Gesamten Datenfluss in den Blick nehmen

Auch in sozialwirtschaftlichen Organisationen werden täglich riesige Mengen an sensiblen Daten von Klientinnen und Klienten, Mitarbeiterinnen und Mitarbeitern sowie Geschäftspartnern gesammelt und verarbeitet. Diese Daten umfassen in der Sozialwirtschaft, insbesondere im Vergleich zu anderen Branchen, häufig sehr sensible und besonders schützenswerte Informationen, beispielsweise über den gesundheitlichen Zustand eines Klienten oder einer Klientin. Während der potenzielle Schaden bei einer verloren gegangenen, analogen Berichtsmappe vor einigen Jahren noch eingrenzbar gewesen ist, birgt die Digitalisierung, neben all ihren Vorteilen, die Gefahr, durch Unachtsamkeit oder fahrlässiges Verhalten große Mengen solcher Informationen versehentlich oder durch ein gezieltes Hacking offenzulegen. Ein Datenleck oder ein Datendiebstahl kann dabei schwere Folgen für die betroffenen Personen haben und gleichzeitig das öffentliche Vertrauen in die Organisation erheblich schädigen.

Der Schutz von Daten stellt also eine enorm wichtige Aufgabe für jede Organisation dar und ist mit dem Begriff Cybersecurity eng verknüpft. Hierbei muss der gesamte Datenfluss betrachtet werden.

Welche Daten sind besonders schützenswert? An welcher Stelle und zu welchem Zeitpunkt kommen sie in die Organisation? Wie und wo werden sie abgelegt und gespeichert? An welchen Stellen greifen welche Personen auf sie zu? Welche Daten müssen wie lange aufbewahrt und welche Daten müssen nach einer bestimmten Zeit endgültig aus den eigenen Systemen gelöscht werden? Diese Fragen müssen für die Organisation beantwortet und mit den richtigen Maßnahmen zur Gewährleistung eines optimalen Schutzes der sensiblen Informationen versehen werden. Diese Maßnahmen lassen sich dabei in mehrere Kategorien aufteilen.

Wissen über Datenschutz aufbauen

Um die geltenden Datenschutzrichtlinien sicher einzuhalten, braucht es Kompetenzen und Verantwortlichkeiten. Dieses Wissen muss innerhalb der Organisation aufgebaut werden. Ein fundiertes Grundlagenwissen über Daten und Datenschutz ist essentiell, um eine effektive und sicherer Verwaltung der Daten zu gewährleisten. Hierfür ist es sinnvoll, einen Datenschutzbeauftragten zu ernennen, der gleichzeitig die Prozesse Ihrer Organisation, entlang derer Daten erhoben und verarbeitet werden, gut kennt. Es ist sogar so, dass Organisationen mit mehr als 20 Mitarbeiterinnen und Mitarbeitern, die mit Daten in Berührung kommen, verpflichtet sind, einen Datenschutzbeauftragten zu benennen. Dies ist in der EU-Datenschutz-Grundverordnung (EU-DSGVO) geregelt, welche im Kern die Verarbeitung personenbezogener Daten durch Unternehmen und öffentliche Stellen regelt und der Geschäftsführung konkrete Richtlinien zur Orientierung bietet. Letztere trägt grundsätzlich immer die Verantwortung zur Einhaltung der Verordnung und muss dies prinzipiell auch nachweisen können, ob mit oder ohne Datenschutzbeauftragten.

Da die Regeln und Richtlinien regelmäßig Änderungen unterliegen und sich die Geschäftsprozesse weiterentwickeln, sollte am besten ein Datenschutzmanagementsystem etabliert werden, durch welches regelmäßig revolvierend geprüft wird, ob die relevanten Daten weiterhin korrekt geschützt werden und wo Risiken vorliegen und potenzielle Datenlecks entstehen können. In manchen Fällen und je nach Unternehmensgröße kann es auch hilfreich sein, auf externe Experten zurückzugreifen, welche bei der fundierten Entscheidungsfindung in diesem Kontext unterstützen können.

Funktionierende Hardware verwenden

Heutzutage ist es üblich, dass das Personal in der Sozialwirtschaft für die Dateneingabe und Datenverarbeitung auf eine Vielzahl unterschiedlicher Endgeräte zugreift – von Desktop-PCs über Tablets bis hin zu Smartphones. Um Datenlecks zu vermeiden, sollte die Mitarbeiterschaft dabei mit modernen und sicheren Geräten ausgestattet werden. Und während stationäre Tablets oder große Screens in den Fluren einer Einrichtung einen modernen Eindruck machen, muss auch hier darauf geachtet werden, dass sensible Daten nicht sichtbar oder nur nach erfolgter Authentifizierung durch das Personal einsehbar sind. Selbiges trifft auch auf mobile Geräte zu. Eine Zwei-Faktor-Authentifizierung und eine gute Verschlüsselung sorgen dafür, dass der Verlust eines Endgerätes kein potenziell organisationsbedrohendes Risiko darstellt. Auch weitere nicht sofort ersichtliche Risikofaktoren sind in den Blick zu nehmen, wie eine vielleicht suboptimale Verschlüsselung der WLAN-Netzwerke aller Einrichtungen. Ein offenes oder leicht zu knackendes WLAN, in welchem alle Endgeräte eingeloggt sind, stellt ein einfaches Einfallstor für Datendiebstahl oder Sabotage dar.

Richtige Software einsetzen

In vielen Organisationen sehen wir ein Sammelsurium unterschiedlicher, teils nicht miteinander kooperierender Software-Lösungen, ganz zu schweigen von analogen Prozessen, welche weiterhin Stift und Papier oder Abtippen mit Excel bedingen. Aus dem Blickpunkt Datensicherheit stellt dies häufig eine potenzielle Gefahrenquelle dar. Denn nicht automatisierte Schnittstellen und der Einsatz von papierhaften Lösungen sorgen nicht nur für mühsames und fehleranfälliges Übertragen von Daten. Sie sind zugleich ein Problem, wenn Tabellen und Dateien auf ungeschützten Austauschordnern, in Chats oder auf dem Desktop zwischengespeichert werden oder dort verweilen.

Die meisten Softwarehersteller bieten daher inzwischen integrierte Lösungen an, welche viele Anwendungsfälle unter einem Dach abdecken, datenschutzkonforme Speicherung ermöglichen und gleichzeitig Schnittstellen zu weiteren gängigen Anwendungen enthalten. Diese Faktoren sollten bei der Softwareauswahl und der Formulierung eines Lastenheftes eine wichtige Rolle spielen.

Mitarbeiterschaft befähigen

Neben einer IT-Abteilung, dem Controlling oder der Geschäftsführung sind es letztlich alle Mitarbeiterinnen und Mitarbeiter, die mit den Daten interagieren. Es ist daher besonders wichtig, regelmäßige Schulungen und Befähigungsformate zu etablieren, in denen das Personal für das Thema Daten und Gefahrenquellen sensibilisiert wird und konkrete Handlungsmaßgaben lernt, wie mit den Daten zu verfahren ist. Hierbei sollte der Schwerpunkt insbesondere auf den Umgang mit sensiblen Daten gelegt werden.

Gleichzeitig gilt es aber auch, die Mitarbeiterschaft nicht nur zu befähigen, sondern zu beteiligen und aktiv in die Prozesse einzubinden. Welche Ideen, welche Fragen hat das Personal? Welche Wünsche an Endgeräte und Software haben die Mitarbeiterinnen und Mitarbeiter, so dass der Umgang mit Daten vereinfacht und sicherer wird? Zuletzt ist es auch notwendig, insbesondere als Geschäftsführung in gewisser Weise eine Vorbildfunktion zu erfüllen und mit gutem Beispiel beim Thema Datenumgang voranzugehen.

Neben all den neuen Herausforderungen im Kontext Sicherheit, die einer digitalisierten und datengestützten Welt zugenommen haben, liegen die Vorteile der der Verarbeitung und Nutzbarmachung von Daten klar auf der Hand. Sie reduzieren händischen Dokumentationsaufwand, verschlanken Verwaltungsprozesse und tragen zu einer qualitativ höheren Leistungserbringung aufgrund einer bessere diagnostischen und klientenbezogenen Informationsbasis bei. Potenzielle Sicherheitsrisiken müssen dabei nur zwingend antizipiert und mit adäquaten Maßnahmenbündeln reduziert werden.

Der Autor:

Sven Buchholz ist Fachberater für die Bereiche Digitalisierung und Datenmanagement bei der rosenbaum nagy unternehmensberatung GmbH.
buchholz(at)rosenbaum-nagy.de

Die rosenbaum nagy unternehmensberatung unterstützt die Veröffentlichung und Verbreitung dieses Beitrags.