Hilfsmittel und weitere unterstützende Tools

Mit Hilfe des Analyse-Tools „UTAB“ (UIMC-Tool zur Analyse und Berichterstellung) werden die Anforderungen an Datenschutz und/oder Informationssicherheit computergestützt abgeprüft und Schwachstellen erkannt. Diese Form der Schwachstellenanalyse gestattet es, eine Bewertung der Ist-Situation vorzunehmen. Prüfungsinhalte sind entweder die gesetzlichen Anforderungen an den Datenschutz (Zulässigkeitsfragestellungen, technische und organisatorische Maßnahmen etc.) bzw. an die Informationssicherheit (u. a. Sicherungsmaßnahmen, die Sensibilisierung der Geschäftsführung und der Mitarbeiter).

Eine quantitative Auswertung ermöglicht nicht nur eine zusammenfassende grafische Darstellung der Erhebungsergebnisse, sondern auch die Möglichkeit des Benchmarkings (z. B. Vergleich verschiedener Unternehmensbereiche) und der Trendanalyse, um den Fortschritt im Zeitverlauf zu erkennen.

Die vorgeschlagenen Maßnahmen zur Schwachstellenbeseitigung werden durch die UIMC innerhalb einer Aktivitätenliste so vorpriorisiert, dass eine sukzessive Abarbeitung der Schwachstellen festgelegt werden kann.

Neben Schulung und Sensibilisierung der Mitarbeiter kann der Datenschutz und die Informationssicherheit sinnvoll nur mit der Schaffung transparenter, verbindlicher Regelungen erreicht werden. Dies ist auch deswegen wichtig, weil die Geschäftsführung als Verantwortliche für den Datenschutz nur so ihrer Organisationsschuld ausreichend nachkommen kann.

Aufgrund der fehlenden Weisungsbefugnis des Datenschutzbeauftragten ist ein verbindliches Regelwerk zu schaffen. Dies ist erforderlich, da fehlende verbindliche organisatorische Regelungen immer wieder innerhalb von Institutionen dazu führen, dass technische Maßnahmen zur Gewährleistung des Datenschutzes unterlaufen werden.

Das Regelwerk sollte alle aufbau- und ablauforganisatorischen Fragestellungen beachten, welche allgemein verbindlich sind. Das Handbuch ist hierfür eine ideale Basis. Das standardisierte, auf langjährige Erfahrung, den Datenschutzgesetzen und etablierten Sicherheitsnormen (beispielsweise der ISO 27002) basierende Regelwerk ist modular aufgebaut, wodurch es an jede Institution spezifisch anpassbar ist.

Innerhalb des Online-Formular-Centers werden eine Vielzahl unterschiedlicher, regelmäßig aktualisierter Formulare im Sinne von
○    Muster-Richtlinien
○    Muster-Verträgen und -Vereinbarungen
○    Muster-Checklisten
○    Muster-Einwilligungen und
○    sonstigen Muster-Formblättern
bereitgestellt. Das Online-Formular-Center ist eine Internet-Plattform (integriert in unser eCollege), so dass losgelöst von Ort und Zeit auf die Formulare zugegriffen kann.

Das eCollege der UIMC/UIMCert ist eine webbasierte Schulungsplattform, die über das Internet ohne Aufbau eigener Infrastruktur erreichbar ist. Innerhalb der Kurse werden neben (rechtlichen) Grundlagen insbesondere praktische Themen behandelt und Tipps zur Einhaltung der Vorgaben gegeben. Schwerpunkt ist hierbei die Sensibilisierung im Hinblick auf die Bedeutung, die die Schulungsinhalte haben. Darüber hinaus (je nach gewähltem Kurs) können Mitarbeiter ihr Wissen testen und unternehmensinterne Regelungen, Vordrucke, Informationsblätter etc. veröffentlicht werden. Filme mit Szenen aus dem Büroalltag schärfen das Bewusstsein und verbessern die Sensibilisierung der Mitarbeiter (mit und ohne Audio).

So klar die Regelungen des Gesetzgebers sind, so unklar ist nach unseren Erfahrungen die Umsetzung eines Verzeichnisses für Verarbeitungstätigkeiten (kurz: VvV oder VVT). So hat zwar "jeder Verantwortliche und gegebenenfalls sein Vertreter [...] ein Verzeichnis aller Verarbeitungstätigkeiten [zu führen], die ihrer Zuständigkeit unterliegen.", so ist in aller Regel der Datenschutzbeauftragte selbst gefordert, eine Verfahrensübersicht zu erstellen.

Nicht nur der Aufwand für die Erstellung, sondern auch die Pflege ist gerade in größeren oder dezentralen Institutionen sehr hoch: Formulare müssen versandt, die Rücksendung nachgehalten und aktualisiert werden. Darüber hinaus ist das Ausfüllen für einen datenschutzrechtlich unbedarften Mitarbeiter problematisch.

Die UIMC stellt mit dem computergestützten Verfahrensverzeichnis (UIMCvv) eine webbasierte Lösung zur Verfügung, die nicht nur gesetzeskonform ist, sondern auch den Aufwand in der Institution minimiert.