Katrin Eggert

So optimieren Sie die Zusammenarbeit mit Ihrer IT-Administration


So optimieren Sie die Zusammenarbeit mit Ihrer IT-Administration

Eine vertrauensvolle Zusammenarbeit zwischen IT-Administration und Ihnen als Datenschutzbeauftragtem bietet signifikantes Verbesserungspotenzial für Ihr Unternehmen. Beide Parteien sind wichtige, unverzichtbare Stellen und dochim Grundsatz sehr verschieden.

Zieht man ein Organigramm als zentrale Übersicht der Unternehmensstruktur heran, findet sich der Datenschutzbeauftragte als Stabsstelle unter der Geschäftsleitung. Die Nähe zur Unternehmensführung kann dafür sorgen, dass Datenschutzbeauftragte von den Mitarbeitern und somit auch von den Administratoren mit Skepsis betrachtet werden.

Wurde die Stelle des Datenschutzbeauftragten dazu noch neu besetzt und die Kollegen aus der IT sind bereits länger im Unternehmen, sorgt dies zusätzlich für ein Ungleichgewicht. Abhilfe schafft hier ein zeitnahes Vorgespräch und weitere regelmäßige Meetings mit den Kollegen aus der IT-Abteilung. In diesen ersten Gesprächen gilt es den Grundstock für eine vertrauensvolle Zusammenarbeit zu legen.

Rechtliche Vorgaben als Grundlage unseres Aufgabenspektrums

Erklären Sie anhand von Datenschutzvorfällen [1] welche rechtlichen und organisatorischen Bausteine neben der technischen Umsetzung in Projekten wichtig sind. Damit wird klar, dass Datenschutz-Empfehlungen keine eigenen Ideen von Ihnen als Datenschutzbeauftragten sind, sondern auf gesetzlichen Grundlagen basierende Vorgaben.

Administratoren ziehen bei der Analyse, Konzeption und Umsetzung von Projekten, datenschutzrechtliche Thematiken in der Regel nicht mit ein. Treibende Einflüsse sind meist Zeit, Kosten und technische Umsetzbarkeit. Die Beachtung von datenschutzrechtlichen Regelungen entscheidet aber zwangsläufig über den gemeinsamen, langfristigen Projekterfolg.

Bilden Sie diese Sensibilisierungstätigkeiten in einer speziellen Datenschutzschulung für Administratoren ab. Zeigen Sie Ihre Wertschätzung durch das Aushändigen von Teilnahmezertifikaten.

Verschwiegener Ansprechpartner

Vermitteln Sie in den Treffen auch, dass Sie den Kollegen als verschwiegener Ansprechpartner zu Verfügung stehen. Diese Information wird dann besonders wichtig, wenn es um administrative Zugriffe auf sensible Inhalte wie beispielsweise E-Mail-Postfächer geht. Wird dieser „heimliche“ Zugriff durch Vorgesetzte beauftragt, befindet sich der Administrator im Spannungsfeld dieser Unternehmensanforderung. Gerade in diesen Situationen fehlt es den Administratoren oft an einem vertraulichen Ansprechpartner.

Kommt der Administrator für ein diskretes Gespräch auf Sie zu, haben Sie bereits ein hohes Vertrauenspotential erreicht. Dieser Status erlaubt Ihnen ebenfalls heikle Themen gegenüber der Administration anzusprechen.

Dokumentation, Aufgaben und Monitoring

Die Einhaltung der zyklischen Meetings sorgt für einen dauerhaften Informationsaustausch.

Dokumentieren Sie die besprochenen Themen sowie das Erstellen und Überwachen erkannter Aufgaben. Zu jedem Termin sollte der Status aktualisiert werden. Übernehmen Sie als Datenschutzbeauftragter diese Dokumentationsaufgabe. Im Fokus der Administration stehen schnelle Lösungsansätze, für das Erstellen von Aufzeichnungen ist in der Regel nie Zeit. Zudem erfolgt der Dokumentationsstil nach Ihrer gewünschten Vorgehensweise.

Unterstützung der Administration

Administratoren haben immer wiederkehrende Themen die als Störungs-Tickets in der IT-Abteilung aufschlagen. Oft gibt es hier Berührungspunkte mit dem Datenschutz, wie:
Umgang mit E-Mails (Phishing\Zugriffskontrolle)
Verschlüsselte Kommunikation (Weitergabekontrolle)
Passwortmanagement (Zugangskontrolle)
Versuchen Sie in Ihren Gesprächen mit der Administration wiederkehrende Anwenderfehler zu erfassen. Verständigen Sie sich auf gemeinsame zielführende Lösungswege. Lassen Sie diese Themen in Ihre Schulungen einfließen. Damit bietet sich Ihnen die Chance, Anwender mit bekannten aktuellen Themen zu konfrontieren und technisch wie organisatorisch freigegebene Lösungswege anzubieten.

Sorgen Sie für einen zentralen Zugriff

Um erkannte Themen auch zwischen den Regelterminen bearbeiten zu können, sollten die Unterlagen an zentraler Stelle für beide Seiten zugänglich sein. Zusammen mit der IT-Abteilung können Sie sich für eine gemeinsame Plattform entscheiden. Hier können Sie von den technischen Möglichkeiten der IT-Kollegen profitieren.

Ein Tipp für externe Datenschutzbeauftragte
Möchten Sie eine einfache zentrale Lösung für verschiedene Unternehmen selbst zu Verfügung stellen, könnte sich die Kollaborationsplattform Protonet [2] anbieten. Die Standard-Architektur bietet bereits eine zentrale Datenablage, Aufgaben- und Terminplanung sowie eine verschlüsselte Kommunikation.

Mitarbeiterschulungen: Gemeinsam von diesen Mehrwerten profitieren

Ihre Kernaufgabe nach § 4g Abs.1 Nr.2 ist die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz vertraut zu machen. Für diese Schulungsrolle können Sie vom Wissen der IT-Kollegen besonders profitieren.

Sprechen Sie Tool-Vorschläge ab

Idealerweise werden Themen wie die Zugangs- oder Weitergabekontrolle mit praktischen Beispielen veranschaulicht. Empfehlen Sie dabei Tools, sollten Sie diese vorab mit der Administration abstimmen. Das garantiert die volle Unterstützung durch die IT-Kollegen bei der Konzeption und Umsetzung. Dann können sich darauf verlassen, dass die Software korrekt in die Systemlandschaft integriert, durch die Administration supportet und gegenüber den Mitarbeitern vertreten wird.

Planen Sie mit der Administration eine automatisierte Ausbringung dieser Tools am Schulungstag. Somit stehen den Teilnehmern diese Tools sofort zu Verfügung.
Dies bietet die höchstmögliche Chance, dass diese Tools umgehend verwendet werden.

Gestalten Sie spannende praktische Schulungselemente mit Ihrem Admin

Durch die Zusammenarbeit mit der Administration ergeben sich für Sie weitere Möglichkeiten Ihre Schulungsinhalte spannender zu gestalten. So kann Ihr Admin Sie bei der Erstellung von Phishing-Mails, Duplikaten von Webseiten (Outlook Web Access) oder dem Erstellen von Viren oder Keyloggern unterstützen.

Bei praktischen Schulungsinhalten ist es oft sinnvoll zusammen mit dem Administrator aufzutreten. Damit wird die technische Darstellung und Erklärung einfacher. Sie verlieren nie den Kontakt zu den Teilnehmern und können zusammen mit dem Administrator auch tiefergehende technische Fragen beantworten.

Praktisches Beispiel einer umfangreichen Zusammenarbeit zum Thema Phishing

Zusammen mit der Administration können Sie vorab Ziele und Lösungswege zum Thema Phishing definieren. Lassen Sie sich durch die IT-Kollegen Phishing-Mails, angelehnt an die Unternehmensausrichtung, erstellen. In der Schulung selbst kann im Detail auf diese Beispiel-Phishing-Mail eingegangen werden. Mit den Teilnehmern können Sie Erkennungsmerkmale für Phishing-Angriffe identifizieren.
Haben Sie sich vorab mit der Administration auf Maßnahmen geeinigt, bietet es sich an, diese Maßnahmen den Teilnehmern vorzustellen. In Frage kommen zum Thema Phishing beispielsweise: der Entzug von lokalen Administrationsrechten oder das Filtern von Mailanhängen im Exe-, Word-, Zip-, Java-Format.
Durch das praktische Vorführen und Darstellen der möglichen Konsequenzen, wächst das Verständnis der Teilnehmer für mögliche Komforteinbußen.

Sehr zielführend ist die Ausgabe eines Handouts zum Schulungsinhalt. Arbeiten Sie auch hier mit der IT-Administration zusammen.

Veröffentlichen Sie das Script an zentraler Stelle, beispielsweise im Intranet. Ergeben sich auf Grund neuer Phishing-Varianten technische oder organisatorische Änderungen, kann das zentrale Handout aktualisiert und die Mitarbeiter über den neuen Versionsstand informiert werden. Somit bringen Sie das Thema Phishing wieder in das Bewusstsein der Mitarbeiter und sorgen für eine tiefgehende Sensibilisierung.

Fazit
Eine vertrauensvolle Zusammenarbeit zwischen IT-Administration und Datenschutz sorgt für eine weitreichende Verbesserung der Datenschutz- und IT-Sicherheitsthemen in den Unternehmen.
Beide Seiten profitieren von einer Korrelation und treten gegenüber den Mitarbeitern als erweiterte Einheit auf. Zusammen behandelte Konzepte erfahren eine technisch-datenschutzrechtliche Freigabe und erhöhen somit den Projekterfolg. Die dabei von beiden Seiten investierte Zeit in Sensibilisierung und somit Fehlervermeidung ist mehr als gut angelegt.

In Hinblick auf die Europäische Datenschutz Grundverordnung in der technisch-organisatorische-Maßnahmen eine gewichtige Rolle einnehmen, wird die Kooperation mit den Administratoren essentiell.

Stefan Bachmann

Der Artikel wurde für die Ausgabe 09 der Zeitschrift Datenschutz Digital erstellt.
http://www.datenschutz-digital.de/
Vielen Dank für die Freigabe.

[1] http://www.projekt-datenschutz.de
[2] http://www.protonet.info
BvD-Blog