Datenschutz braucht Rückendeckung des obersten Managements

Doch wie dafür sorgen? Nur eine holistische Perspektive verspricht Erfolg: Effektiver Datenschutz umfasst organisatorisch- politische und technische Maßnahmen. Als erstes muss das Thema ganz oben in der Unternehmenshierarchie als Priorität verankert werden. Sonst wird der hoffentlich vorhandene CISO (Corporate Information Security Officer) kaum die nötigen Mittel erhalten, um effektive organisatorische Strukturen und technische Maßnahmen in diesem Bereich umzusetzen.

Hat die oberste Geschäftsleitung die Notwendigkeit moderner und durchgreifender Schutzmaßnahmen erkannt und stellt deshalb entsprechende Budgets bereit, folgt der nächste Schritt: Man analysiert alle Daten auf ihren Wert und teilt ihnen und je nach der Werthaltigkeit ein entsprechendes Schutzniveau zu.

Das ist ein letztlich kaum automatisierbarer Vorgang, für den tiefgehendes Wissen über die einzelnen Prozesse nötig ist, in deren Verlauf Daten von immer anderen Beteiligten bearbeitet oder weitergegeben werden. Dieses Wissen besitzen am ehesten die Mitarbeiter aus dem jeweiligen Fachbereich, die die Prozesse gestalten und für ihren Ablauf verantwortlich sind. Sie sollten auch für den Schutz der ihnen unterstehenden Daten zuständig sein.

Deshalb hat es sich bewährt, das Unternehmen zunächst in Fachbereiche wie Design, Einkauf, Vertrieb etc. mit jeweils eigenem Datenbestand und eigener Datenzuständigkeit zu unterteilen. Anschließend analysieren die Fachbereichsverantwortlichen die Daten und weisen sie einer Schutzklassen zu.

Meist reichen drei Schutzklassen aus: weniger wichtig, durchschnittlich wichtig und höchst wichtig. Am wichtigsten sind selbstverständlich die Daten, deren Verlust dem Unternehmen den größten Schaden zufügen könnte. Dabei gilt: Der Wert eines Dokuments steigt mit dem Fortschreiten der Wertschöpfungskette. Während der Verlust der Konstruktionspläne des Gesamtfahrzeugs kurz vor der Produktionsreife der größtmögliche Schadensfall ist, ist der Verlust der ersten Konstruktionsskizzen oder der Verlust der Pläne für eine einzelne Standard-Komponente leichter zu verkraften. Beide Güter müssen daher unterschiedlich geschützt werden.

Die Bereichsverantwortlichen sollten sich auch nach der Implementierung effektiver Schutzmechanismen regelmäßig mit dem CISO und gegebenenfalls anderen Beteiligten über das Thema Datenschutz austauschen, da die Datenbestände, Prozesse und Technologien sich ständig verändern. Außerdem müssen alle an datensensiblen Prozessen Beteiligten auch über die Unternehmensgrenzen hinaus auf das Thema eingeschworen werden - beispielsweise durch Schulungen, Informationsmaßnahmen, Sanktionen bei Verletzung von Datenschutzregeln oder die Aufnahme entsprechender Vereinbarungen in die Verträge mit Zulieferern.