Viele Unternehmen lagern ihre IT-Sicherheit aus, womit sich IT-Diensteleistern neue Geschäftschancen eröffnen. So geschehen auch bei der Eintracht Frankfurt: Weil dem Fußball-Club dafür die internen Ressourcen fehlten, hat er sein gesamtes Datenschutz-Management an die Unternehmensberatung Intargia ausgelagert. Damit wollte der Verein verhindern, dass Datenschutz für ihn ein Thema wird, wenn die Katastrophe bereits eingetreten ist.

Dass ein Erstligist wie Eintracht Frankfurt professionell mit den Daten seiner Fans und Kunden umgehen muss, ist wohl selbstverständlich. Immerhin werden in Bereichen wie Ticketing, Merchandising und Hospitality jede Menge personenbezogene Daten gespeichert und verwaltet. Sie zu schützen, ist nicht nur eine gesetzliche Pflicht, sondern auch ein Unternehmensziel, zu dem sich der Club bekennt. Die Eintracht hat das Datenschutz-Management an die Unternehmensberatung Intargia ausgelagert, weil ihr die internen Ressourcen dafür fehlten.

Das Datenschutz-Management-System wurde in drei Schritten aufgebaut:

Schritt 1: Initial-Audit:

Zu Beginn wurde der Ist-Zustand aller relevanten Bereiche des betrieblichen Datenschutzes im Unternehmen analysiert und bewertet. Grundlage des Audits war ein Fragenkatalog, der die relevanten Themengebiete des Datenschutzes adressierte. Dabei wurden die besonderen Spezifika der Eintracht berücksichtigt. Stichproben bezüglich der Fragestellungen und Gespräche mit den Prozessverantwortlichen sorgten für ein korrektes Gesamtbild.

Der Initial-Audit bezog sich auf alle datenschutzrechtlich relevanten Unternehmensbereiche wie die interne IT-Leistungserbringung, das Personalwesen, den Karten- und Fanartikelvertrieb, den Einkauf und die Finanzbuchhaltung. Auf Basis dieser Erkenntnisse konnte der weitere Projektverlauf geplant und die einzurichtenden technischen und organisatorischen Maßnahmen ausgewählt werden.

Schritt 2: Datenschutzstrategie und Auswahl der Maßnahmen

Auf Basis der Audit-Ergebnisse folgte die Entwicklung der Datenschutzstrategie sowie die Identifikation der nötigen technischen und organisatorischen Maßnahmen. Letztere umfassen Aktivitäten im Bereich IT- und Informationssicherheit, aber auch Organisationsfragen.

Im Einzelnen hieß das:

• Datenschutzorganisation etablieren;

• Verantwortlichkeit für Datenschutz im Unternehmen festlegen;

• Mitarbeiter schulen und sensibilisieren;

• Datenschutzhandbuch erstellen und veröffentlichen;

• Datenschutz-konforme Entsorgung von Datenträgern und Papiermüll sicherstellen und

• die vom Gesetzgeber geforderten Verfahrensverzeichnisse anlegen.

Alle diese Maßnahmen wurden in dieser Phase geplant und priorisiert. Wichtig dabei war es, einen gemeinsamen Zeitplan zu erarbeiten und die Durchlauffrequenz für zukünftige Audit-Zyklen festzulegen.

Schritt 3: Umsetzung und Kontrolle

Basierend auf dem Zeitplan wurden die Maßnahmen in Angriff genommen und abgeschlossen. Als wichtiger Bestandteil des Datenschutz-Management-Systems lässt sich der Reifegrad der einzelnen Maßnahmen in Kooperation mit dem Kunden ständig kontrollieren und ausgewerten. Dazu dienen zyklische (meist jährliche) Folge-Audits, in denen der Grad der Umsetzung überprüft wird.

Verlust von Kundendaten
Gehen sensible Kundendaten verloren, gerät die Kundenloyalität in Gefahr. Sie ist stark abhängig von der Fähigkeit der Unternehmen, Kundeninformationen wirksam zu schützen. Firmen müssen noch mehr als bislang investieren, um die Risiken aus Datenverlusten zu minimieren.

Risiko durch neue IT-Trends
Neue Technologien und Services wie Cloud Computing, Virtualisierung und Software-as-a-Service (SaaS) erfordern erhöhte Sicherheit. Wollen Unternehmen die Vorteile dieser Verfahren nutzen, bedarf es adäquater Sicherheits- und Verschlüsselungs-Policies, um sensible Daten - wo auch immer sie sich befinden - optimal abzusichern.

Verschärftes Datenschutzgesetz
Das verschärfte Datenschutzgesetz erfordert von den Unternehmen eine noch bessere Verschlüsselung. Dieser müssen sie in ihrem Sicherheitskonzept auch unter dem Aspekt der Compliance Rechnung tragen.

Bessere Sicherheitspakete
Es kommen zunehmend Produkt-Bundles speziell für den Mittelstand auf den Markt, die eine kombinierte Lösung für Information Protection und Verschlüsselung sowie die Umsetzung einheitlicher Sicherheitsrichtlinien im Unternehmen bieten. Damit sind auch mittlere Unternehmen in der Lage, ihre sensiblen Firmendaten umfassend zu schützen.

Der Dienstleister verwendet dazu ein Reifegradmodell, das einen Überblick über den Status des Datenschutzes im Unternehmen zulässt und einen Vergleich mit früheren Stati ermöglicht. Daraus lassen sich Aussagen über Fort- oder Rückschritte ableiten.

Regelmäßiges Reporting an die Verantwortlichen im Unternehmen gehört ebenso zur Umsetzungskontrolle wie die professionelle Dokumentation von Status und Fortschritt des Datenschutz-Management-Systems. Entscheidend für den Erfolg ist die Unterstützung der Geschäftsführung. Deshalb sind auch regelmäßige Kontakte auf höchster Ebene wichtig.

Mindestens ebenso bedeutend ist allerdings das Sensibilisieren der Mitarbeiter für Datenschutz und -sicherheit. Bei der Eintracht wurden deshalb Maßnahmen initiiert wie

• Datenschutzschulungen,

• die Verpflichtung der Mitarbeiterinnen und Mitarbeiter auf das Datengeheimnis gemäß Bundesdatenschutzgesetz,

• regelmäßige Datenschutzhinweise,

• Einführung einer Passwortrichtlinie. (Computerwoche/hv)