Die Corona-Krise hat die Veränderung der Arbeitswelt beschleunigt: Home Office und Kurzarbeit erfordern neue Organisationsqualitäten. Unverzichtbarer Dreh- und Angelpunkt ist eine intelligente digitale Infrastruktur. Wie sieht es aber mit Datenschutz und IT-Sicherheit aus?
Das Jahr 2020 wird insbesondere für den Mittelstand zur existenziellen Herausforderung: Unternehmen mussten sich von heute auf morgen vollkommen neu aufstellen, um den Betrieb überhaupt aufrechterhalten und eine rudimentäre Geschäftskontinuität gewährleisten zu können. Wenn es möglich ist, arbeiten Mitarbeiter im Home Office - und derzeit ist kein Ende dieser Präventionsmaßnahmen abzusehen. Unternehmen mit einer gut durchdachten IT-Infrastruktur, deren Rückgrat ein bedarfsgerechtes ERP-System ist, sind hier gut aufgestellt. Allerdings darf eines nicht vergessen werden: Die datenschutzrechtlichen Vorschriften gelten auch in Krisenzeiten - und zwar uneingeschränkt.
Corona-Krise: Stresstest für Datenschutz und IT-Sicherheit
Noch immer haben viele Unternehmen mit dem Aufbau einer eigenen Datenschutzorganisation zu tun - von einer optimalen Vorbereitung auf einen echten Krisenfall kann also keineswegs die Rede sein. Der aktuelle Stresstest dürfte demnach eine echte Herausforderung, aber eben auch eine Chance darstellen: Die jetzt gewonnenen Erkenntnisse lassen auf lange Sicht eine Optimierung der eigenen Organisation zu. Doch zunächst muss es darum gehen, die Funktionalität der eigenen Datenschutzorganisation auch unter den veränderten Rahmenbedingungen und neuen Geschäftsabläufen zu gewährleisten - und hier treten mit Sicherheit vollkommen neuartige und auch geschäftskritische Problemstellungen auf.
So sollte ein Datenschutzbeauftragter im Krisenfall direkt in das Management einbezogen werden - sowohl bei kurzfristigen Maßnahmen wie der Einführung von Home Office als auch bei den Gesprächen mit Dienstleistern, die eventuell zur Abstimmung bei Vorfällen und zur Einhaltung der Datenschutzanforderungen eingebunden werden. Doch insbesondere die Bewertung dringender Maßnahmen, wie beispielsweise die Einführung von Remote-Systemen, dürfte zunächst im Fokus stehen. Auf diese Weise können Mitarbeiter von ihren heimischen Arbeitsplätzen ohne Probleme auf interne Systeme zugreifen und wie gewohnt arbeiten. Das ist insbesondere dann effektiv, wenn ein ERP-System sämtliche internen Abläufe authentisch abbildet.
Krisen-Erfahrungen zur Datenschutz-Optimierung nutzen
Auf der Grundlage der neuen Gegebenheiten sind Unternehmen nun aufgefordert, die Regelprozesse ihrer Datenschutzorganisation zu überarbeiten und auf die Wiederaufnahme des regulären Betriebes auszurichten. Hier stellt sich die Frage, ob und inwieweit sich die in der Krise erprobten Arbeitsmodelle auch künftig etablieren können. Viele Unternehmen machen sehr gute Erfahrungen mit dieser Notlösung - aber taugen Sie für den Regelbetrieb?
Gleichzeitig sollten die während der Krise identifizierten Schwachstellen der Datenschutzorganisation gezielt aufgegriffen werden, um die notwendigen Optimierungsmaßnahmen daraus ableiten, umsetzen und in die Richtlinien einarbeiten zu können. Letztendlich geht es darum, ein nachhaltiges und ganzheitliches Krisenmanagement zu entwickeln, dass sämtliche Compliance-Themen einbezieht - bis hin zu einem Modell der internen Schnittstellenfunktionen. Auch und vor allem die Rolle externe Dienstleister sollte bei der Optimierung einer Datenschutzorganisation explizit berücksichtigt werden. Hier können die Erfahrungen und Bewertungen aus der Krise zur Überarbeitung der Verträge genutzt werden.
Zusammengefasst empfiehlt sich in puncto Datenschutz folgende Vorgehensweise für den Krisenfall:
- Stellen Sie in der Krise die grundlegenden Funktionen Ihrer Datenschutzorganisation umgehend sicher.
- Legen Sie Optimierungsmaßnahmen fest, prüfen Sie die Schnittstellenfunktionen zu weiteren Geschäftseinheiten und erstellen Sie ein Modell zur Zusammenarbeit.
- Entwickeln Sie ein nachhaltiges und ganzheitliches Krisenmanagement und nutzen Sie verschiedene Szenarien zum Test.