2. April 2012 - Datenschutz-Organisation

Was bringt eine Datenschutz-Richtlinie wirklich?

Selbst Unternehmen, die umfassende Richtlinien zu Datenschutz und Datensicherheit haben, sind nicht vor Datenpannen gefeit. Da stellt sich dann schon mal die Frage, ob sich der Aufwand für interne Sicherheitsrichtlinien überhaupt lohnt. Die Antwort: Es kommt darauf an!

was-bringt-eine-datenschutz-richtlinie-wirklich-1.jpeg
Datenschutz-Richtlinien bieten nur dann maximale Sicherheit, wenn sie praxisnah und aktuell sind (Bild: Thinkstock)

„Passwortdiebstahl, Phishing und Trojaner: Deutsche Internetnutzer kennen zwar die Gefahren aus dem Netz – trotzdem verlässt sich knapp jeder Zweite (45 Prozent) noch immer auf sein eigenes Gespür statt auf professionelle Schutzmaßnahmen“, so das Ergebnis einer Microsoft-Studie im November 2011.

Zu einem ähnlichen Ergebnis kommt eine Studie von Xerox und McAfee: Auch wenn Unternehmen umfassende Sicherheitsrichtlinien haben, kommt es zu gefährlichen Datenpannen. Der Grund: Ein Drittel aller Beschäftigten hält sich schlicht nicht an die internen Vorgaben zu Datenschutz und Datensicherheit

Richtlinien: Viel Papier, wenig Wirkung?

Die genannte Umfrage von McAfee und Xerox zeigt außerdem, dass weitere 21 Prozent der Nutzer die Richtlinien in ihrem Unternehmen gar nicht kennen. Dagegen gibt es eine Abhilfe: Ihre Datenschutz-Unterweisung.

Was aber macht man dagegen, dass ein Drittel der Beschäftigten bewusst gegen die Richtlinien verstößt? Da stellt sich doch die Frage, ob der Aufwand für Datenschutz-Richtlinien und Datenschutz-Unterweisung nicht vertane Zeit ist.

Mit der Policy alleine ist es nicht getan

Keine Frage, ohne Richtlinien im Datenschutz und in der Datensicherheit geht es nicht. Eine Datenschutz-Richtlinie hat ihren Sinn: Die interne Policy bildet die Grundlage für jede Datenschutz-Unterweisung und letztlich auch für die Datenschutz-Kontrolle, wenn es um die Einhaltung interner Vorgaben geht. Doch es reicht nicht, eine Policy zu entwickeln und bekannt zu machen.

Richtlinien müssen leben

Viele Richtlinien haben das Problem, praxisfern zu sein, sie behindern scheinbar die tägliche Arbeit, und sie sind oftmals veraltet. Wen interessiert schon eine Richtlinie, die den Einsatz eines Browsers vorschreibt, den es schon lange nicht mehr gibt?


Download:


Typische Fehler bei Richtlinien vermeiden

Doch es gibt noch mehr Probleme, die zur Missachtung von Richtlinien führen:

  • Viele Richtlinien konzentrieren sich auf Forderungen und nennen keine verständliche Begründung, keine Ziele, die mit der Richtlinie erreicht werden sollen.
  • So manche Policy stellt hohe Anforderungen an die Nutzer, hilft aber kaum bei der Umsetzung. Es fehlt ein Verweis auf Hilfen, wie sich die Forderungen konkret in der Praxis umsetzen lassen.
  • Zudem ist es häufig so, dass das Management erst die fertige Version der Richtlinien bekommt und kurz mal die Freigabe erteilen soll. Die Folge: Das Management steht nicht hinter der Policy, und so etwas merken die Beschäftigten.
  • Verstöße gegen Richtlinien müssen geahndet werden – mehr noch, die möglichen Sanktionen müssen bereits im Vorfeld bekannt gemacht werden. Das wird gerne vergessen.
  • Zu einer lebendigen Richtlinie gehört es auch, dass das Feedback der Beschäftigten aufgenommen und berücksichtigt wird. Wenn ehrliche Kritik kein Gehör findet, können die Richtlinien auf keine Akzeptanz hoffen.

Nur wenn Ihre Datenschutz-Richtlinien wirklich aktuell, praxisnah, verständlich und gut begründet sind, haben sie mehr Wert als das Papier, auf dem sie gedruckt sind. Unternehmen, die ihre Richtlinien am grünen Tisch erarbeiten und danach nicht mehr anfassen, könnten es sich im Prinzip tatsächlich sparen, überhaupt Zeit in eine Policy zu stecken.

Prüfen Sie deshalb den Richtlinien-Prozess in Ihrem Unternehmen. Dabei hilft Ihnen die Checkliste.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln