Mein Datenschutz-Blog - #THEPRIVÄCY

Hier bloggt das Deutsche Zentrum für Datenschutz & Informationssicherheit (DZDI) als Teil der yourIT Group. Seit über 15 Jahren ist unser Team für Sie tätig als Berater, Implementer, Auditor, Trainer sowie als externer Informationssicherheits- (ISB) und Datenschutzbeauftragter (DSB) rund um EU-DSGVO, BDSG-neu und ISO 27001. Unsere Kunden sind u.a. mittelständische und Konzern-Unternehmen, Praxen, Kanzleien, etc. Dabei nutzen wir sofern möglich die Ihrem Unternehmen zustehenden Fördermittel.

Dienstag, 25. Januar 2022

Uns passiert schon nichts! Oder: warum Risikomanagement im Mittelstand nicht nur QM ist.

Uns passiert schon nichts! Oder: warum Risikomanagement im Mittelstand unverzichtbar ist.

Ein mittelständisches Unternehmen ist einer Vielzahl von Risiken ausgesetzt - Produktrisiken, Datenpannen, Hackerangriffen und zunehmend auch Naturkatastrophen. Das Ergebnis sind in der Regel mehrere teure, aufwändige und umständliche Managementsysteme mit denen die Unternehmensleitung versucht, diese Risiken beherrschbar zu machen. Aber das muss nicht sein - die Integration aller relevanten Risiken in einem einzigen Managementsystem bietet eine Vielzahl von Vorteilen.

Größte Gefahr: IT

Nach dem aktuellen Risikobarometer des zur Allianz Gruppe gehörenden Industrieversicherers AGCS sehen Experten in der IT die größte Gefahr für ihre Unternehmen. Erpressung oder Schäden wie ein Produktionsstopp durch Hackerangriffe rangieren inzwischen vor den "klassischen" Risiken wie Schäden durch Naturkatastrophen oder Betriebsunterbrechungen. Quelle: Risikobarometer 2021 der AGCS

Informationssicherheitsmanagement ist in der heutigen Zeit unverzichtbar

Die Ergebnisse dieser globalen Studie zeigen eindeutig: Informationssicherheitsmanagement ist in der heutigen Zeit unverzichtbar. Auch im Mittelstand. Eine Zertifizierung nach ISO 27001 ist schon längst mehr als nur ein nettes AddOn - sie ist Marketingargument, Anforderung von Kunden und / oder Förderprogrammen und oft auch Voraussetzung für den Abschluss wichtiger Versicherungen wie z.B. der Cyberrisk-Versicherung.

Dafür sind wir doch viel zu klein! - Ein immer noch weit verbreiteter Trugschluss

Und nicht nur Informationssicherheitsmanagement ist auch im Mittelstand notwendig - gesetzliche Vorgaben wie auch Kundenanforderungen bestehen unabhängig von der Unternehmensgröße. Die EU-DSGVO als Grundlage des Datenschutzrechts bemisst ihre Anforderungen an das Datenschutzmanagementsystem eines Unternehmens danach, welche personenbezogenen Daten das Unternehmen verarbeitet. Nicht an der Mitarbeiterzahl oder am Jahresumsatz. Ähnlich sieht es im Bereich Qualitätsmanagement aus - wer Produkte herstellt, von denen hohe Risiken für die Endverbraucher ausgehen können - z.B. Autoteile oder Medizinprodukte - von dem erwarten Endkunden wie auch Weiterverarbeiter die Erfüllung der gängigen Industrienormen. Inhalt und Detailgrad des dafür notwendigen Qualitätsmanagementsystems folgend auch hier aus den Risiken, nicht aus der Unternehmensgröße.

Ein durchschnittliches mittelständisches Unternehmen hat somit mindestens drei Managementsysteme, die dauerhaft und wirkungsvoll bestrieben werden müssen:

Datenschutzmanagement: gesetzlich vorgeschrieben durch die EU-DSGVO
Informationssicherheitsmanagement: unverzichtbar zum Schutz von Betriebsgeheimnissen und zum Schutz vor Betriebsunterbrechungen
Qualitätsmanagement: in vielen Branchen bereits de-facto-Voraussetzung für die Auftragserteilung

Hinzu kommen andere, zum Teil branchen- oder lokationsbezogene Anforderungen: Umweltmanagement in Bezug auf Gefahrstoffe oder Naturkatastrophen, Public Relations-Management für Produkte, die in der öffentlichen Meinung stark polarisieren oder verstärkte Legal Compliance wo sich Wettbewerbs- oder sonstige Rechtsverstöße häufen.

Die Herausforderungen: Vielfältig und komplex

An der Notwendigkeit von Risikomanagement auch im Mittelstand kann also kein Zweifel bestehen - ebenso wenig an der Notwendigkeit des Betriebs entsprechender Managementsysteme. Die Herausforderung ist das "wie".

Wie betreibe ich als Mittelständler ein erfolgreiches Datenschutzmanagement, Informationssicherheitsmanagement und Qualitätsmanagement?
Wie betreibe ich meine Managementsysteme so, dass der Aufwand bezahlbar bleibt?
Wie betreibe ich meine Managementsysteme so, dass keine Konflikte oder Lücken zwischen ihnen entstehen?
Wie nutze ich meine Managementsysteme so, dass sie mehr können als nur "Risikoabwehr"? Wie generiere ich Nutzen für meinen Geschäftsbetrieb?

Mit diesen Fragen möchten wir uns in den nächsten Wochen am Datenschutz-Dienstag beschäftigen. Unsere Themen für die nächsten Wochen:

01.02.2022: Und jetzt? Datenschutz fertig? - Oder auch: Aufbauen alleine reicht nicht - ein erfolgreiches Managementsystem muss gelebt werden. Langfristig.
08.02.2022: Was gilt? Über die Notwendigkeit einer Dokumentenhierarchie im Risikomanagement - Oder auch: Eine Unternehmensleitlinie muss her - damit alle Mitarbeiter und alle Managementsysteme in dieselbe Richtung laufen.
15.02.2022: Wenn ich das gewusst hätte! Oder: wie man sicherstellt, dass jeder mitbekommt, was er wissen sollte - Denn die Risiken werden nicht von Dokumenten erkannt und minimiert, sondern von Mitarbeitern.
10.02.2022 / 16.02.2022 Live-Webinar: Ein Geschäftsprozess, viele Risiken. Risikoanalyse und Risikomanagement als Teamsportart - Oder auch: Warum Managementsysteme nur gemeinsam erfolgreich sein können. Jetzt anmelden.

Möchten Sie mehr über mittelstandstaugliches Datenschutz- und Informationssicherheitsmanagement made by yourIT wissen? Kein Problem!

Jetzt Kontakt aufnehmen

Seiten