In unserem ersten Artikel zum Datenschutz ging es darum, alle Daten zu bestimmen und zu kategorisieren, die sich in Ihrem Besitz befinden. Wie aber stellen Sie sicher, dass Sie keine dieser Daten vergessen? Dies geht am besten mit einer Visualisierung Ihrer IT-Umgebung.

Die Datenmengen, mit denen wir es heute zu tun haben, sind riesig. Zudem sind die Daten an unterschiedlichen Orten gespeichert, z.B. auf dem Unternehmensserver, auf Website-Servern oder in der Cloud. Eine weitere Besonderheit ist, dass Daten heute mit wenigen Klicks geteilt werden. Ihre Institution bildet da sicher keine Ausnahme. Deshalb stellen sich folgende Fragen:

• Wissen Sie, wo genau Ihre Daten gespeichert sind (interne/externe Server, Cloud)?

• Haben Sie den Überblick darüber, wie Sie und Ihre Mitarbeitenden diese Daten austauschen (E-Mail, interne/externe Laptops)?

Um die Speicherorte zu bestimmen, sollten Sie einmal Ihre ganze IT-Umgebung skizzieren. Dieser Ansatz hat zwei Vorteile:

1. Es gehen keine Prozesse oder Speicherorte vergessen.

2. Es herrscht mehr Transparenz für eine gezieltere Diskussion mit Ihren IT-Anbietern.

Wie erfassen Sie Ihre gesamte IT-Umgebung?

Dazu können wir folgendes Verfahren empfehlen:

1. Bestimmen Sie alle internen und externen IT-Komponenten und listen Sie diese auf: Computer, Laptops, Tablets, aber auch interne Server und Internetserver, E-Mail-Server, Speichersysteme (Backup), Netzwerke etc. Tun Sie dasselbe mit den IT-Anbietern und Cloud-Services, die Sie nutzen. Fragen Sie sich beispielsweise:

   • Auf welchen Servern sind Ihre Daten gespeichert?

   • Wie tauschen Ihre Mitarbeitenden Daten aus und über welche Computer? Nutzen sie z.B. private Laptops?

   • Haben Sie eine Website? Welche Daten sind dort gespeichert?

   • Nutzen Sie einen Cloud-Dienst zur Datenspeicherung (z.B. Dropbox)? Welche Daten sind dort gespeichert?

2. Visualisieren Sie diese Umgebung. Das kann Ihr IT-Verantwortlicher erledigen. Wenn Sie intern keinen IT-Verantwortlichen haben, ist es am besten, einen Dienstleister zu finden, der Ihnen bei dieser Aufgabe helfen kann (vgl. «So wählen Sie Ihren IT-Anbieter aus»).

3. Nach der Visualisierung können Sie die Sicherheit von jedem Speicherort und von jedem Datenaustausch analysieren.

So wählen Sie Ihren IT-Anbieter aus

IT-Dienstleister gibt es viele. Wählen Sie Ihren Anbieter deshalb mit Bedacht aus. Der Dienstleister muss:

• Ihr Unternehmen und Ihre Unternehmenskultur verstehen,

• über die nötigen technischen und personellen Ressourcen verfügen,

• Konformitätsnachweise über die Einhaltung der gesetzlichen Anforderungen bereitstellen.

Auditberichte gemäss ISAE 3402 und/ oder ISAE 3000 sowie die Zertifizierung nach ISO 27001 sind wichtige Hinweise darauf, dass der IT-Dienstleister über ein gutes Risiko- und Prozessmanagement sowie ein internes Kontrollsystem (IKS) für seine Kunden verfügt.

Vertragsabschluss

Auf dem Markt gibt es heute nicht nur zahlreiche IT-Dienstleister; jedes dieser Unternehmen ist auch noch auf ein anderes Fachgebiet spezialisiert.

Beispiele:

• Softwareanbieter entwickeln für Sie massgeschneiderte Programme, die perfekt zu Ihren Prozessen passen.

• Hostinganbieter stellen Ihnen ein geeignetes und optimal gesichertes IT-Netzwerk zur Verfügung, in dem Sie Ihre eigene IT-Infrastruktur installieren und nutzen können.

• Sicherungs- bzw. Backup-Anbieter sorgen dafür, dass alle wichtigen Daten verschlüsselt gespeichert und abgelegt werden.

• Unternehmen, die Cloud-Computing und Datenaustauschdienste anbieten, stellen Ihnen eine Online-Plattform für Ihre Dokumente zur Verfügung (z.B. eine Art Dropbox oder FTP-Server).

Bei allen Partnern ist es wichtig, die zu erbringenden Dienste vertraglich genau zu vereinbaren. Dies geschieht in einem sogenannten Service-Level-Agreement (SLA).

Setzen Sie auf neutrale Beratung

Wenn Sie keine interne Fachperson haben, die sich mit diesen Dingen auskennt, sollten Sie unabhängigen Rat einholen. Das heisst, Sie brauchen einen Dienstleister, der sicherstellt, dass die IT-Spezialisten, die Sie beauftragen, ihren Verpflichtungen in Sachen Datenschutz wirklich nachkommen. Diese Fachleute bieten ihre Dienste als «Service-Provider-Manager» an. Dabei handelt es sich um einen eher neuen Beruf, der aus dem Bedürfnis heraus entstanden ist, die immer komplexer werdenden und anfälligeren IT-Umgebungen von heute zu verwalten.

Prüfen Sie Zusammenarbeit

Eine solche Dienstleistung hat ihren Preis. Deshalb ist es für kleinere Einrichtungen sicher interessant, im IT-Bereich mit anderen Institutionen zusammenzuarbeiten. Zudem existiert ein immer breiteres Angebot an Schulungen zum Thema Service-Provider-Management. Dadurch ist es möglich, die IT-Verantwortlichen Ihrer Institution weiterzubilden und deren Wissen auf den neuesten Stand zu bringen.

Dieser Beitrag wurde von France Santi (INSOS Schweiz) und Ernst Liniger (bprex group ag) verfasst und ursprünglich im November 2018 von INSOS in «INSOS – Das Magazin: Nr. 56» und im INSOS Blog publiziert.