Читать книгу Datenschutz mit bewährten Methoden des Risikomanagements - Wolfgang Gaess - Страница 10
Оглавление4. Das Modell der “Three Lines of Defense”
Eine bewährte Herangehensweise zur Steuerung des Risikomanagements ist das Modell der „Three Lines of Defense“ (3LoD) oder das „Modell der drei Verteidigungslinien“.
Im Finanzsektor nimmt die BaFin in ihren Publikationen mittlerweile regelmäßig Bezug auf dieses Modell und „adelt“ diese Methodik damit in gewisser Weise zu einem gängigen und anerkannten Organisationsmodell im Finanzsektor. (So zum Beispiel in den „BaFin Perspektiven“ vom 01.08.2018 „Digitalisierung und Informationssicherheit im Finanz- und Versicherungswesen im Fokus aufsichtlicher Anforderungen“ abrufbar unter https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/BaFinPerspektiven/2018/bp_18-1_Beitrag_Gampe.html; abgerufen am 15.05.2019)
a) Modell der drei Verteidigungslinien
Abbildung 4: Modell der drei Verteidigungslinien
Das Modell gliedert sich in drei interagierende Verteidigungslinien mit folgendem Aufbau:
• Erste Verteidigungslinie: Die erste Verteidigungslinie bilden die operativ tätigen Fachbereiche. Sie sind für die Wirkung des Fachbereichs verantwortlich. Das umfasst die im Fachbereich erzeugten Arbeitsergebnisse – aber auch die aus der Fachbereichsarbeit resultierenden Risiken mit den damit korrespondierenden Kontrollen. Daher sind Fachbereiche insoweit für das Risikomanagement (Steuerung, Überwachung und Reduktion von Risiken) gegenüber der Geschäftsführung verantwortlich.
• Zweite Verteidigungslinie: Die zweite Verteidigungslinie ist für die Steuerung und Überwachung der Fachbereiche (also der ersten Verteidigungslinie) zuständig. Sie ist standardgebende Instanz und wacht über die Einhaltung der gesetzten Vorgaben. Entsprechend müssen die von der zweiten Verteidigungslinie erlassenen Vorgaben verständlich und umsetzbar sein.
• Dritte Verteidigungslinie: Die dritte Verteidigungslinie ist eine unabhängige Prüfungsinstanz (i.d.R. die Interne Revision) und prüft die Zuständigkeitserfüllungen der ersten und zweiten Verteidigungslinie. Die dritte Verteidigungslinie ist Ausprägung der Kontrollpflichten der Geschäftsleitung. Um der Geschäftsleitung die Unternehmenssteuerung auf Basis der Kontrollmaßnahmen zu ermöglichen, berichtet die dritte Verteidigungslinie direkt an die Geschäftsleitung.
Klassische Diskussionspunkte in Bezug auf die Arbeit der 2. Verteidigungslinie sind zu abstrakte und komplizierte Vorgaben. Nochmals wird daher hier der „Proof of Concept“ nahegelegt. Sind Vorgaben für den Fachbereich nicht verständlich oder umsetzbar, müssen diese nachjustiert werden.
b) „Außendatenschutz“ und „Papershield“
aa) Allgemein
Im Zuge des bevorstehenden Aktivierungstermines der DSGVO im Jahr 2018 kamen verstärkt die Begriffe „Außendatenschutz“ und im englischsprachigen Raum auch der Begriff „Papershield“ auf. Was verbirgt sich dahinter?
„Außendatenschutz“ ist das schwerpunktmäßige Bearbeiten der Themen mit „Außenweltberührung“. Hierzu zählen beispielsweise die Datenschutzbelehrungen im Web-Auftritt, datenschutzkonforme Vertragsklauseln etc.
Papershield ist insbesondere der Arbeitsansatz im englischsprachigen Raum, alle notwendige Dokumentation für eine regelkonforme Organisation zu schaffen. Dieser Gedanke ist in einem ersten Schritt zunächst zielführend. Allerdings müssen in einem weiteren Schritt die Inhalte in der Organisation auch tatsächlich zum Leben erweckt werden.
Die Bankenregulierung hat in MaRisk AT 5 und AT 6 die Dokumentationsanforderungen explizit formuliert. Diese können für andere Bereiche Inspiration sein.
Welche Dokumentationsanforderungen sind aus der DSGVO ableitbar?
Abbildung 5: Dokumentenhierarchie eines Unternehmens
bb) Dokumentenstruktur
Die vorhandene Dokumentenstruktur eines Unternehmens kann im Rahmen einer Dokumentenhierarchie in vier Hierarchieebenen gegliedert werden:
Im Einzelnen:
Zu Level 1: Übergeordnete Leit- und Richtlinien mit grundsätzlicher Themenbehandlung. Hierzu gehören Richtlinien zum Thema Datenschutz, die auf der entsprechenden „Flughöhe“ datenschutzrechtliche Themen aufgreifen und behandeln.
Zu Level 2: Hierzu gehören Bestandteile eines bereits spezielleren Themas, die eine vollumfängliche eigene Darstellung erfordern. Z.B. das Thema Archivierung und Löschung, Berechtigungsmanagement etc.
Zu Level 3: Nach altem datenschutzrechtlichen Verständnis erschöpfte sich die Dokumentation häufig bereits in den zuvor dargestellten Level 1 und 2.
Hieraus resultierte das flächendeckend verbreitete Phänomen, dass die datenschutzrechtlichen Vorgabendokumente durch die Fachbereiche bei deren Tagesarbeit nicht berücksichtigt wurden, weil sie schlichtweg nicht bekannt waren.
Teils wurde nur eine datenschutzrechtliche Leitlinie/Richtlinie erstellt, die unter Umständen nicht einmal ausreichend im Unternehmen kommuniziert wurde.
Fachbereiche arbeiten in erster Linie mit den für die jeweilige Fachbereichsarbeit erstellten Arbeitsanweisungen. Es hat sich bewährt, fachbereichsfremde Themen als Merkpunkte, Verlinkungen oder Kurzkapitel in das fachbereichsspezifische Dokument hineinzutragen und einzuarbeiten. Der Bearbeiter eines Themas wird auf diesem Wege mit einer zu beachtenden datenschutzrechtlichen Maßnahme unausweichlich konfrontiert.
Zu Level 4: Hilfsdokumente zur Unterstützung der themenspezifischen Vorgaben sind z.B. in Form einer Matrix, Vorlage/Template oder Checkliste erstellt.
Beispiel: Ein Beispiel ist das Verarbeitungsverzeichnis.
Im Level 1 Dokument (für den Bereich Datenschutz die Datenschutzrichtlinie) wird definiert, dass ein Verarbeitungsverzeichnis zu führen ist. Es werden auch die Grundsätze festgelegt. Bei dem Thema „Verarbeitungsverzeichnis“ besteht ein umfassender Erläuterungsbedarf (auf welchem Detaillevel ist es zu führen, welche Akteure sollen es führen, welche sind die Aktualisierungsereignisse etc.).
Daher empfiehlt sich die Anfertigung einer eigenen Arbeitsanweisung für dieses Thema (also ein Level 2 Dokument). Das Verarbeitungsverzeichnis ist i.d.R. dann zu aktualisieren, wenn neue Prozesse im Unternehmen geschaffen oder bestehende Prozesse abgeändert werden. In diesen im Schwerpunkt auf Organisationsänderung angelegten Prozessen sollte die Aktualisierung des Verarbeitungsverzeichnisses als Merkposten mit aufgenommen werden. Das kann z.B. ein zusätzlicher Prüfpunkt bei einem Projektsteckbrief oder ein zusätzlicher Prüfpunkt einer Checkliste für den Einkauf von Dienstleistungen sein. Hierbei handelt es sich nach dieser Nomenklatur um eine „Level 3“ Dokumentation.
Für das Verarbeitungsverzeichnis wird idealerweise eine Vorlage erstellt (etwa auf MS Excel Basis). Ebenfalls wird möglicherweise noch ein eher pragmatisch und einfach gestalteter Ausfüllhinweis erarbeitet. Bei beiden Dokumenten würde es sich nach dieser Nomenklatur um ein Level 4 Dokument handeln.
