“Na dann zeigen Sie mal wo das steht.”
Dies ist sicher einer der häufigsten Sätze während eines Audits. Vielfach erntet man in dieser Situation als Auditor allerdings nur Stirnrunzeln von seinem Gesprächspartner. Aber warum wird diese Frage überhaupt gestellt und warum sind die Richtlinien für Unternehmen so wichtig?
Diese Frage soll im Folgenden beantwortet werden, aber natürlich nicht ohne dabei über den Tellerrand des Datenschutzes zu schauen.
Warum fragen Auditoren als erstes nach einer Richtlinie? Der Auditor möchte nachweisbare Regelungen sehen. Er kann sich beim Audit nicht nur auf die Aussagen der Mitarbeiter verlassen. Aber es gibt noch weit praktischere Gründe. In der Regel werden zwei Aspekte bei einem Audit betrachtet. Dies sind die Angemessenheit und die Wirksamkeit einer Maßnahme.
Die Wirksamkeit einer Maßnahme wird meistens durch Stichproben, Interviews oder Begehungen überprüft. Zur Feststellung der Wirksamkeit muss erst einmal der Soll-Zustand definiert sein Genau dieser Soll-Zustand wird durch Richtlinien beschrieben. Der Auditor prüft also in der Regel den, in den Richtlinien definierten, Zustand gegen die Ist-Situation im Unternehmen. Ist der Soll-Zustand nicht definiert, gestaltet sich die Prüfung schwierig.
Genau hier entsteht der erste, sehr wichtige, Vorteil für Unternehmen. Im ersten Schritt wird geprüft, ob die Richtlinie den Vorgaben der geprüften Norm entspricht, die Richtlinie folglich angemessen ist. Ist eine Angemessenheit gegeben, erfolgt die weitere Prüfung gegen die Richtlinie. Während der Begehung wird dann nur noch gegen die Richtlinie geprüft.
Hat der Auditor keine Richtlinie als Grundlage der Prüfung vorliegen, so wird z.B. gegen den aktuellen Stand der Technik geprüft. Im Bereich Datenschutz oder IT-Sicherheit verwenden wir in solchen Situationen z.B. die Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI. Diese Grundschutzkataloge beinhalten meistens deutlich höhere Anforderungen als die üblichen Richtlinien. Dadurch wird dann auch das Auditergebnis entsprechend schlechter ausfallen.
Nehmen wir ein ganz konkretes Beispiel. In einem Datenschutzaudit wird die Wirksamkeit der TOMs, die technischen und organisatorischen Maßnahmen aus der Anlage zu § 9 BDSG geprüft. Dort wird z.B. eine Verfügbarkeitskontrolle gefordert. Das Unternehmen muss gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Wie, kann das Unternehmen selbst festlegen. Im Normalfall wird es z.B. ein Backup-Konzept geben. Liegt dieses Konzept nicht vor, so können die BSI Kriterien angewendet werden. Hier würde der Auditor allerdings 11 Maßnahmen mit etwa 30 Fragen durcharbeiten. Der Auditumfang und die Messlatte der Maßnahmen sind somit höher als zur Erfüllung der Anforderungen des BDSGs notwendig. Das Unternehmen kann also im Vorfeld nicht relevante Maßnahmen identifizieren und über die Richtlinien aus der Prüfung ausschließen.
Auf das Unternehmen passenden Richtlinien unterstützen auch bei der [nbsp]Einarbeitung neuer Mitarbeiter. Richtlinien werden oft als Vorschriften betrachtet und haben teilweise ein negatives Image. Bei der Einarbeitung neuer Mitarbeiter können Richtlinien jedoch eine große Hilfe sein. Richtlinien geben Mitarbeitern einen vorgegeben Handlungsrahmen. Richtlinien sollten dabei nicht als Verbote formuliert oder verstanden werden, sondern vielmehr als Leitlinien des Unternehmens. Sie geben die grobe Richtung vor und sollen Spielraum für individuelle Entscheidungen lassen.
Aus Unternehmenssicht ist allerdings auch ein weiterer Aspekt nicht zu vernachlässigen, nämlich arbeitsrechtliche Erwägungen. Wenn das Unternehmen für die Tätigkeiten seiner Mitarbeiter Vorgaben machen möchte, dann muss es dies schriftlich tun. Arbeitsrechtlich ist es regelmäßig sehr schwer, das Fehlverhalten eines Mitarbeiters zu ahnden, wenn es dazu keine konkreten schriftlichen Vorgaben gibt. Ausnahmen bestätigen natürlich auch hier die Regel. Aber im Zweifelsfall können sich Mitarbeiter darauf berufen, dass es keine klaren Vorgaben gab. Die Nachweispflicht liegt in diesem Fall beim Unternehmen.
Wir empfehlen Richtlinien als wirksames Instrument, um Vorgaben im Unternehmen zu etablieren. Dabei sollte immer auf ein paar Grundregel geachtet werden:
- Zielgruppe beachten
Richtlinien müssen gelebt werden. Viele Richtlinien gehen an der Zielgruppe vorbei, sei es durch die Formulierung oder auch durch den Umfang der Dokumente. Dadurch leidet die Wirksamkeit z.B. weil Mitarbeiter den Sinn nicht verstehen. - Auf das Wesentliche konzentrieren
Richtlinien sollten kurz und prägnant sein. Überlegen Sie immer, welches Ziel Sie mit einer Richtlinie verfolgen. Wenn Sie den Zutritt zum Unternehmen regeln wollen, dann schreiben Sie eine Richtlinie zur Zutrittskontrolle und kein gesamtes Datenschutzhandbuch. Vom Umfang einer Richtlinie hängt die Akzeptanz ganz entscheidend ab.[nbsp] - Richtlinien als lebenden Prozess verstehen
Eine schlechte Richtlinie ist besser als keine Richtlinie. Trotzdem unterliegen auch Richtlinien einem ständigen Wandel und müssen regelmäßig an die veränderten Situationen im Unternehmen angepasst werden. Nur wenn eine Richtlinie die konkrete Situation erfasst, kann sie auch effektiv eingesetzt werden. - Entscheidungsraum lassen
Wie der Name schon sagt, geben Richtlinien eine Richtung vor. Richtlinien liefern Rahmenbedingungen und sind keine Anleitungen. Diese können ergänzend eingesetzt werden. Richtlinien beinhalten dabei ein konkretes Ziel und regeln mögliche Abweichungen.
Werden diese Regeln berücksichtigt, so lassen sich Richtlinien sehr effektiv zur Unternehmenssteuerung einsetzen. Unsere Erfahrungen bei verschiedenen Kunden zeigen, dass die Vorteile von Richtlinien den Erstellungs- und Pflegeaufwand rechtfertigen.