Bericht erstellt werden, der alle diese markierten Prozesse enthält und damit unser Verzeichnis der Verarbeitungstätigkeiten darstellt. Dieser Bericht kann dann der Aufsichtsbehörde zur Verfügung gestellt werden.
Übrigens: unser Entwicklungsteam wird hier permanent mit eingebunden. Wenn sich neue oder verbesserte Funktionen aus der Praxis ergeben und bei unserer Nutzung bewähren, übernehmen wir sie auch in das GRC-COCKPIT für unsere Kunden. Unser Ansporn ist es, das GRC-COCKPIT stetig zu verbessern, sodass wir unseren Kunden eine Software aus der Praxis, für die Praxis bieten können!

Verzeichnis von Verarbeitungstätigkeiten mit Details verfeinern

Im nächsten Schritt (dort stehen wir aktuell) wird jede einzelne Verarbeitungstätigkeit im GRC-COCKPIT erfasst und zur weiteren Erhebung von Details an den jeweils verantwortlichen Mitarbeiter geschickt. Das bedeutet, dass jeder verantwortliche Mitarbeiter über das Tool eine Aufgabe mit einer Deadline erhält. Über den „Health Check“ im System kann ich mir anzeigen lassen, wie viele Aufgaben zur Detailerfassung der Verarbeitungstätigkeiten noch offen sind. So kann ich nichts vergessen. In den Details werden z. B. die Betroffenengruppen, die Datenkategorien, die Empfänger und Löschfristen hinterlegt sowie Risikobewertungen durchgeführt. Selbstverständlich werden dort auch Verknüpfungen zu den technischen und organisatorischen Maßnahmen hergestellt, z. B. Verweis auf IT-Sicherheitskonzept, Berechtigungskonzept, Richtlinien, etc. Hierbei wird klar erkennbar, dass die Themenfelder Datenschutz, IT-Sicherheit und Risiko-Management sich überlappen bzw. eng miteinander verbunden sind. Demnach ist der Austausch mit meinen Kollegen aus den Projekten Risiko-Management und IT-Sicherheit zwingend notwendig, um auch Doppelarbeit zu vermeiden. Die Kommunikation ist aber auch wichtig, um ein gemeinsames Verständnis von Definitionen zu erhalten. Immer wieder stolpern wir darüber, was eigentlich eine Anforderung und was eine Maßnahme ist und, wie detailliert ein Risiko formuliert sein sollte.

Hier habe ich ein konkretes Beispiel zum besseren Verständnis herausgesucht:

Norm: EU-Datenschutz-Grundverordnung
Anforderung_1: Führen des Verzeichnisses von Verarbeitungstätigkeiten (gemäß Art. 30 DSGVO
Anforderung_2: Erfüllung der Rechenschaftspflicht (gemäß Art. 5 Abs. 2 DSGVO)
Anforderung_3: Beschreibung der technischen und organisatorischen Maßnahmen (gemäß Art. 24 Abs. 1 + Art. 32 Abs. 1 DSGVO)
Maßnahme_a: Erfassen aller Verarbeitungstätigkeiten mit allen geforderten Pflichtangaben im GRC-COCKPIT
Maßnahme_b: Regelmäßige Pflege und Aktualisierung der Verarbeitungstätigkeiten mit allen geforderten Pflichtangaben im GRC-COCKPIT
Risiko: Sanktionen (Geldbuße) bei fehlendem bzw. nicht vollständigem Verzeichnis von Verarbeitungstätigkeiten (gemäß Art. 83 Abs. 4 lit. a DSGVO)

Das ist natürlich nur ein Auszug an Anforderungen, Maßnahmen und Risiken. Zur vollständigen Erfüllung der Rechenschaftspflicht sind z. B. noch viele weitere Maßnahmen notwendig. Unser Ziel ist es, alle Anforderungen aus der EU-DSGVO mit den jeweils notwendigen Maßnahmen und den entsprechenden Risikobewertungen (inkl. Datenschutz-Folgenabschätzungen) im GRC-COCKPIT abzubilden und zu dokumentieren. Bei Maßnahmen, die regelmäßig durchgeführt werden müssen, kann uns das Tool ebenso unterstützen, und zwar in Form von Erinnerungen/Überwachungen.
Wie Sie sehen, haben wir noch eine ganze Menge Arbeit vor uns, aber der Grundstein ist gelegt und jetzt müssen wir dranbleiben. Und das werden wir auch!

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt Datenschutz:

  • Kleine Meilensteine / Arbeitspakete schnüren
  • Einfach mal loslegen mit einem Thema, z. B. Verzeichnis von Verarbeitungstätigkeiten
  • Mitarbeiter unbedingt mit „ins Boot holen“, denn sie liefern wichtigen Input
  • Gemeinsames Verständnis durch Beispiele schaffen
  • Nicht verzweifeln, wenn zu Beginn nicht alle Details vorliegen, sondern weiter recherchieren und im Nachgang ergänzen
  • Kurzpapiere der DSK und weitere Handlungsempfehlungen aus dem Netz zur Orientierung heranziehen
  • Austausch mit anderen Datenschutzbeauftragten

In unserem nächsten Blog-Beitrag geht es um das Thema Compliance und die Frage: Zu klein für Compliance?

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

Step by step: GRC@SAVISCON

Wie wir unser IT-Sicherheits-Management aufsetzen

von Ingo SimonGeschäftsführer bei der SAVISCON GmbH 

Nachdem wir in unserem letzten Blog-Beitrag „No Risk – more fun!“ der Reihe GRC@SAVISCON über den Start unseres Risiko-Managements berichtet haben, soll es heute um die IT-Sicherheit gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-ManagementIT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: IT-Sicherheit. 

IT-Sicherheit: Wo fangen wir an? 

Wie auch beim Risiko-Management brauchen wir bei SAVISCON uns nicht extra der Unterstützung der Geschäftsleitung zu versichern. Das ist ja qua Persona schon gegeben. Aber klar ist: In anderen Unternehmen muss man die Rückendeckung der Unternehmensleitung haben, um die benötigten Ressourcen für die Durchführung des Projekts einfordern zu können. Bei uns kann es also losgehen. 

Noch eine Anmerkung: Im IT-Grundschutz Baustein ISMS Sicherheitsmanagement wird in der Anforderung ISMS.1.A3 eine Leitlinie zur Informationssicherheit und nach ISMS.1.A10 ein Sicherheitskonzept eingefordert, die anfangs erstellt und kommuniziert werden müssen. Das werden wir auch nicht vernachlässigen. Wir haben allerdings entschieden, die Fleißarbeit, wie in den nächsten Absätzen beschrieben, bereits zeitgleich anzugehen. In unserem Fall gehen wir davon aus, dass die Erkenntnisse aus der Strukturanalyse und Schutzbedarfsfeststellung eine gute Indikation darüber geben, was in den Leitlinien zu berücksichtigen ist. Für „unfertige“ Organisationsstrukturen, wie es in den bei uns vorherrschenden Umbruchzeiten gerade der Fall ist, halten wir das für ein sehr vorteilhaftes Vorgehen. Wir werden über die Erstellung der Leitlinien und Sicherheitskonzepte in zukünftigen Blog-Beiträgen berichten.

Klar ist außerdem, dass wir uns über die Tool-Auswahl keine Gedanken machen müssen, das GRC-COCKPIT ist als System für unser ISMS ja prädestiniert. Wir wollen das IT-Sicherheitsmanagement als Teil unseres GRC-Managements durchführen und haben so in einem System den Überblick über die gesamten Unternehmensrisiken und den Compliance-Status inklusive der IT-Sicherheit.

 Nun krempeln wir also die Ärmel hoch und fangen an. Als erstes gibt es drei Kernaufgaben, die erledigt werden müssen: Assets erfassen, diese gruppieren und Abhängigkeiten dokumentieren, sowie deren Schutzbedarf analysieren. 

Assets erfassen 

Was sind überhaupt Assets? Ins Deutsche übersetzt bedeutet das „Vermögenswerte im Unternehmen“. Diese Assets müssen nicht unbedingt reale Güter darstellen, sondern können auch nicht-reale Güter wie Wissen, Patente oder Lizenzen sein. Bei uns ist das zum Beispiel der Source Code unserer Produkte, die wir auch als Assets betrachten. Die sind schließlich eine Basis für unser Geschäftsmodell und somit besonders schützenswert, der ITGrundschutz spricht hier von den Kronjuwelen. Diese Betrachtung geht genau genommen über das Thema IT-Sicherheit hinaus, und fällt unter den Begriff Informationssicherheit. Es ist für uns jedoch eine bewusste Entscheidung, diese Assets in die Gesamtmethodik des IT-Grundschutz mit einzubinden. Ein weiteres, griffigeres Beispiel für Assets aus der IT-Sicherheit: Es gibt vermutlich in so ziemlich jedem Unternehmen mindestens einen Arbeitsplatz-PC oder Server, der Daten beinhaltet, die für das Unternehmen sehr wichtig sindDas können beispielsweise Kundeninformationen sein. Somit ist dieser PC oder Server ein Unternehmens-Asset, das für die IT-Sicherheit des Unternehmens relevant ist. 

Wo fängt man anwo hört man auf? 

Was sind Assets bei der SAVISCON GmbH, die unsere IT-Sicherheit betreffen? Das ist genau die Frage, die wir uns zu Beginn gestellt haben. Theoretisch muss man jedes IT-Gerät mit in die Assets aufnehmen und dort abbilden. Doch hier gilt es ein gesundes Maß zu finden, welche Geräte einzeln aufgenommen werden sollen und welche z. B. als Gruppe abstrahiert werden können. Führe ich jeden Laptop einzeln auf? Oder führe ich nur einen Laptop auf, der in der Schutzbedarfsanalyse als Prototyp für alle anderen steht. Diese Fragen lassen sich leider nicht pauschal für jedes Unternehmen beantworten. Daher kann man beliebig viel Zeit darauf verwenden ein Konzept zu entwickeln, welche Assets wie erstellt und gruppiert werden sollen und welche nicht. Oder:

Einfach loslegensammeln, strukturieren(aus)sortieren  

Man fängt einfach an! Unsere Erfahrung hat gezeigt, dass es wichtig ist einfach zu starten und die Assets festzuhalten, die uns gleich in den Sinn gekommen sindWir haben uns zum Beispiel entschieden alle Laptops einzeln zu erfassen, nicht „den Laptop“ als solches. Warum? Weil jeder Laptop in unserer übersichtlichen Organisation einem bestimmten Rolleninhaber gehört, der wiederum unterschiedliche Informationen mit dem Laptop bearbeitet. Fällt einer der Entwicklungs-Laptops aus, so dauert es eine längere Zeit, die gesamte Entwicklungsumgebung auf einem Ersatzgerät wieder einzurichten. Ein Consulting Laptop, der im Wesentlichen über Remote Zugriff die relevanten Informationen in den Kundenwelten verarbeitet, kann ich im Prinzip mit jedem Gerät ersetzen, auf dem ein Citrix Receiver installiert werden kann. Damit unterscheidet sich die Anforderung an die notwendige Verfügbarkeit für diese Laptops. Deswegen erfassen wir alle Laptops einzeln. 

Screenshot der Asset Übersicht aus dem GRC-COCKPIT

Hier sehen Sie die Übersicht unserer Assets im GRC-COCKPIT.

Die erfassten Assets haben wir dann in eine grobe Struktur gebracht. Keine Sorge, wenn die zu Beginn etwas verwirrend aussieht. Das ist ganz normal und sie wird sich im Prozess vermutlich noch viele Male ändern. In unserem Prozess haben wir sogar nach und nach Assets wieder entfernt, verschoben oder sogar ihre gesamte Gruppierung verworfen, weil sie obsolet geworden sind. Das ist aber in unserem GRC-COCKPIT gar kein Problem. Wenn man das auf verteilten Excel-Listen versuchen würde, an denen mehrere MitarbeiterInnen arbeiten, wäre die Koordination der Änderungen sehr viel aufwändiger und fehleranfällig. 

Für uns als Software-Unternehmen sind die folgenden Assets relevant: Gebäude und Räume, IT-Geräte, Lizenzen, gemietete Server, Produktions- oder auch Testinstanzen, die wir unseren Kunden zur Verfügung stellen. Beim Erstellen mehrerer Assets haben wir diese nach Typen aufgeteilt und gruppiertZur Ableitung der Schutzbedarfe haben wir dann die Abhängigkeiten von Assets zu anderen Assets hergestellt, indem wir sie im GRC-COCKPIT miteinander verknüpft haben. Die Abhängigkeiten sind nach IT-Grundschutz Methodik: „Nötig für“ bzw. „Benötigt“ oder „Befindet sich in“ bzw. „Beinhaltet“

Screenshot der Abhängigkeiten aus dem GRC-COCKPIT

Blick ins GRC-COCKPIT: So werden die Abhängigkeiten für Assets dargestellt.

An dieser Stelle merkt man bereits, ob man sich mit der Struktur wohl fühlt und ob sich Assets bzw. Gruppierungen noch nicht so rund anfühlen. In diesem Fall kann man versuchen ein Asset aufzusplitten oder mehrere zusammenzufassen. Wir haben festgestellt, dass die Identifizierung von Assets sehr gut in einer Gruppe funktioniert, da jeder eine andere Sicht auf die Dinge hat und man diskutieren kann, welche Assets aufgenommen werden sollten und warum. Aus den unterschiedlichen Perspektiven konnten wir häufig weitere Assets ableiten, die wir direkt in unser GRC-COCKPIT aufgenommen haben.  

Schutzbedarf feststellen 

Für alle Assets muss dann der Schutzbedarf festgestellt werden. In der Diskussion darüber kommt man meist zwangsläufig zu Ideenwelche geeigneten Maßnahmen sich für das Asset ableiten lassenHierbei wird jeder eine etwas andere Meinung haben, welche Assets besonders schützenswert sind und warum. Auch hier keine Scheu zeigeneinfach starten und die Assets bewerten. Zu Beginn haben wir eher „vorsichtiger bewertet, sprich den Schutzbedarf höher angesetzt. Denn wir können die Bewertung im Laufe der Zeit noch etwas abschwächen, wenn wir neue Erkenntnisse gewonnen haben. Während der Schutzbedarfsfeststellung haben wir uns schon gleich die Fragen gestellt: Welche Assets sind besonders schützenswert? Warum? Was können wir tun, um dem Schutzbedarf gerecht zu werden? 

Screenshot der GRC-COCKPIT-Funktion Schutzbedarfsfeststellung

Auf dieser Abbildung ist die GRC-COCKPIT-Funktion Schutzbedarfsfeststellung zu sehen.

Maßnahmen ableiten 

Mit den Antworten auf die Fragen aus der Schutzbedarfsanalyse fällt es uns leicht mögliche Maßnahmen abzuleiten. Wenn beispielsweise ein Arbeits-Laptop besonders schützenswert ist, da er wichtige Daten enthält, so könnten sich bezüglich des Schutzbedarfes für die Vertraulichkeit die Maßnahme Festplatten verschlüsseln anbieten, sowie für die Verfügbarkeit die Maßnahme regelmäßige Backups erstellen. Wir werden darüber in den folgenden Blog-Beiträgen noch ausführlicher berichten.

Denn auch hier ist es wichtig, einen Schritt nach dem anderen zu gehen. Solange die Assets nicht erfasst und die Schutzbedarfe nicht fertig analysiert sind, sollte man sich davor hüten, schon in die Dokumentation der Maßnahmen abzudriften. Sonst läuft man Gefahr, sich zu verrennen. Deswegen erst die Strukturanalyse und Schutzbedarfsfeststellung beenden, dann erst die Risikobetrachtung und die Maßnahmen angehen. Oft ergeben sich Ideen zu Risiken und Maßnahmen in der gemeinsamen Diskussion. Dann muss man sich aber disziplinieren und den Schritt zurück machen, um, wie oben beschrieben, die ersten Schritte erst einmal vollständig abzuarbeiten. 

 to be continued: 

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt IT-Sicherheit:  

  • Einfach erst einmal anfangen alle Assets zu sammeln, (aus)sortieren kann man in einem späteren Schritt noch immer 
  • Die gesammelten Assets typisieren und gruppieren 
  • Danach die Abhängigkeiten der Assets voneinander dokumentieren 
  • Der nächste Schritt ist die Festlegung des Schutzbedarfs  
  • Wichtig: Sparringspartner suchen! in der Diskussion in Gruppen ergeben sich wichtige Erkenntnisse und differenziertere Sichten über relevante Assetspotenzielle Gruppierungen und Schutzbedarfe 
  • Bei der Schutzbedarfsfeststellung zu Beginn den „Worst Case“ annehmen – abschwächen geht immer noch 
  • Nicht scheuen auch mal einen Schritt zurück zu gehen, um zwei voran zu kommen! 

Im nächsten Blog-Beitrag der Reihe schauen wir gemeinsam mit unserer internen Datenschutzbeauftragten Karin Selzer in das Projekt Datenschutz: Los geht‘s: Wie wir den Datenschutz intern umsetzen.

Über den Autor: 

Foto Ingo Simon

Ingo Simon (Geschäftsführer SAVISCON GmbH)

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de 

No Risk – More Fun! GRC@SAVISCON

Wie wir mit unserem Risiko-Management starten

von Uwe Straßberger, Director Sales & Marketing bei der SAVISCON GmbH

Wie versprochen geht es heute in die zweite Runde unserer Blog-Reihe GRC@SAVISCON. Heute mit mir, Uwe Straßberger, als Autor und einem genaueren Blick in das Projekt „Risiko-Management“. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Risiko-Management.

Risikokultur – Tone from the Top

Wenn man ein solches Projekt startet, muss das vom höheren Management getragen werden. Das ist aufgrund der Struktur und Größe bei uns nicht so ein großes Thema. Da unser Geschäftsführer (siehe letzter Blog) das Programm ja selbst aufgesetzt hat, wissen wir natürlich auch, dass das Thema in der Unternehmensleitung als wichtig angesehen und vorangetrieben wird. In anderen Unternehmen mag das aber nicht so sein, daher ist hier wichtig: Versichern Sie sich der vollen Unterstützung Ihrer Unternehmensführung! Wenn diese das Thema als unwichtig oder zweitrangig abstempelt, werden Sie mit hoher Wahrscheinlichkeit Probleme bekommen, die notwendigen Ressourcen in Form von Personal, Zeit und Arbeitsmitteln zur Verfügung gestellt zu bekommen. Außerdem ist es dann schwieriger, in der Belegschaft die notwendige Akzeptanz zu erzeugen.

Projekt- und Ressourcenplanung

Gemeinsam mit meinem Kollegen Mark Teichmann (Produktentwicklung) leite ich das Projekt Risiko-Management. Als aufmerksamer Leser haben Sie bestimmt festgestellt, dass ich als „Director Sales & Marketing“ sowie Mark als „Produktentwickler“ keine klassischen „Risiko-Manager“ sind. Das liegt daran, dass wir unser Risiko-Management schnellstmöglich starten und vorerst kein Budget für zusätzliche Personalkosten verwenden wollten. Daher auch unser Tipp für kleine und wachsende Unternehmen: Schieben Sie Ihr Risiko-Management nicht auf die lange Bank, wenn aktuell kein Budget für einen Risiko-Manager eingeplant ist. Nutzen Sie beim Aufbau Ihres Risiko-Management-Systems stattdessen zu Beginn die vorhandenen internen Personalressourcen. Das Risiko-Management wächst zusammen mit ihrem Unternehmen und wenn die Geschäftsprozesse sowie Regularien komplexer werden, können Sie auch zu einem späteren Zeitpunkt einen Risiko-Manager einstellen – eventuell zunächst als Teilzeitstelle. Mit dem passenden digitalen Risiko-Management-Tool können Sie Ihr Unternehmen bereits mit einem geringen Personal- bzw. Budgetaufwand absichern. Diese Entscheidung hängt natürlich auch immer ganz von der Größe ihres Unternehmens und der Komplexität ihrer Geschäftsprozesse ab. Wir haben uns, wie erwähnt, zunächst dazu entschieden bestehende Ressourcen zu nutzen und planen pro Woche mit fünf Stunden pro Mitarbeiter. Wenn zwei Mitarbeiter an einem Projekt arbeiten, gibt es außerdem einen wöchentlichen Jour fixe, um den aktuellen Stand und das weitere Vorgehen zu besprechen. Die Meilensteine wurden uns vom Programm vorgegeben. Auf der Basis haben wir dann die einzelnen Schritte in Termine heruntergebrochen.

Risikoidentifizierung

Im ersten Schritt haben wir den Ist-Zustand analysiert: Welche Organisationseinheiten bzw. welche Geschäftsprozesse haben wir, welche externen Tools nutzen wir und welche Risiken resultieren daraus? Dazu haben wir alle Kollegen mit eingebunden und befragt. In virtuellen Sitzungen sprachen wir mit jeder Organisationseinheit, in unserem Fall sind das: Geschäftsführung, IT, Consulting, Administration, Marketing und Vertrieb sowie Datenschutz. So konnten wir in einem Brainstorming-Ansatz über zwei Wochen hinweg alle aus den Abteilungen bekannten potenziellen Risiken sammeln. Wichtig: Wir haben vorab eine Mail an alle Kollegen geschrieben, in der wir den Ablauf erklärt und die Deadline genannt haben. Uns war ebenfalls sehr wichtig rüberzubringen, dass es erstmal nur darum geht zu starten. An dieser Stelle gibt es keinen Anspruch auf Perfektion oder Vollständigkeit. Tatsächlich hat das bei uns im Team gut funktioniert und wir haben bis zur genannten Deadline alles geschafft. Alle Mitarbeiter so detailliert zu befragen ist natürlich – je nach Unternehmensgröße – nicht immer möglich. Dennoch sollte hier zumindest immer ein Vertreter jeder Organisationseinheit befragt werden, der sich eventuell vorab Feedback aus seinem Team holt.

Risikobewertung

Im nächsten Schritt ging es mit den eingeholten Infos für Mark und mich ans Sortieren der Risiken und ans Rausschmeißen von Doppelungen. Danach war es endlich so weit: wir konnten die identifizierten Risiken in unsere webbasierte Software einspeisen, das GRC-COCKPIT. Hier sind ebenfalls alle Organisationseinheiten und Assets hinterlegt, sodass wir die Risiken bereits damit verknüpfen konnten. Eine Herausforderung war das Formulieren der Risiken. Die KollegInnen benannten teilweise die Risiken als Anforderung, z. B.: „Es muss sichergestellt sein, dass…“. Diese Herangehensweise erschwert allerdings das Verständnis und vor allem auch die Bewertung für die anderen. Ein Hilfsmittel für das Formulieren von Risiken ist, dass man die folgenden Einleitungssätze im Geiste nutzt: „Es besteht die Gefahr, dass…“ oder „Es besteht das Risiko, dass…“.

Konkretes Beispiel:

Gesammeltes Risiko Formulierungshilfe: Es besteht das Risiko, dass… Eintrag ins GRC-COCKPIT
Bilder auf der Webseite: Liegen die entsprechenden Nutzungslizenzen vor? …eine dritte Partei Ansprüche auf die Lizenzrechte der von uns genutzten Bilder erhebt und uns mit einer Abmahnung belangt. Risiko: Abmahnung aufgrund fehlerhaft ausgewiesener Bildrechte

Das konkrete Formulieren ist die Voraussetzung für den darauffolgenden Schritt: die Risikobewertung. Dazu müssen die KollegInnen genau verstehen, welches Risiko hier gemeint ist. Sie sind dann nämlich wieder an der Reihe und müssen anhand der Risiko-Matrix Eintrittswahrscheinlichkeit vs. Schadenshöhe bei Eintritt des Risikos bewerten.

Aber darum soll es dann im Detail in unserem nächsten Blog-Beitrag aus dem Projekt Risiko-Management gehen.

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt Risiko-Management:

  • Risiko-Management Projekte funktionieren nur mit Rückendeckung der Unternehmensleitung
  • Risiko-Management sollte nicht auf die lange Bank geschoben werden: lieber früh starten und zu einem späteren Zeitpunkt zusätzliches Personal dazu nehmen
  • Mitarbeiter aus allen Organisationseinheiten mit einbeziehen, denn die kennen ihre Arbeitsprozesse, Tools und die damit verbundenen Risiken selbst am besten
  • in der Initialphase besteht kein Anspruch auf Perfektion und Vollständigkeit
  • „better safe than sorry“ – besser zu Beginn jedes noch so klein erscheinende Risiko aus den Organisationseinheiten sammeln und im Nachgang aussortieren
  • bei der endgültigen Erfassung der Risiken ausreichend Zeit darauf verwenden, dass die Formulierung sprechend und eindeutig ist (dabei aber bitte die Verhältnismäßigkeit wahren und nicht in Schönheit sterben…😉)

Im nächsten Blog-Beitrag schauen wir gemeinsam in das Projekt IT-Sicherheit: Step by step: GRC@SAVISCON | Wie wir unser IT-Sicherheits- Management aufsetzen

Über den Autor:

Porträtfoto Uwe Straßberger

Uwe Straßberger (Director Sales & Marketing bei SAVISCON GmbH)

Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de

 

Practice what you preach: GRC@SAVISCON

Wie wir unser GRC-Management mit dem GRC-COCKPIT umsetzen 

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Practice what you preach! Das ist unter anderem unser Antrieb für das interne Programm „GRC@SAVISCON“. Ziel ist es dabei, unser eigenes GRC-Management strukturiert und digital mit unserer GRC-Management-Software (GRC-COCKPIT) abzubilden. Denn wir sind überzeugt: Das was man verkauft, muss man auch selbst leben und umsetzen. Und damit herzlich willkommen zum ersten Beitrag auf unserem Blog! Hier dreht sich zukünftig alles um die Themen Governance, Risk- und Compliance-Management. In der Beitragsreihe „GRC@SAVISCON“ wollen wir Sie auf unsere Reise mitnehmen und Ihnen Einblicke in unser Programm und die darunter liegenden Projekte ermöglichen: Wie läuft es ab, wenn man ein strukturiertes, digitales GRC-Management-System einführt? Welche Hürden gilt es zu überwinden und welche Vorteile zeichnen sich ab?

Am Ende des Blogs finden Sie die Kommentar-Funktion. Wir würden uns sehr über einen Erfahrungsaustausch freuen: Haben Sie bei sich bereits ein GRC-Management-System eingeführt? Hatten Sie eine ähnliche Herangehensweise?

Warum (erst jetzt) GRC-Management?

Kritische Köpfe könnten sich fragen: Sie sind seit 2010 mit SAVISCON am Markt, wieso führen Sie erst jetzt ein GRC-Management-System ein? Uns geht es da wie vielen anderen Unternehmen. Bis Ende 2017 dachten wir: „Wir sind zu klein“, „die Risiken sind überschaubar“… Doch dann entwickelte sich eine uns bis dahin unbekannte Dynamik. Bis 2018 waren wir mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Keine allzu komplizierte Sache. Ende 2018 übernahmen wir die Software unseres heutigen GRC-COCKPITs, die in einem Spin-off der Universität Münster ihren Ursprung hatte. Wir übernahmen damit auch die Bestandskunden, sind allerdings nicht der Rechtsnachfolger des vorherigen Rechteinhabers. Um den Kauf und den Produktlaunch herum galt es jetzt, ein entsprechendes Team aufzubauen. Produktentwicklung, Kundenbetreuung, IT-Betrieb, neue GRC-Consultants, Digital Marketing und Vertrieb sind Themen, die vorher keine Rolle gespielt haben. Seit 2018 hat sich daher die Anzahl unserer Mitarbeiter fast verdreifacht. Und auch die Themen sind mehr geworden oder haben an Bedeutung gewonnen: Personal-Compliance, Gewährleistung und Haftung gegenüber Kunden, Datenschutz, IT-Sicherheit. Und genau das sind ja die Themen, die wir mit dem GRC-COCKPIT abdecken. Durch das Wachstum und die steigende Komplexität stand schnell der Entschluss fest: Wir wollen unser GRC-Management umfassend und vollständig in unserem GRC-COCKPIT abbilden. Bisher waren wir da sporadisch für einige wenige Themen unterwegs, es fehlte allerdings der strukturierte Ansatz. Das war vor allem dem Umstand geschuldet, dass ich als Geschäftsführer den Anspruch hatte, alles – zumindest bis zu einem gewissen Grad – selbst zu initiieren, aufzusetzen und durchzuführen.

Da für uns das Jahr 2019 und auch das Corona-Krisenjahr 2020 überraschend gut lief, konnten wir wie beschrieben neue Mitarbeiter einstellen und weiterwachsen. Damit haben wir auch zusätzliche interne Ressourcen gewonnen, die an den Projekten mitarbeiten und mich entlasten können. Somit hatten wir die Grundlage dafür geschaffen, dass ich ein Stück weit „loslassen“ konnte. Aus dem Entschluss konnte nun ein handfestes Programm werden. Denn wenn wir mal ehrlich sind, eigentlich kann man nie früh genug anfangen und das GRC-Management-System wächst ja mit!

Also: Am 19. November 2020 hat dann unser Kick-off-Meeting stattgefunden. Für uns gibt es übrigens gleich zwei Pluspunkte: Wir sichern die SAVISCON hinsichtlich Compliance-Management, IT-Sicherheit und Risiko-Management ab und das GRC-COCKPIT steht praktisch pausenlos auf dem internen Prüfstand. So können wir unseren Kunden eine Software bieten, die praxiserprobt ist und mit Best Practises aushelfen. Jetzt können wir aus dem Nähkästchen plaudern, wo uns bisher bei Erfahrungen mit unseren Kunden aus Geheimhaltungsgründen regelmäßig die Hände gebunden sind.

Apropos aus dem Nähkästchen plaudern, legen wir doch direkt mal los:

Wie starte ich mein GRC-Management?

Wo soll ich bloß anfangen? Das ist wohl einer der meistgestellten Fragen, wenn es darum geht ein strukturiertes Risiko- und Compliance-Management-System aufzusetzen.

Im ersten Schritt habe ich mich dazu entschieden unser Programm in drei Projekte zu gliedern, für die jeweils ein bis zwei Mitarbeiter zuständig sind:

  1. Risiko-Management (Projektleiter: Mark Teichmann und Uwe Straßberger)
  2. Compliance-Management und Datenschutz (Projektleiterin: Karin Selzer)
  3. IT-Sicherheit (Projektleiter: Ingo Simon)

Klar, jedes Projekt benötigt auch Ziele, auf die es zuarbeiten kann. Diese habe ich in Rücksprache mit den Projektleitern definiert.

Anschließend – und das ist sehr wichtig! – haben wir allen MitarbeiterInnen in einem Kick-off-Termin via Microsoft Teams das Programm vorgestellt. Denn alle Projekte haben eines gemeinsam: Das Management muss das Vorgehen erlebbar unterstützen. Den MitarbeiterInnen muss klar werden, wie wichtig das GRC-Management für die ganze Firma ist. Ich habe im Kick-off-Termin nochmal betont, dass alle MitarbeiterInnen während des gesamten Prozesses die Möglichkeit haben, ihre Sicht der Dinge einzubringen. Das steigert die Akzeptanz und damit auch die Qualität – davon profitiert am Ende das ganze Team.

Projekt Risiko-Management

Beim Projekt Risiko-Management haben Mark Teichmann und Uwe Straßberger die Aufgabe, die maßgeblichen und potenziell existenzgefährdenden Risiken für SAVISCON zu identifizieren. Sobald diese Risiken identifiziert sind, sollen entsprechende Maßnahmen zur Risikominimierung entwickelt und umgesetzt werden. Alle Ergebnisse werden wir durchgängig im GRC-COCKPIT dokumentieren. In einem späteren Blog-Beitrag zeigen wir, wie das genau aussehen kann.

Meilensteine:

  • Kick-off-Termin: 19. November 2020
  • Projektplanung, Ressourcenplanung und Budgetplan: Mitte Dezember 2020
  • Risikoidentifizierung und Bewertung: Ende Januar 2021
  • Maßnahmen finden und bewerten: Ende März 2021
  • Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende April 2021

Projekt Compliance-Management und Datenschutz

Im Projekt Compliance-Management und Datenschutz wird unsere Projektleiterin und Datenschutzbeauftragte Karin Selzer die maßgeblichen Richtlinien für unser Unternehmen identifizieren und die bisherige Umsetzung bezüglich der Compliance bewerten. Daraufhin entwickelt sie entsprechend angemessene Maßnahmen, setzt sie um und trägt für den Datenschutz die bereits vorhandenen technischen und organisatorischen Maßnahmen (TOMs) im GRC-COCKPIT nach. Hier müssen dann auch ggf. Compliance-Risiken erkannt und in Abstimmung mit dem Projekt Risiko-Management bearbeitet werden. Alle Ergebnisse dokumentieren wir ebenfalls durchgängig im GRC-COCKPIT.

Meilensteine*:

  • Kick-off-Termin: 19. November 2020
  • Projektplanung, Ressourcenplanung und Budgetplan: Ende Januar 2021
  • Compliance-Bewertung für Datenschutz, GoBD und Personal-Compliance: Ende März 2021
  • Maßnahmen finden und bewerten: Ende Mai 2021
  • Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende Juni 2021

Projekt IT-Sicherheit

Für das Projekt IT-Sicherheit bin ich selbst zuständig. Allerdings teile ich mir die Aufgaben mit unserem Entwicklungsleiter Merlin Konert. Hier werden wir die IT-Struktur und Prozesse vor allem der Entwicklung und des Betriebs der Kundensysteme dokumentieren sowie die Schutzbedarfsanalyse durchführen. Das findet aber natürlich auch für unsere internen Prozesse statt, wie z. B. Personalprozesse, Buchhaltung und Rechnungswesen. Auch ich werde in meinem Projekt eine Risikoanalyse in Zusammenarbeit mit den Projektleitern vom Risiko-Management erstellen. Alle Ergebnisse werden wieder im GRC-COCKPIT festgehalten.

Meilensteine:

  • Kick-off-Termin: 19. November 2020
  • Projektplanung, Ressourcenplanung und Budgetplan: Mitte Dezember 2020
  • Dokumentation der IT-Struktur + Prozesse sowie Schutzbedarfsanalyse: Ende Januar 2021
  • Risikoanalyse und Maßnahmen finden: Ende März 2021
  • Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende April 2021

…to be continued:

So weit unser Plan.

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse:

  • Das Management (in diesem Fall ich als Geschäftsführer) muss Vertrauen zu den MitarbeiterInnen haben und auch diese wichtigen Aufgaben delegieren. Sonst bleiben sie schlicht liegen. Die Verantwortung bleibt letztendlich natürlich bei der Unternehmensleitung!
  • Die MitarbeiterInnen müssen mitgenommen und sensibilisiert werden. Man muss schon erklären, warum man ein GRC-Programm aufsetzt, das – auf den ersten Blick – nur Arbeit macht und kein Geld einbringt. Das war bei uns natürlich relativ einfach, weil das strategische Geschäftsfeld „GRC-Management“ mit dem Produkt und den Beratern ja jedem bei SAVISCON bekannt ist

In den nächsten Blog-Beiträgen aus der Rubrik GRC@SAVISCON schauen wir gemeinsam in die einzelnen Projekte und stellen unseren Fortschritt, die Herausforderungen und Hürden sowie unsere Lösungen vor. Hier geht es zum ersten Blog-Beitrag aus dem Projekt Risiko-Management.

Über den Autor:

Foto Ingo Simon

Ingo Simon (Geschäftsführer SAVISCON GmbH)

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de

* Die Termine der Meilensteine unterscheiden sich zu denen von den Projekten Risiko-Management und IT-Sicherheit, da Karin Selzer erst seit Januar 2021 in Vollzeit unser Team verstärkt.