„1+1+1=1“ - Stimmt nicht! - Doch!

Natür­lich haben die Mathe­ma­ti­ker unter den Lesern Recht. Aller­dings geht es hier nicht um Mathe, son­dern um Pro­zess­ma­nage­ment. Was das nun wie­der mit Daten­schutz oder Infor­ma­ti­ons­si­cher­heit zu tun hat? Ein­fach weiterlesen.

Seit unge­fähr 3 Jah­ren machen wir regel­mä­ßig stets die sel­be Erfah­rung bzw. erhal­ten stets die sel­ben Ant­wor­ten auf eine bestimm­te Fra­ge. Wie die­se lau­tet? Eigent­lich ganz tri­vi­al. „Wie­so gibt es eigent­lich bei Ihnen im Haus 3 Pro­zes­se für die Mel­dung von IT-Stö­run­gen, von Daten­schutz­ver­let­zun­gen und von Sicher­heits­vor­fäl­len?“ Der geneig­te Leser erkennt sofort, hier tref­fen die drei The­men IT-Betrieb (bzw. IT-Ser­vice­ma­nage­ment), Daten­schutz und Infor­ma­ti­ons­si­cher­heit zusam­men. Doch wer­fen wir erst mal einen Blick auf die übli­chen Antworten.

Die IT durch­aus so (nicht immer, aber durch­aus anzu­tref­fen): „Wir haben dafür gar kei­nen Pro­zess. Bei uns kann jeder eine Stö­rung mel­den, wie er oder sie will. Per Tele­fon, per Email, per Ticket­sys­tem (sofern vor­han­den) oder per Turn­schuh (also vor der Tür zur Abtei­lung ste­hen und anklopfen).“

Der oder die Daten­schutz­be­auf­trag­te so: „Ich brau­che einen eige­nen Pro­zess wegen DSGVO.“ Selt­sa­mer­wei­se fin­det sich dazu gar nix im Geset­zes­text, aber was wis­sen wir schon.

Und dann bleibt dem oder der ISB nur noch das Ach­sel­zu­cken. Denn noch ein drit­ter Mel­de­weg ist meist nicht gewünscht.

Ab in den Helikopter

Was jetzt die­ses Flug­ge­rät mit Pro­zes­sen zu tun hat? Ganz ein­fach. Wir wech­seln mal in die sog. Heli­ko­pter- oder Vogel-Per­spek­ti­ve. Sprich wir ver­las­sen kurz die Wid­rig­kei­ten des All­tags, genie­ßen die Höhen­luft samt Aus­blick und rich­ten nach einer Wei­le des Kopf­frei­be­kom­mens den Blick nach unten auf unse­re Orga­ni­sa­ti­on. Aber nicht nur nach unten, son­dern auf die idea­ler­wei­se vor­han­de­nen Pro­zes­se der IT und des Datenschutzbeauftragten.

Der IT-Ser­vice­ma­nage­ment-Pro­zess Störung

Irgend­was geht nicht mit der Tech­nik am Arbeits­platz eines Mit­ar­bei­ters. Sei es Hard­ware oder Soft­ware, irgend­was zickt rum. Im Ide­al­fall gibt es Abhil­fe für die­sen ver­zwei­fel­ten Mit­ar­bei­ter über ein vor­han­de­nes Ticket-Sys­tem, eine Tele­fon-Hot­line oder ähn­li­ches. Dort nimmt sich eine vor­ge­la­ger­te Stel­le (der sog. 1st level sup­port) des Pro­blems an, führt eine Bewer­tung der Stö­rung durch z.B. im Hin­blick auf Dring­lich­keit und Kom­ple­xi­tät. Danach wird das „Ticket“ in den wei­te­ren Bear­bei­tungs­lauf in der IT gege­ben. Soll­te es sich um einen Sicher­heits­vor­fall mit schüt­zens­wer­ten Infor­ma­tio­nen han­deln, ist es eher Glück, wenn auch der zustän­di­ge Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te (ISB) invol­viert /​ infor­miert wird. Die­ses Schick­sal teilt zumeist auch der Daten­schutz­be­auf­trag­te (DSB), wenn es sich um einen Sicher­heits­vor­fall mit per­so­nen­be­zo­ge­nen Daten (einer Unter­men­ge der schüt­zens­wer­ten Infor­ma­tio­nen in einer Orga­ni­sa­ti­on) han­delt. In bei­den Fäl­len wäre aber nicht nur auf­grund von Art. 33, 34 DSGVO ein zeit­na­he Ein­bin­dung der bei­den Rol­len angeraten.

Der Mel­de­pro­zess für Datenschutzverletzungen

In vie­len Orga­ni­sa­tio­nen ist ein sol­cher Pro­zess durch­aus schon eta­bliert — und wird sogar genutzt. Meist hapert es beim Trig­gern (Anstoß des Pro­zes­ses) dar­an, dass der ursäch­li­che Aus­lö­ser nicht als mög­li­che Daten­schutz­ver­let­zung auf dem Schirm der Mel­den­den, also der Mit­ar­bei­ten­den ist. Aber das ist eine ande­re Bau­stel­le im Kon­text „Erken­nen und Mel­den von Daten­schutz­ver­let­zun­gen“. Dazu haben wir übri­gens für unse­re Daten­schutz-Kun­den eine Online-Schu­lung auf unse­rer eLear­ning-Platt­form am Start.
Im Pro­zess­ab­lauf wird die gemel­de­te Daten­schutz­ver­let­zung vom DSB im Hin­blick auf Schwe­re des Risi­kos (für den Betrof­fe­nen, nicht die Orga­ni­sa­ti­on) bewer­tet. Auf­grund die­ser Bewer­tung spricht der DSB an den Ver­ant­wort­li­chen (= die Orga­ni­sa­ti­on) eine Emp­feh­lung aus, die­se Daten­schutz­ver­let­zung nach Art. 33 DSGVO an die zustän­di­ge Lan­des­da­ten­schutz­be­hör­de evtl. in Ver­bin­dung mit Art. 34 DSGVO an die von der Pan­ne betrof­fe­nen Per­so­nen zu melden.
Par­al­lel dazu ist durch geeig­ne­te Maß­nah­men eine Aus­wei­tung des mög­li­chen Scha­dens zu mini­mie­ren. In der Nach­be­ar­bei­tung gilt es, tech­ni­sche und /​ oder orga­ni­sa­to­ri­sche Maß­nah­men zu pla­nen und umzu­set­zen. Damit soll eine Wie­der­ho­lung einer sol­chen Daten­schutz­ver­let­zung ver­mie­den werden.

Und dann war da noch der sog. Sicherheitsvorfall

In der Infor­ma­ti­ons­si­cher­heit gibt es eben­falls die Anfor­de­rung, und auch der gesun­de Men­schen­ver­stand gebie­tet die Not­wen­dig­keit, Sicher­heits­vor­fäl­le mit schüt­zens­wer­ten Infor­ma­tio­nen — egal wel­cher Art und Form — früh­zei­tig zu erken­nen. Und  dann an die not­wen­di­gen Stel­len intern zur Bewäl­ti­gung /​ Besei­ti­gung zu kom­mu­ni­zie­ren. Dabei ist es sehr wich­tig, nicht nur an die Unter­men­ge der IT-Sicher­heits­vor­fäl­le zu den­ken oder sich auf per­so­nen­be­zo­ge­ne Daten zu beschrän­ken. Die inter­nen Ansprech­part­ner soll­ten nun zeit­nah eine wei­te­re Eska­la­ti­on des Scha­dens so gut wie mög­lich unter­bin­den. Damit wer­den die Fol­gen für die Orga­ni­sa­ti­on mini­miert, wie Ruf­scha­den, Buß­gel­der, Scha­den­er­satz, mög­li­che Rechts- und Ver­trags­ver­stö­ße. Im Anschluß gilt es auch hier, in der Ana­ly­se und Nach­be­ar­bei­tung geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu pla­nen und ein­zu­füh­ren. Ziel: Die­se Art von Sicher­heits­vor­fall zukünf­tig mög­lichst unter­bin­den. Oft­mals wird hier­zu ein wei­te­rer Mel­de­pro­zess in der Orga­ni­sa­ti­on eta­bliert. Durch­aus unter Zuhil­fe­nah­me der sog. IT-Not­fall-Mel­de­kar­te des BSI.

Pro­ble­ma­tik in der Praxis

Aber ist ein Sicher­heits­vor­fall auto­ma­tisch ein IT-Not­fall? Kön­nen Stö­run­gen nicht in einen Not­fall eska­lie­ren? Sind Daten­schutz­ver­let­zun­gen nicht auch ein Sicher­heits­vor­fall oder Not­fall (je nach Ausprägung)?

Und noch viel schwerwiegender:

• Wel­chen Pro­zess sol­len denn nun die in den Begriff­lich­kei­ten Stö­rung, Daten­schutz­ver­let­zung, Sicher­heits­vor­fall und Not­fall unbe­darf­ten Mit­ar­bei­ten­den eigent­lich nutzen?
• Und was ist, wenn Mit­ar­bei­ten­de aus Ver­se­hen bzw. aus Unwis­sen­heit im fal­schen Mel­de­pro­zess lan­den? Heißt es dann „Nicht mein Tisch. Bit­te nut­zen Sie den für Ihren Vor­gang vor­ge­se­he­nen Meldeweg!“
• Und wer sich mit Pro­zess­ma­nage­ment und /​ oder Qua­li­täts­ma­nage­ment befasst, der ist eh kein Freund von drei mehr oder weni­ger iden­ti­schen Arbeits­ab­läu­fen für ähn­li­che Vorgänge.

Es geht auf jeden Fall wich­ti­ge Zeit ver­lo­ren, die im Fal­le eines eska­lie­ren­den Sicher­heits­vor­falls drin­gend benö­tigt wird, um das poten­ti­el­le Aus­maß für die Orga­ni­sa­ti­on ein­zu­däm­men. Von den gan­zen Doku­men­ta­ti­ons- und Pfle­ge­ar­bei­ten für drei Pro­zes­se ganz zu schweigen.

Ein mög­li­cher Lösungsansatz

Ja, jetzt for­miert sich Wider­stand! „Haben wir ja noch nie so gemacht“, „Haben wir schon immer anders gemacht“, “Bis zu mei­ner Ren­te in 5 Jah­ren füh­re ich nichts Neu­es mehr ein”, “Wo steht, dass wir das so machen müs­sen?” und was es alles für Grün­de gibt, Ver­än­de­run­gen mög­lichst zu ver­mei­den. Mensch­lich. Und ver­ständ­lich. Es heißt nicht umsonst, der Mensch ist ein Gewohn­heits­tier. Aber spie­len wir es doch ein­fach mal gedank­lich durch.

Allen drei zuvor genann­ten Pro­zes­sen ist gemein: Es kommt eine Mel­dung rein. Die­se wird bewer­tet. Dann wird eine ent­spre­chen­de Akti­vi­tät aus­ge­löst. Bei Bedarf erfolgt eine Ana­ly­se und Nach­be­ar­bei­tung, damit sich der Vor­fall mög­lichst nicht so oft wie­der­holt. Damit haben wir den gro­ben gemein­sa­men Nen­ner hin­ter allen drei Pro­zes­sen schon gefun­den. Gar nicht so schwierig.

Betrach­ten wir das mal (erst ohne dann mit Ablauf­ver­bin­der) als gra­fi­schen Pro­zess­ab­lauf. Den Punkt Nach­be­ar­bei­tung haben wir an der Stel­le der Über­sicht­lich­keit hal­ber aus­ge­spart. Aber das ändert nix an der Sache.

1. Pro­zess ITSM Störung

2. Pro­zess Datenschutzverletzung

3. Pro­zess Sicherheitsvorfall

Ui, die sind ja alle­samt (fast) deckungs­gleich. Na sowas aber auch. 🙂 Jetzt ver­schmel­zen wir die 3 Pro­zes­se mal zu einem neu­en Prozess.

Und fügen nun noch die Ablauf­ver­bin­der dazu.

Huch, 1+1+1 ergibt auf ein Mal doch 1 und nicht 3. Quod erat demonstrandum. 🙂

Was es dafür benötigt?

1. Blick über den Tel­ler­rand bei den Betei­lig­ten (IT, DSB, ISB und wer sonst noch so benö­tigt wird)
2. Über Bord mit ein­ge­fah­re­nen Sicht- und Denkweisen
3. Die Ein­sicht. dass es auch anders und bes­ser gehen kann
4. Den Wil­len zur Veränderung
5. Am Ende einen gut geschul­ten 1st level sup­port, der die not­wen­di­gen Play­er (ISB /​ DSB) bei Bedarf zeit­nah mit einbindet

Vor­tei­le

1. Ein zen­tra­ler Mel­de­punkt für die Mitarbeitenden
2. Ver­mei­dung von Irr­läu­fern bzw. zeit­lich im Hin­blick auf Mel­de­fris­ten rele­van­ten Verlusten
3. Eine zen­tra­le Stel­le der Doku­men­ta­ti­on (z.B. Ticketsystem)
4. 1 statt 3 Pro­zes­se = ver­rin­ger­ter Pfle­ge- und Doku­men­ta­ti­ons­auf­wand (2/​3 gespart), weni­ger Schu­lungs­be­darf bei den Mitarbeitenden

Nach­tei­le

1. Man muss was ändern
2. Es benö­tigt einen geschul­ten 1st level sup­port für die Erst­be­wer­tung und mög­li­che Ein­bin­dung von ISB /​ DSB
3. Ein Ticket­sys­tem zur Bear­bei­tung und Dokumentation
4. Daten­schutz braucht halt doch kei­nen eige­nen Pro­zess 🙂 (Stich­wort “Tanz um das gol­de­ne Kalb”)

Schau­en wir kon­kre­ter auf die Nach­tei­le, so stel­len wir fest: 1 und 4 sind mehr emo­tio­na­le Befind­lich­kei­ten. 2 ist kein Nach­teil, son­dern soll­te eigent­lich Stan­dard sein. Und 3, ja, gegen 3 wird oft sei­tens der IT gewet­tert. Braucht man nicht. Zu umständ­lich. Wir wer­den trans­pa­rent. Hal­lo? Es muss nicht der Rolls Roy­ce sein. Selbst die ein­fachs­ten, auf einem Raspber­ry Pi lauf­fä­hi­gen open source Ticket-Sys­te­me sind ein­fach in der Instal­la­ti­on sowie im Betrieb und leis­ten schon Erheb­li­ches. Und was ist schlecht an Trans­pa­renz? Wird nicht dau­ernd ange­zwei­felt, dass der Per­so­nal­be­darf der IT not­wen­dig ist? “Was machen die da eigent­lich den gan­zen Tag?” Dabei sind vie­le IT-Abtei­lun­gen nur noch als Turn­schuh-Admins unter­wegs. Stra­te­gi­sches Den­ken, Arbei­ten und Han­deln, da bleibt gar kei­ne Zeit für. Über ein gut gepfleg­tes Ticket-Sys­tem kann die IT das sehr gut bele­gen und bei Bedarf wei­te­re Per­so­nal­res­sour­cen ein­for­dern. Hat doch alles sein Gutes. Außer man hat sich und der Orga­ni­sa­ti­on die gan­ze Zeit im Hin­blick auf die Arbeits­be­las­tung in der IT etwas vor­ge­macht. Aber das sind eher sehr sel­te­ne Aus­nah­men als die Regel.

Think about it — Gutes Gelingen!

Ger­ne unter­stüt­zen wir Sie im Rah­men unse­rer Bera­tungs­leis­tun­gen rund um Daten­schutz und Infor­ma­ti­ons­si­cher­heit bei sol­chen Vor­ha­ben. Spre­chen Sie uns ein­fach an.