Beschäftigung mit IT-Risiken vermeidet Datenschutzverletzungen

Neulich habe ich in einem Buch zum SDM (Standarddatenschutzmodell) einen Satz gelesen, der mir gefallen hat. Dieser lautete ungefähr: Wenn für die Identifikation von Risiken der IT- oder der Informationssicherheit in einer Organisation nichts vorgesehen ist, dann ist eine DSGVO-konforme Datenverarbeitung personenenbezogener Daten nicht möglich.

Jeder Organisatoinseinheit sollte einleuchten, dass man ein Problem hat, wenn man sich nicht ausreicht mit der IT-Sicherheit beschäfigte und eine Risikomanagement betreibt. Diese Problem geht aber über reine technische Fragen weit hinaus. Bei Audits lasse ich mir daher zuerst immer erst einmal die Aufbauorganisation in Form vorhandener Organigramme zeige. Unternehmen ohne ein Informationssicherheitsmanagementsystem erkennt man dann eigentlich immer daran, dass für die Rolle der Informationssicherheit keine Einheit oder Person festgelegt worden ist.