ADDAG GmbH&Co.KG 2013, Dr. Ralf W. Schadowski, 1
Bessere Sicherheitskultur im Unternehmen durch Einbindung von Mitarbeitern. - Ein Bericht aus der Praxis. - Köln, 4. Dezember 2013 ADDAG GmbH&Co.KG 2013, Dr. Ralf W. Schadowski, 2
Auf ein Wort Datenschutz aus Passion Vitae: Naturwissenschaftler > IT Leiter > Unternehmer > 25 Jahre IT Sicherheit > Vollzeit Datenschutzbeauftragter Jahrgang 1966, verheiratet, 2 Söhne, 25 Mitarbeiter Mandate bundesweit: 20-4500 Mitarbeiter börsennotiert Einsätze weltweit: Datacenter Detroit, UHD Krakau, > 200 Unternehmen auditiert Die gesammelte Erfahrung ist unser Kapital. 3
Die wichtigste Botschaft vorweg: BDSG Entscheider ignorieren dieses G und unterliegen schnell dem Vorwurf der FAHRLÄSSIGKEIT Oder stülpen jemandem die Kappe Datenschutzbeauftragter über, ohne Umsetzung > Vorwurf der Täuschung. Angemessener Datenschutz ist nicht teuer! gestaltet, bringt die Organisation in den Abläufen voran! macht nicht viel Arbeit! Geschäftspartner wollen heute nicht nur ein QM / ISO sehen, sondern auch eine Umsetzung der Datenschutz Anforderungen. >> Qualitätsmerkmal, Vertrauen. 4
Was in vielen Unternehmen fehlt ist die Einbindung der Mitarbeiter in die Unternehmenssicherheit. Meistens wird nur auf technische Einrichtungen und die verbundenen Kosten geschaut. Fehler! Die Formel lautet: Effektive Betriebssicherheit = IT Sicherheit + wache Mitarbeiter 5
Der Beginn: Der Eintritt in die Organisation Oder: Der Starter Prozess Erfassung aller Daten vom neuen Mitarbeiter an einer zentralen Stelle Rechtzeitiges Anstoßen von Abläufen von einer zentralen Stelle Assetbeschaffungen ZZZ Berechtigungen Mentor Zuweisung, Einarbeitungsphasen festlegen Ausbildungsstrecke für Maschinen, Systeme, Unternehmensverständnis von Sicherheit Datenschutz Mitarbeitersensibilisierung Verpflichtung auf BDSG, TKG, SGB, 6
Die Datenschutz Unterweisung PERSÖNLICH durch den Datenschutzbeauftragten Werbung für 1. das Verständnis von Datenschutz und Datennutzung in der Organisation 2. die Person des DSB - sonst wird der/diejenige niemals im Alltag angesprochen auf Missstände. UNTERHALTSAM auf das Verhalten AUSSERHALB des Unternehmens schulen McDonalds Happy Hour Hotel / Hotspot Reisende Mitarbeiter, in D / EU / ROW Mobile Daten Social Media Nutzung 7
Einmal reicht nicht! Wiederholen Sie die Mitarbeitersensibilisierungen regelmäßig Für jeden Mitarbeiter mindestens einmal pro 15 Monate Die Anforderungen an Sicherheit verändern sich Neue Mitarbeiter kommen hinzu Stamm-Mitarbeiter waren ggfs. nicht anwesend Nur so erzeugen wir ein gemeinsames Verständnis einer Sicherheits-Kultur in der Organisation. Unser Prinzip: An jedem vor-ort-tag gleichzeitig auch eine Mitarbeitersensibilisierung anbieten Verteilte Teilnahme der Abteilungen ohne Stillstand des Betriebes Positive Verstärkung durch den Flurfunk Datenschutz immer wieder in aller Munde. 8
TIPP: Interaktiv! Nutzen Sie alle Medien in der Sensibilisierung Folien Papier Kurze Videos IMPULS: Interaktiv mit Votingsystemen Die Teilnehmer mit Spaß in der Sensibilisierung halten jeder kommt gerne wieder. Lernzielkontrolle. Anonyme Erfassung von Meinungen an unterschiedlichen Standorten oder in unterschiedlichen Gruppen. 9
bis zum Ende - der Trennung. Oder: Der Leaver-Prozess Spätestens jetzt wird klar, warum EINE zentrale Stelle zur Verwaltung notwendig war im Starter Prozess. Aufklärung des ausscheidenden Mitarbeiters: Rückgabe Assets Datenlöschung persönlicher Daten (Systeme, Cloud, Akten, KFZ, ) Einverständnis an das Unternehmen zur weiteren Verwendung ALLER verbleibender Daten Aufklärung bzgl. Kennwörter und Datenmitnahme (StGB) Spezialfall: Vererbung von personenbezogenen Daten an Erben bei Tod des Mitarbeiters. 10
Auf einen Blick: Starter-Prozess Assets, ZZZ, Abläufe. Erst-Sensibilisierung Verständnis der Sicherheitskultur. Verpflichtungen Gesetzlich gefordert. Fortlaufende-Sensibilisierung 1xp.a. Sicherheitskultur ausbauen. Leaver-Prozess Klarheit schaffen. 11
Datenschutz@schadowski.com www.schadowski.com