6. Ablaufpläne und Schulungen
Die Organisatorischen Maßnahmen betreffen insbesondere Schulungen der Mitarbeiter – insbesondere im Bereich der Cybersecurity -, die die Mitarbeiter regelmäßig durchlaufen müssen. Nach Aussagen unserer Kunden sind über 90% der Cyberattacks nicht durch Hacker bedingt, die sich stundenlang durch einzelne Firewalls sägen, sondern durch unachtsame Mitarbeiter, die dann doch wieder den einen oder anderen Link in einer Mail anklicken, der dann zur Infektion führt.
Ablaufpläne wie im Falle eines
- Datenschutzvorfalls (Desasterplan)
- Cyberattack (Notfallplan Cyberattack) und ein
- Business Continuity Plan (Aufrechterhaltung Betrieb, Wiederherstellung Betrieb)
gehören mittlerweile auch zum Stand der Technik.
7. Evaluierung und Tests
Wie oben beschrieben, müssen die technischen und organisatorischen Maßnahmen von Zeit zu Zeit, sonst anlassbezogen einer Prüfung unterzogen und dann vielleicht wieder neu angepasst werden.
Was neu ist und vielfach verlangt wird, ist die Vornahme von Übungen, in denen ein Vorfall simuliert wird, und in denen überprüft wird, ob bestimmte Maßnahmen für den Notfall funktionieren oder verbesserungswürdig sind.
8. Organisation und Kommunikation
Zunächst einmal ist die Einhaltung der Regelungen des Datenschutzes Chefsache. Der Geschäftsführung kann der Datenschutzbeauftragte als Berater beigestellt werden.
Wichtig ist, im Unternehmen klar die Verantwortlichkeiten zu benennen und jedem Verantwortlichen auch einen Stellvertreter beizustellen.
Damit soll gewährleistet sein, dass jeder Mitarbeiter eines Unternehmens sich an einen Sachkundigen und Verantwortlichen wenden kann.
Dann sind Wege der Kommunikation zu eröffnen, in denen jeder Mitarbeiter ohne Bedenken auf seine persönliche Stellung auch Fragen äußern oder auch auf Missstände aufmerksam machen kann.
9. Dokumentation
9.1 Verarbeitungsverzeichnis
Nach den oben genannten Funktionen sind in dem Verarbeitungsverzeichnis die Prozesse zu dokumentieren, die die Datenverarbeitung betreffen. Auch die Anfertigung der Dokumentationen unterliegt wieder dem Grundsatz der Risikobewertung. Das bedeutet, dass ich keine eigenständigen Prozesse für Links- oder Rechtshänder aufschreiben muss, aber jeder technische Weg, der eine quantifizierbar andere technische Verarbeitung und andere Daten betrifft und damit ein höheres Risiko ist, eben auch eigenständig zu beschreiben ist, damit man sich überlegen kann, ob man an dieser Stelle neben dem eigentlichen Standard vielleicht noch gesonderte technische und organisatorische Maßnahmen ergreifen soll.
9.2 Vorfalldokumentation
Zu den Dokumentationspflichten gehört auch die Pflicht, Vorfälle selbst genau zu dokumentieren. Das sollte man schlicht tun, damit man aus Fehlern lernen kann und den Nachweis erbringen kann, dass man aus einem Vorfall die richtigen Schlüsse gezogen hat.
