Kundenfall

Wie Novicell mit 400 Mitarbeitern, die täglich mit personenbezogenen Daten umgehen, die DSGVO-Vorschriften einhält

Geschrieben von Anders Bryde Thornild | 06.05.2022 19:12:11

Novicell befasst sich intensiv mit der DSGVO, da sie sowohl eine Kundenanforderung als auch eine gesetzliche Vorschrift ist. Novicell ist ein IT-Unternehmen, das für viele Kunden beratend tätig ist und dabei viele persönliche Daten verarbeitet. Für den Umgang mit diesen Daten ist es von entscheidender Bedeutung gute Verfahren zu verfügen und Mitarbeiter*innen zu haben, die wissen, worauf sie bei ihrer täglichen Arbeit zu achten haben. Es geht darum, komplexe Rechtstexte so zu gestalten, dass sie für alle Mitarbeiter*innen im Arbeitsalltag leicht verständlich und umsetzbar sind. 

Wir haben mit Anne gesprochen, die für die Umsetzung all dieser Maßnahmen verantwortlich ist. Sie sorgt dafür, dass Novicell über die richtigen Verfahren verfügt und dass die Mitarbeiter*innen wissen, wie diese zu befolgen sind.  

Lesen Sie den ganzen Artikel oder erfahren Sie direkt, wie Anne unser Awareness-Training genutzt hat. 


Wer ist  Novicell?

    • IT-Firma - Digitale Berater  
    • Mitarbeiter: 400 in 6 verschiedenen Ländern  
    • Gegründet: 1997  
    • Erworben: 2005 

Wer ist Anne?  

Anne ist bei Novicell für die Datenschutzbestimmungen zuständig. 

  • Anne Mølgaard Brøndum

  • Leiterin der Rechtsabteilung bei Novicell  

  • Verantwortlich für die Einhaltung der DSGVO 

  • Cand.Merc (Jur.) – Hat ihre Masterarbeit über Arbeitsrecht und personenbezogene Daten geschrieben 

 

Table of content

 

Wer ist Novicell und Anne?

Novicell ist ein dänisches IT-Unternehmen, das anderen Unternehmen digitale Beratung anbietet. Das bedeutet, dass Novicell Unternehmen bei einer Vielzahl von Dingen hilft. Sie helfen bei Webentwicklung, E-Commerce, digitalen Strategien, digitalem Marketing, UX und vielem mehr. Man könnte sie als Experten für digitale Geschäftsentwicklung bezeichnen. Das Unternehmen ist seit einigen Jahrzehnten erfolgreich und beschäftigt heute mehr als 400 Mitarbeiter in 6 Ländern, mit Hauptsitz in Dänemark. 

Anne Mølgaard Brøndum ist eine der 400 Beschäftigten. Anne ist Leiterin der Rechtsabteilung bei Novicell und dafür verantwortlich, dass Novicell die DSGVO-Vorschriften einhält. Anne hat ihre Masterarbeit über Arbeitsrecht und personenbezogene Daten geschrieben, was in vielerlei Hinsicht ein perfekter Einstieg in die Geheimnisse der Datenschutz-Grundverordnung ist. 

Wir haben mit Anne über ihre Arbeit bei Novicell gesprochen und darüber, wie sie sicherstellt, dass das Unternehmen die DSGVO-Vorschriften einhält.

Wie Novicell eine Strategie für die DSGVO-Arbeit entwickelt hat

Die Datenschutzgrundverordnung wird bleiben. Wir alle kennen die Regeln, aber wir sind immer noch etwas unsicher, wie wir sie richtig befolgen sollen, weil es an Beispielen aus der Praxis fehlt. Die Regeln sind in vielerlei Hinsicht dieselben wie vor der DSGVO, aber die DSGVO hat dafür gesorgt, dass Unternehmen beginnen, ihnen Priorität einzuräumen.  

Anne hat die Aufgabe, dafür zu sorgen, dass Novicell DSGVO konform ist. Es ist schwer, eine einfache, konkrete Strategie für die DSGVO-Arbeit zu haben, und stattdessen tut Anne zwei verschiedene Dinge, um die Arbeit bei Novicell zu gestalten. Erstens wird das Unternehmen jedes Jahr nach ISAE 3000 geprüft, was bedeutet, dass bestimmte Regeln und Standards eingehalten werden müssen. Zweitens verfolgt Anne, was andere Unternehmen tun und informiert sich über aktuelle Neuigkeiten der Datenschutzbehörde. Somit holt sie sich Inspirationen und bleibt immer auf dem neuesten Stand. Sie passt die Prozesse von Novicell ständig an, um sicherzustellen, dass sie den besten Praktiken entsprechen. 

Wie Anne es ausdrückt:  

"Es gibt immer etwas Neues. Es ist wichtig, den Finger am Puls der Zeit zu haben. Es gibt neue Mitteilungen von der Datenschutzbehörde. Neue Rechtsfälle. Neue Richtlinien. Wir versuchen, uns anzupassen und auf dem Laufenden zu bleiben." 

Natürlich führen die Überprüfung und das Ausschauhalten nach neuen Richtlinien und Inspirationen zum letzten Teil der "Strategie", nämlich dafür zu sorgen, dass alle Mitarbeiter*innen verstehen, warum sie jeden Tag persönliche Daten schützen müssen. 

Die ISAE 3000 als Rahmen für ihre DSGVO-Arbeit

Novicell hat sich dafür entschieden, jedes Jahr geprüft zu werden. Anne erklärt, dass dies eine Menge Aufgaben mit sich bringt, da der Prüfungsprozess eine Reihe von Standards für den Umgang mit personenbezogenen Daten vorgibt, die erfüllt werden müssen. Auf diese Weise dient der ISAE 3000 als Rahmen für die Arbeit im Zusammenhang mit der DSGVO.  

Vor allem am Anfang, als Novicell zum ersten Mal geprüft wurde, halfen alle neuen Anforderungen dem Unternehmen, einen strukturierten Ansatz für die Arbeit im Rahmen der DSGVO zu finden, und stärkten zudem die Sicherheit. Heute dient die Prüfung eher als jährliche Kontrolle, um sicherzustellen, dass sie die Vorschriften einhalten. Für die tägliche Arbeit im Zusammenhang mit der DSGVO ist das Prüfungsverfahren daher nicht mehr der wichtigste Faktor. 

Aber es ist immer noch wertvoll. Es ist hilfreich, einmal im Jahr externe Prüfer kommen zu lassen, die Ihre Arbeit überprüfen, da sie manchmal kleine Schwachstellen finden, die verbessert werden können:  

"Wenn sie einmal im Jahr hier sind, kontrollieren und überprüfen sie uns von A-Z. Jedes Jahr bringen diese Kontrollen neue Herausforderungen mit sich, so dass sich für uns neue Aufgaben ergeben.” 

Zusätzlich zu den Aufgaben, die sich aus den Inspektionen ergeben, hält der jährliche Besuch der Prüfer Anne und ihr Team auf Trab.

Novicell begann mit einem Typ-1-Prüfungsbericht, bevor es einen Typ-2-Bericht erhielt

Im ersten Jahr, in dem Novicell geprüft wurde, erhielt das Unternehmen einen Typ-1-Bericht. Ein Typ-1-Bericht ist das Fundament, auf dem man sozusagen das Haus baut. Das bedeutet, dass ein Typ-1-Prüfungsbericht die Verfahren und Kontrollen aufzeichnet, die die Organisation eingeführt hat, aber nicht, wie sie diese durchführt. Dies ist oft ein guter Einstieg, da er billiger ist und weniger Arbeit erfordert als eine Typ-2-Prüfung.    

2020 und 2021 erhielt Novicell den Typ-2-Prüfungsbericht. Hier reicht es nicht aus, Verfahren und Kontrollen einzurichten, sondern es muss auch nachgewiesen werden, dass die Organisation entsprechend arbeitet, indem ein externer Wirtschaftsprüfer die Abläufe prüft. Das ist zwar eine Menge Arbeit, aber es ist auch eine gute Möglichkeit, um zu überprüfen, ob man alles richtig macht, wie Anne sagt: 

"Beim ersten Mal ist es am schwierigsten, aber man bekommt auch einen besseren Einblick, ob man die Gesetze richtig anwendet. Es war richtig toll, als die Buchalter sagten, wir hätten eine der besten Einrichtungen, die sie je gesehen haben. Das gibt mir ein gutes Gefühl und die Zuversicht, dass wir das Richtige tun." 

Die Prüfungsberichte sind ein Mittel zur Überprüfung der Arbeit, die Sie in Ihrer Organisation leisten. 

Der Prüfbericht ist ein Wettbewerbsvorteil 

Die ISAE 3000-Zertifizierung stärkt nicht nur Ihre Sicherheit, indem sie sicherstellt, dass Sie personenbezogene Daten ordnungsgemäß schützen, sondern hat auch einige Vorteile für die Markenbildung. Es ist ein überzeugendes Verkaufsargument, dass Novicell seinen Kunden zeigen kann, dass es zertifiziert ist, weil es zeigt, dass es die Datenschutz-Grundverordnung ernst nimmt. Offensichtlich ergreift das Unternehmen ernsthafte Maßnahmen zur Einhaltung der DSGVO. 

"Das ist ein enormer Wettbewerbsvorteil. Es schafft einen gewissen Mehrwert für unsere Kunden. Und für mich und Novicell ist es wertvoll, zu wissen, dass eine externe Partei unsere Arbeit überprüft hat. Es sind nicht nur wir selbst, die sagen, dass wir es im Griff haben." 

Für Novicell ergibt sich daraus ein Mehrwert, denn es schafft Vertrauen und gibt Kunden und Partnern die Gewissheit, dass Novicell weiß, was es tut, wenn es mit personenbezogenen Daten umgeht. 

Mit der DSGVO auf dem Laufenden bleiben

Der zweite Teil der Strategie für Anne besteht darin, auf dem Laufenden zu bleiben und sich anzupassen. Der Grund dafür ist, dass sich die DSGVO-Landschaft ständig weiterentwickelt. Das bedeutet, dass Sie nicht nur der Verordnung selbst, sondern auch neue Rechtsfälle und Empfehlungen verfolgen müssen, um sicherzustellen, dass Sie auf dem neuesten Stand sind. Gerichtsverfahren schaffen Präzedenzfälle, die Ihnen helfen zu wissen, wie viel oder wie wenig Sie tun müssen, um die Vorschriften einzuhalten. 

Kurz gesagt: Das Lernen hört nie auf.  

Ein großer Teil von Annes Arbeit besteht darin, sich über die Aktivitäten von Datatilsynet (der dänischen Datenschutzbehörde), Branchenführern (Unternehmen, die nur mit DSGVO arbeiten) und anderen auf dem Laufenden zu halten. Dann prüft sie immer, ob die Neuigkeiten für Novicell relevant sind. Wenn ja, dann geht es darum, sie in die Tat umzusetzen. Daher muss sie bei ihrer Arbeit im Bereich der Datenschutzgrundverordnung flexibel sein, da sich der Umfang der Arbeit ständig ändert. 

Aktuelle Themen für alle Mitarbeiter in die Praxis umsetzen 

Es ist eine Menge Arbeit, die Neuigkeiten oder Empfehlungen auszuwerten und für alle Mitarbeiter*innen umzusetzen. Vereinfacht kann man es auf drei Schritte runter brechen:  

  • Sammeln von Informationen/Inspiration aus Nachrichten/Unternehmen/Rechtsfällen 
  • Das Ganze in eine rechtliche Perspektive stellen (was sagt die Datenschutz-Grundverordnung dazu) 
  • Aus Recht und Inspiration einen pragmatischen Ansatz entwickeln 
Aber wie macht man das? 

Sie könnten zum Beispiel feststellen,
dass Sie eine IT-Sicherheitsrichtlinie benötigen. Das ist zwar schön und gut, aber was nützt das den Mitarbeitern*innen, die die Richtlinie für ihre tägliche Arbeit als irrelevant empfinden? In diesem Fall hat Anne alle für die Mitarbeiter*innen relevanten Dinge herausgegriffen und einen kleinen Leitfaden/Handbuch erstellt, der nur die relevanten und umsetzbaren Informationen für die Mitarbeiter*innen enthält. Auf diese Weise sorgt sie dafür, dass das strategische Dokument für alle nützlich wird.   

Zum kleinen Handbuch komme ich später zurück, da es ein wichtiger Bestandteil von Annes Arbeit ist. 

Der Prüfungsbericht und die ständige Aktualisierung bilden den Rahmen für vieles, was Anne tut, aber worum geht es dabei wirklich? 

Die größte Herausforderung ist die Kommunikation  

Die größte Herausforderung besteht darin, eine Organisationskultur zu schaffen, die sicherstellt, dass Novicell die DSGVO-Vorschriften einhält. Auch wenn Anne weiß, was zu tun ist, kann sie es nicht ganz allein schaffen. Alle Angestellten müssen ihren Beitrag dazu leisten. Für Anna ist einer der größten Herausforderung die Kommunikation. Sie muss die Komplexität der Datenschutz-Grundverordnung in umsetzbare Prozesse für die Angestellten übersetzen. Außerdem muss sie dafür sorgen, dass alle Mitarbeiter*innen verstehen, warum die Einhaltung der Vorschriften im hektischen Arbeitsalltag wichtig ist, und sicherstellen, dass sie diese befolgen. Die Mitarbeiter*innen müssen nicht alles wissen, aber sie müssen wissen, was zu tun ist und worauf sie achten müssen.    

"Eine weitere Herausforderung besteht darin, der Ausbildung des Personals Priorität einzuräumen. Denn es kann für Mitarbeiter*innen schwierig sein, Prioritäten zu setzen, wenn sie einen vollen Kalender mit Kundenterminen, Deadlines und Launches haben." 

Gute Kommunikation ist die Antwort.  

Der Schlüssel zum alltäglichen Umgang mit der DSGVO ist ein Handbuch und Sensibilisierungsschulungen für Mitarbeiter 

Die Datenschutz-Grundverordnung ist nicht sexy und begeistert die Mitarbeiter*innen nicht gerade. Für die meisten Menschen ist die DSGVO ein ermüdendes Thema, da sie sie als Hindernis für ihre Arbeit sehen. 

"Ich habe viel Zeit damit verbracht, die DSGVO nicht als etwas Beängstigendes darzustellen, sondern sie mit etwas Positivem in Verbindung zu bringen. Am Anfang hörte ich viele Leute sagen: 'Oh, was sind das für zusätzliche Anforderungen' oder 'Das wird wirklich kompliziert'. Also habe ich versucht zu zeigen, wie wir das mit vielen kleinen Schritten bewältigen können." 

Auch wenn die Datenschutz-Grundverordnung eine rechtliche Herausforderung darstellt, geht es auch um Kommunikation, Prozesse und darum, andere an Bord zu holen. Anne hat sich sehr darauf konzentriert, wie sie die Herausforderungen formuliert und wie sie darüber spricht, um das Thema zugänglicher und positiver zu machen. Dabei hat Anne zwei wichtige Maßnahmen ergriffen, um sicherzustellen, dass die Wichtigkeit des Themas auf effektive Weise vermittelt wird. Sie hat ein DSGVO-Handbuch, sowie eine Sensibilisierungsschulung für alle Mitarbeiter*innen eingeführt.  

Beginnen wir mit dem Handbuch. 

DSGVO-Handbuch für alle Mitarbeiter

Ich habe bereits kurz das DSGVO-Handbuch erwähnt, dass Anne zusammen mit ihrem Kolleg*innen für alle Arbeitnehmer des Unternehmens erstellt hat. Das Handbuch ist einer der wichtigsten Komponenten für die DSGVO-Arbeit der Mitarbeiter*innen. Es ist ein kleiner Leitfaden, in dem jeder nachschlagen können, was zu tun ist, wenn er*sie Zweifel im Zusammenhang mit personenbezogenen Daten hat. Man könnte es einen Leitfaden für Mitarbeiter*innen nennen. 

Angenommen, ein Projekt wird abgeschlossen und Novicell muss dann alle personenbezogenen Daten aus diesem Projekt löschen. Dann können die Mitarbeiter*innen im Handbuch nachsehen, wie sie diesen Prozess starten können. Oft besteht der erste Schritt der Mitarbeiter*innen darin, Anne oder eine andere Person darauf aufmerksam zu machen, dass ein Prozess gestartet werden muss. Ab hier liegt die Verantwortung nicht mehr bei den Arbeitnehmern. Das Handbuch zeigt ihnen, was zu tun ist, ohne näher darauf einzugehen, was danach passiert - das brauchen sie nicht zu wissen.   

"Das Wichtigste ist, dass der Prozess in Gang gesetzt wird. Sie selbst müssen die Arbeit nicht machen, aber Sie müssen mich darauf aufmerksam machen, damit ich mit dem Prozess beginnen kann." 

Wenn der Arbeitnehmer den gesamten Prozess kennen müsste, wäre das für ihn eine Belastung, weil er eine Menge Informationen aufnehmen muss. Sie haben ohnehin schon genug zu tun. Wenn sie nur den ersten Schritt des Prozesses kennen, dann funktioniert es. 

Die Vorteile des Handbuchs 

Einer der Vorteile des Handbuchs ist laut Anne, dass alles an einem Ort gesammelt wird. Es ist aber auch wichtig, dass es nur mit relevanten Informationen gefüllt wird, damit die Mitarbeiter*innen das, was sie brauchen, leicht und schnell finden können. Das Handbuch ist für alle Arbeitnehmer gleich, aber einige Teile sind vielleicht für Entwickler oder Projektmanager relevanter als andere. Insgesamt ist das Handbuch nicht länger als ein paar Seiten. Es enthält Verweise auf viele andere Dokumente, aber die Arbeitnehmer müssen diese nicht lesen, sie müssen nur wissen, dass es sie gibt, falls sie sie eines Tages brauchen. 

"Man kann einfach leichter kommunizieren, wenn es nur ein paar Seiten mit kurzen Aufzählungszeichen für jeden Bereich gibt. Und dann können wir sagen: 'Okay, alle Projektleiter müssen Seite 2 besonders beachten, weil diese Dinge für ihre Arbeit wichtig sind.' Man kann problemlos 200 Seiten über den Umgang mit personenbezogenen Daten schreiben und sie allen Mitarbeitern geben und dann einfach erwarten, dass sie die Regeln befolgen. Aber das würde natürlich nicht funktionieren. Wir müssen sicherstellen, dass wir die Regeln befolgen, indem wir sie auf effektive Weise kommunizieren, ohne eine Informationsflut zu erzeugen." 

Wenn die Informationen kurz und knapp gehalten werden, ist es für das Team nicht so schwierig, etwas nachzuschlagen. Man kann nicht erwarten, dass die Mitarbeiter*innen in der Lage sind, sich in einer Flut von Informationen zurechtzufinden, die sich jede Woche ändern. Wenn es um die DSGVO geht, gilt das Sprichwort "Keep it simple, stupid". 

Das Handbuch wird kontinuierlich weiterentwickelt

Es ist wichtig zu erwähnen, dass man nicht einfach ein Handbuch mit einer Reihe von Leitlinien erstellt, es an alle Arbeitnehmer verschickt, sich dann zurücklehnt und sagt: "Der Job ist erledigt."  

Anne überprüft das Buch regelmäßig, um sicherzustellen, dass es auf dem neuesten Stand ist. Wenn die nationale Datenschutzbehörde neue Empfehlungen herausgibt, passt sie das Handbuch an diese an. Das Handbuch ist das wichtigste Nachschlagewerk für alle Arbeitnehmer, daher muss es nützlich und aktuell sein.   

Wie man sicherstellt, dass das Handbuch genutzt wird 

Es ist eine Sache, das Handbuch zu erstellen. Eine andere Herausforderung besteht darin, dafür zu sorgen, dass sich das gesamte Team daran gewöhnt und es als Nachschlagewerk nutzt. 

"Es gibt eine Kontrolle. Der Teamleiter ist dafür verantwortlich, dass das Handbuch in seinem Team umgesetzt wird. Sie können jedoch jederzeit um Hilfe bitten. Manchmal halte ich morgens eine Besprechung mit einem Team ab, um über das Handbuch zu sprechen. Das ist zum Beispiel wichtig, wenn wir darin Änderungen vorgenommen haben." 

Die Teamleiter*innen und Anne sorgen immer dafür, dass die Mitarbeiter*innen die Bedeutung des Handbuchs verstehen, und sie teilen mit, wenn es aktualisiert wurde. Darüber hinaus ist das Handbuch auch Teil des Einführungsprozesses jedes neuen Arbeitnehmers.

Das Handbuch ist wichtig für die Arbeit von Novicell im Rahmen der DSGVO  

Für jeden Angestellten ist das Handbuch die erste Anlaufstelle, wenn es um den Umgang mit personenbezogenen Daten geht. Wenn sie die Antwort nicht im Handbuch finden können, weiß jeder, dass Anne die richtige Ansprechpartnerin ist. Auf diese Weise erhalten sie eine klare Kommunikation, und jeder weiß, was zu tun ist. 

Aber das Handbuch ist nicht die einzige Initiative, die Novicell umgesetzt hat.

Novicell nutzt das CyberPilot Awareness-Training

Eine weitere wichtige Initiative, die Novicell umgesetzt hat, ist das CyberPilot Awareness Training. Es ist eine Sache, zu wissen, was zu tun ist und wo man es nachschlagen kann. Aber die Mitarbeiter*innen müssen auch wissen, warum es wichtig ist. Genauso wie Anne versucht, auf dem Laufenden zu bleiben, müssen auch die Arbeitnehmer auf dem neuesten Stand sein, wenn es um die Grundlagen der Cybersicherheit und der Datenschutzgrundverordnung geht. Auch hier müssen sie keine Experten sein, aber sie müssen wissen, warum es wichtig ist und worauf sie achten müssen. An dieser Stelle kommt das Sensibilisierungstraining ins Spiel. Anne sagt: 

"Angenommen es gibt eine neue Richtlinie zur Einverständniserklärung. Ich könnte allen Mitarbeitern*innen einfach sagen: "Das muss gemacht werden", aber was bedeutet das und wie setzen wir es in der Praxis um? Hier kommen eure Kurse ins Spiel. Sie erklären, warum und wie, und auch, was damit gesichert wird. In den Kursen wird anhand von anschaulichen Beispielen erklärt, wie wir personenbezogene Daten am besten schützen." 

Die Sensibilisierungsschulung ist der zweite Teil der wirksamen Vermittlung der DSGVO.

Es ist schwierig, bei allem am Ball zu bleiben 

Anne und ihr Team haben das Handbuch selbst erstellt, warum also nicht auch das Sensibilisierungstraining selbst entwickeln? Ganz einfach, weil man als Ein-Frau-Armee nicht alles selbst machen kann.

“Es gibt immer wieder neue Interpretationen zur Datenschutz-Grundverordnung. Das stellt auch einige Anforderungen an die Sensibilisierungsmaßnahmen, denn man muss wissen, worum es bei der Sensibilisierung gehen soll - welche Themen sollen behandelt werden? Deshalb haben wir uns mit euch zusammengetan. Das Awareness-Training stellt sicher, dass alle Mitarbeiter kontinuierlich weitergebildet werden. Und ich habe den Eindruck, dass ihr immer auf dem Laufenden seid, was gerade passiert. Wenn es also etwas Neues in den Medien oder von der Datenschutzbehörde gibt, könnte das ein Thema für den nächsten Kurs sein.” 

Durch die Zusammenarbeit mit uns hier bei CyberPilot muss Anne nicht mehr auf dem Laufenden sein, was die Mitarbeiter*innen wissen müssen. Stattdessen kann sie sich auf die internen Prozesse und die Kommunikation dieser Prozesse konzentrieren. Sie hält Awareness-Schulungen für eine gute Möglichkeit, die Mitarbeiter*innen auf den neuesten Stand zu bringen.

"Meiner Meinung nach ist das die beste Art, damit umzugehen. Denn in diesem Bereich kann man einfach nicht voraus sein. Man muss den Finger am Puls der Zeit haben.”

Für Anne geht es bei einer guten Sensibilisierungsschulung darum, sicherzustellen, dass alle Mitarbeiter*innen über neue und wichtige Themen der DSGVO und der Cybersicherheit auf dem Laufenden sind.  

Das ist auch einer der Gründe, warum das Awareness Training von CyberPilot kontinuierlich und nicht nur einmal im Jahr stattfindet. 

Awareness-Training mit praxisnahen Beispielen 

Eines der Dinge, bei denen die Sensibilisierungsschulung hilft, was das DSGVO-Handbuch und die internen Prozesse nicht können, ist das Bereitstellen von Beispielen, wie sich verschiedene Themen und Situationen auf das wirkliche Leben auswirken können. Die Beispiele verdeutlichen die Bedeutung einer starken IT-Sicherheit und machen die Prozesse nachvollziehbar. Der neue Informationsgehalt des Awareness-Trainings tut dasselbe – es zeigt die Prozesse auf und erklärt, warum sie wichtig sind. So beschreibt Anne das Awareness-Training: 

"Es funktioniert wirklich gut. Der Informationswert ist von entscheidender Bedeutung. Er gibt uns die Gewissheit, dass wir unsere Mitarbeiter*innen über das informieren, was im Moment wichtig ist. Und dann gibt es auch einige praktische Beispiele. Man kann zwar viele to-do's haben, aber es ist wichtig, dass man anhand von relevanten Beispielen erklärt bekommt, wie man einen Sicherheitsverstoß vermeidet, oder was zu tun ist, wenn der Schaden eingetreten ist. Es wurden auch Phishing und Spam-Mails behandelt. Es ist gut, dass es konkrete und verständliche Kurse darüber gibt, was wichtig ist." 

Durch die praxisnahen Beispiele und Beschreibungen wird das schwammige Gerede über die Datenschutz-Grundverordnung in konkrete Maßnahmen umgesetzt, die für den Alltag relevant sind. 

Das DSGVO-Handbuch und das Awareness-Training sind eine gute Kombination 

Wir alle kennen das Gefühl - wenn man nicht weiß, warum es eine bestimmte Vorschrift gibt, kommt einem die Vorschrift oft sinnlos vor, warum sollte man sie also befolgen?  

Mit dem DSGVO-Handbuch und der Sensibilisierungsschulung lässt sich gut sicherstellen, dass alle die Prozesse befolgen. Das DSGVO-Handbuch befasst sich mit der Kommunikation über interne Prozesse und damit, was die Mitarbeiter*innen bei ihren täglichen Tätigkeiten tun sollten. Das Awareness-Training deckt das Wissen auf allgemeiner Ebene ab und hilft dabei, zu vermitteln, warum es für die Mitarbeiter*innen wichtig ist, in ihrem täglichen Leben aufmerksam zu sein.  

Die Awareness-Schulung ist das “Warum?” und das Handbuch ist das “Was?”.  

Zusammen sorgen das Handbuch und die Schulung dafür, dass Cybersicherheit und die DSGVO jeden Tag auf der Tagesordnung stehen, ohne zu viel Zeit in Anspruch zu nehmen. Das ist ein guter Schritt zur Schaffung einer starken Cybersicherheitskultur. 

Der Anfang ist immer schwierig 

Am Anfang ist es immer am schwierigsten, eine Botschaft zu vermitteln.

"Wir müssen eine Menge Kundendaten schützen, daher war die Lernkurve am Anfang steil. Für die Berater und Entwickler gab es viele Vorschriften. Aber inzwischen verstehen sie, wie wichtig das ist.” 

Deshalb haben Anne und Novicell am Anfang auch besondere Anstrengungen unternommen. Sie mussten dafür sorgen, dass das Thema Sicherheit in Teams immer im Mittelpunkt stand. Dies erreichten sie u. a. durch die Schaffung eines physischen Bewusstseins.  

So haben sie z. B. Artikel wie Aufkleber entwickelt, um die Mitarbeiter*innen an gute Sicherheitsgewohnheiten zu erinnern.

"Wir haben auch einige Anstöße gegeben. Wenn ein*e Mitarbeiter*in zum Beispiel vergaß, seinen Bildschirm zu sperren, wenn er*sie den Computer verließ, klebten wir einen Aufkleber auf den Bildschirm oder die Tastatur. Das haben wir am Anfang, als wir den Leitfaden eingeführt haben, oft gemacht, um die Aufmerksamkeit darauf zu lenken". 

Es ist wichtig, einen guten Start hinzulegen und die Mitarbeiter mit ins Boot zu holen. Aufkleber sind eine Möglichkeit, dies zu tun. 

Es gibt viele Möglichkeiten, ein physisches Bewusstsein zu schaffen

Anne benutzte Aufkleber, um bei Novicell Bewusstsein zu schaffen. Eine andere Möglichkeit wären Tassen, T-Shirts, Poster und vieles mehr. Der Phantasie sind hier keine Grenzen gesetzt. Bei CyberPilot haben wir eine Reihe von Postern erstellt, die Sie hier finden und in Ihrem Unternehmen verwenden können. Eine schnelle Möglichkeit, um loszulegen, ohne dass Sie selbst etwas entwerfen müssen. 

3 praktische Tipps, die andere Unternehmen auch umsetzen können 

We also asked Anne if she had 3 quick tips for other companies to follow. Luckily, she did. Get ready to take notes. 

1. Lassen Sie sich zertifizieren  

Der erste Tipp ist, sich zertifizieren zu lassen. Das ist nicht nur ein Wettbewerbsvorteil, es ist auch ein Plan. Der Plan wird Ihnen helfen, die erforderlichen Prozesse und Dokumentationen für Ihre Arbeit mit der DSGVO zu erstellen. Wir haben einen Blog-Beitrag über die ISO 27001-Zertifizierung und die ISAE 3402-Auditerklärung geschrieben.

2. Verschaffen Sie sich einen Überblick darüber, wie Sie Ihre Verfahren dokumentieren und wer dafür verantwortlich ist  

Dokumentation mag langweilig klingen, ist aber sehr sinnvoll. Die Dokumentation und die Festlegung der Zuständigkeiten sind wichtig, um sicherzustellen, dass die Prozesse eingehalten werden und alles geregelt ist. 

"Sie müssen die Kontrolle darüber haben, welche Daten Sie wie verarbeiten. Wenn es zu einem Sicherheitsverstoß kommt, können wir die betreffenden Kunden nicht kontaktieren, wenn wir keinen Überblick über unsere eigenen Unterlagen und Verfahren haben. Wir überprüfen alle unsere Verfahren, um sicherzustellen, dass sie funktionieren.”

Auch wenn die Dokumentation nicht so spannend ist, sollten Sie sie trotzdem machen.

3. Finden Sie Werkzeuge, die Ihnen die Arbeit erleichtern 

Es gibt viele Aufgaben, wenn Sie sicherstellen wollen, dass Ihr Unternehmen die DSGVO-Vorschriften einhält. 

Warum sollten Sie nicht alle Hilfe in Anspruch nehmen, die Sie bekommen können, um es einfacher zu machen? 

Möglicherweise finden Sie Hilfsmittel, die Ihnen im Arbeitsalltag helfen. Mit einigen Tools können Sie viel Zeit sparen. 

Wie Anne die Zukunft der DSGVO sieht

Wir alle lieben eine gute Science-Fiction-Geschichte. Wie sieht es also mit der Zukunft der Datenschutz-Grundverordnung aus? Wo werden wir in fünf oder zehn Jahren stehen, wenn es um die Datenschutz-Grundverordnung geht? Das ist eine gute Frage, und Anne hat sich auch etwas Zeit genommen, darüber nachzudenken.   

"Ich denke, wir werden mehr Beispiele haben, auf die wir uns stützen können. Es wird wahrscheinlich auch mehr abgeschlossene Rechtsfälle geben, bei denen man sagen kann: 'Okay, das ist also die Konsequenz für dieses Verhalten. Ich denke auch, dass es mehr Anbieter von Systemen und Werkzeugen geben wird, die uns im Alltag helfen können.” 

Es klingt so, als würde es nur einfacher und greifbarer werden, aber wir sollten uns nicht zu große Hoffnungen machen.  

"Wenn wir über Privatsphäre und Datenschutz auf höherer Ebene sprechen, ist das eine komplizierte Angelegenheit. Es ist schwammiger als andere Gesetze, wie z.B. Arbeitsrecht, wo man sagen kann: "So und so ist es passiert". Was den Datenschutz und den Schutz der Privatsphäre angeht, so ist dieser Bereich extrem kompliziert und entwickelt sich ständig weiter.” 

Auch wenn wir mehr Gerichtsurteile und Beispiele bekommen, gibt es keine Garantie dafür, dass das, was heute gilt, auch morgen noch zutrifft. Die Anforderungen und das Niveau der Initiativen, die Sie umsetzen müssen, könnten höher sein als heute.  

Eines ist jedoch sicher: Die Datenschutz-Grundverordnung wird dafür sorgen, dass der Umgang mit personenbezogenen Daten in Zukunft nicht mehr wie in Minority Report aussieht. 

Informierte Mitarbeiter sind die Grundlage 

Die Arbeit an der DSGVO mag sich ständig weiterentwickeln und von Tag zu Tag anders aussehen, aber die Arbeit von Anne und Novicell zeigt, dass eine Sache ein fester und stabiler Bestandteil der Arbeit ist: die Cybersicherheitskultur. Wenn Ihre Mitarbeiter*innen verstehen, wie wichtig der Schutz personenbezogener Daten ist, wird alles einfacher. Aufmerksame Mitarbeiter*innen, die sich der Bedeutung bewusst sind, sind eher bereit, die richtigen Prozesse zu befolgen und neuen Veränderungen mit einer positiven Einstellung zu begegnen. Das Bewusstsein der Mitarbeiter*innen und eine starke Cybersicherheitskultur sind die Grundlage für gute Datenschutzpraktiken.