Richtlinien richtig ausspielen

Richtlinien gibt es in fast jeder Organisation. Bestenfalls regeln sie, wie bestimmte Dinge laufen müssen, damit alle Prozesse der Organisation funktionieren und rechtliche Pflichten eingehalten werden können.

Auch unsere über 150 Berater*innen haben im Rahmen ihrer Tätigkeit im Bereich Datenschutz, Informationssicherheit und Compliance immer wieder mit Richtlinien zu tun. Richtlinien sind dabei nicht nur digitale Textwüsten, sondern kommen als sinnvolle Maßnahmen zur Anwendung, um Vorgaben für bestimmte Bereiche und Handlungen zu machen.

Welche Richtlinien für eine Organisation sinnvoll sind, ist individuell unterschiedlich. Folgende fünf Richtlinien kommen in der Praxis aber häufig vor:

• Informationssicherheitsrichtlinie: Eine Informationssicherheitsrichtline gibt Handlungsanweisungen für bestimmte Situationen. Sie zielt auf den Schutz von Informationen sowie deren Verfügbarkeit, Vertraulichkeit und Integrität ab. Sie richtet sich an alle Beschäftigten.
• Richtlinie zum Umgang mit Datenpannen: Wenn eine Datenpanne eintritt und personenbezogene Daten betroffen sind, muss die Organisation innerhalb sehr kurzer Fristen agieren. So muss innerhalb dieser entschieden werden, ob der Vorfall der Datenschutzaufsichtsbehörde gemeldet werden muss oder nicht. Alle Beschäftigten müssen daher wissen, was eine Datenpanne ist und wie sie zu reagieren haben. Hier hilft eine klare Richtlinie mit konkreten Handlungsanweisungen für den Ernstfall.
• Nutzung von KI-Chatbots und sonstigen internetbasierten Diensten: Immer häufiger stellen sich Beschäftigte die Frage, ob sie die dienstliche E-Mail-Adresse nutzen dürfen, um sich bei kostenlosen Diensten im Internet anzumelden und diese mit Geschäftsdaten zu nutzen – z. B. bei ChatGPT. Aber auch die Nutzung der privaten E-Mail-Adresse zur Anmeldung für Dienste im geschäftlichen Umfeld kann zum Thema werden. Und wie ist es mit der Nutzung von Diensten ohne Anmeldung – zum Beispiel DeepL? Darf dies für die Verarbeitung von geschäftlichen oder gar personenbezogenen Informationen genutzt werden? Organisationen sollten diese Fragen proaktiv mit einer klaren Richtlinie für alle Beschäftigten beantworten.
• Umgang mit Beschäftigtendaten für Führungskräfte: Als Führungskraft erhält man unter Umständen Informationen, ohne danach gefragt zu haben – zum Beispiel, weil sich ein Mitarbeiter mit seinen privaten Problemen anvertraut hat, über Krankheiten und Diagnosen spricht oder einen Einblick in private Sachverhalte gewährt. Was ist, wenn hier etwas für das Beschäftigungsverhältnis relevant erscheint? Sind persönliche Notizen von Führungskräften in Ordnung? All diese Fragen sollten in einer Richtlinie geregelt sein, bevor sie in der Praxis aufkommen, denn ein Fehlverhalten kann hier schnell zu sehr hohen Bußgeldern führen.
• Einführung neuer Verfahren, Systeme und Dienstleister: In der Praxis wird man manchmal schneller zur projektverantwortlichen Person als man gucken kann. Was ist zu beachten, wenn Software und Systeme angeschafft und Dienstleister beauftragt werden? Wer ist zu beteiligen und worauf muss geachtet werden? Spielen Datenschutz, Informationssicherheit und Compliance auch hier eine Rolle? Auch hier hilft die passende Richtlinie.

Mit einer guten Richtlinie alleine ist es aber noch nicht getan, denn selbst, wenn man eine solche hat, stellen sich noch eine ganz formale und eine ganz praktische Frage.

Wie werden Richtlinien an die Beschäftigten verteilt?

Die formale Frage betrifft die Herausforderung, dass Richtlinien den richtigen Empfängerkreis erreichen müssen – manchmal sogar alle Beschäftigten. Dies unterliegt teilweise sogar der Rechenschaftspflicht und manche Richtlinien müssen vom Empfänger auch bestätigt werden. Wie rollt man Richtlinien also richtig und ohne viel Aufwand aus?

Ist mit dem Verteilen alles erledigt?

Und die ganz praktische Frage lautet: Wer liest sich die Richtlinie eigentlich wirklich durch und handelt danach. Oder anders: Reicht es aus, eine Richtlinie einfach nur zu versenden, wenn man wirkliche Awareness für ein Thema schaffen will?

Wenn Sie beim Lesen des Beitrags jetzt die Hände über Kopf zusammenschlagen und sich fragen, wie Sie bzw. ihre Organisation dies alles umsetzen soll, dann können wir sie beruhigen.

Unsere Expert*innen für Datenschutz-, Informationssicherheit und Compliance haben in der Erstellung von (sinnvollen) Richtlinien über 20 Jahre Erfahrung. Dabei agieren wir mit Augenmaß und berücksichtigen die individuellen Besonderheiten, die ihre Organisation ausmachen.

Und auch bei der Frage, wie Richtlinien ausgespielt werden können unterstützen wir Sie gerne. Denn auch diese Anforderung ist nicht neu und wir haben ein System entwickelt, mit dessen Hilfe Sie Richtlinien smart an die richtigen Empfänger im Unternehmen ausspielen können, dabei haben wir natürlich auch an neue Beschäftigte gedacht. Mit unserem System erhalten Sie darüber hinaus eine Statusübersicht, wer welche Richtlinien erhalten hat und ggf. ob diese bestätigt wurden. Sie können so auf Ebene jedes Beschäftigten der Rechenschaftspflicht nachkommen. Auf Wunsch erfolgt eine Anbindung unseres Systems an Ihr Active Directory, damit auch bei Änderungen im Personalbestand weiterhin alles automatisch und ohne manuelle Importe geregelt bleibt.

Awareness schaffen gehört dazu

Wenn Sie die Richtlinien smart ausspielen, ist ein weiterer Baustein zur Steigerung der Awareness in unmittelbarer Nähe. Denn wichtige Richtlinien können und sollten über eine gute Schulung bzw. ein gutes eLearning auch näher erklärt werden. Unser System ermöglicht es Ihnen daher, neben Richtlinien auch die passenden eLearnings auszuspielen. Auf diese Weise schaffen Sie echte Awareness. Die Schulungsinhalte für viele Richtlinieninhalte haben wir bereits erstellt aber auch die individuelle Erstellung von begleitenden eLearnings und das anschließende Ausspielen über unser System ist etwas, dass wir gerne mit Ihnen zusammen umsetzen.

Interessiert? Sprechen Sie uns an!