DSGVO-konform mit IT-Notfallplanung und Datenschutz-Software

Software-Bundle sichert Verwaltungsbetrieb auf Helgoland

| Autor / Redakteur: Samira Liebscher / Ann-Marie Struck

Auch eine Insel ist nicht vor Cyberangriffen gefeit.
Auch eine Insel ist nicht vor Cyberangriffen gefeit. (© Marlene - stock.adobe.com)

Jährlich besuchen über 350.000 Personen die Nordseeinsel Helgoland. Für die Gemeinde und die Kurverwaltung bedeuten dieser Aufschwung und der wachsende Tourismus aber auch noch etwas anderes: wachsende Datenmengen, die es zu sichern gilt. Im Zuge der DSGVO entstand die Herausforderung, geeignete Maßnahmen für die Sicherung personenbezogener Daten einzuführen. Sollte es trotz der getroffenen Maßnahmen dennoch zu einem Notfall kommen, ermöglicht eine IT-Notfallplanung, weiterhin handlungsfähig zu sein.

Die kleine Hochseeinsel Helgoland erfreut sich seit einigen Jahren wachsender Beliebtheit. Inzwischen verzeichnen die Gemeinde und die Kurverwaltung jährlich rund 350.000 Besucher – Tendenz steigend. Auch wenn die Nordseeinsel rund 60 km von der deutschen Küste entfernt liegt, gelten hier seit Mai gleichermaßen die neuen gesetzlichen Anforderungen durch die DSGVO.

Insbesondere die Gemeinde und die Kurverwaltung müssen ihre Prozesse gemäß der Datenschutz-Grundverordnung umstrukturieren. Der wichtigste Aspekt ist die Datenspeicherung; eine Gemeinde muss dokumentieren, welche personenbezogenen Daten gespeichert werden und welchem Zweck diese Speicherung dient. Bei einer Prüfung müssen die Verantwortlichen darüber hinaus nachweisen können, wo sich die Daten befinden. Bei der Kurverwaltung Helgoland geht das Ganze noch einen Schritt weiter: Hotelbesitzer und Vermieter von Ferienwohnungen/-häusern müssen die Daten ihrer Gäste zur weiteren Verarbeitung an die Kurverwaltung übermitteln – hier sammeln sich somit Daten von tausenden Touristen aus der ganzen Welt an.

Um hier nicht den Überblick zu verlieren, benötigten die Gemeinde und die Kurverwaltung Helgoland eine Lösung, mit der sie die Datenschutz-Grundverordnung ordnungsgemäß umsetzen und in den Arbeitsalltag integrieren konnten. Aber damit war es nicht getan, denn die DSGVO verlangt nicht nur eine exakte Dokumentation, sondern „angemessene technische und organisatorische Maßnahmen“ (TOMs), die der Sicherheit der Verarbeitungen dienen. Dazu zählt unter anderem auch „die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.“

„Wir müssen unseren Betrieb auch im Ernstfall aufrechterhalten können. Deshalb ist es notwendig, unsere IT-Systeme gleich vor mehreren Gefahren zu schützen: vor unbefugten Zugriffen und Hackerattacken, aber auch vor physischen Schäden, zum Beispiel durch Naturkatastrophen, die bei unserer geografischen Lage nicht unrealistisch sind“, sagt Tobias Wutschke, Fachbereich EDV-Dienste. Um dies gewährleisten zu können, haben die Verantwortlichen auf Helgoland den Beschluss gefasst, eine IT-Notfallplanung einzuführen.

Aufgrund des hohen Verwaltungsaufwands und der verteilten Infrastrukturen kam ein manuelles IT-Notfallhandbuch hier nicht in Frage. Stattdessen entschied man sich für eine softwarebasierte Lösung. Einer der großen Vorteile hierbei ist, dass die eingepflegten Daten – im Gegensatz zu Word oder Excel – mit der IT-Infrastruktur verknüpft werden können und damit eine Transparenz über die Abhängigkeiten entsteht.

Zwei-in-eins-Lösung überzeugt

Bei der Auswahl passender Softwaremodule für die Umsetzung der DSGVO und der IT-Notfallplanung wurden die IT-Verantwortlichen der Gemeinde und der Kurverwaltung von der L und M Business IT GmbH, einem Kieler IT-Dienstleister, fachmännisch beraten. Dabei stellte sich schnell heraus, dass der Hersteller CONTECHNET im Vergleich zu anderen Anbietern nicht nur eine, sondern gleich zwei passende Lösungen in seinem Portfolio hat. Beide greifen auf denselben Datenbestand zu; so können bereits angelegte Daten, beispielsweise zum Personal oder zur IT-Infrastruktur, in beiden Lösungen gemeinsam genutzt werden. Auf diese Weise reduziert sich der Aufwand der Datenpflege, und Änderungen werden in beiden Softwaremodulen sofort sichtbar. Das Konzept, die IT-Notfallplanung und die DSGVO in einer Suite bereitstellen zu können und von der gemeinsamen Datenbasis zu profitieren, hat die IT-Verantwortlichen schließlich überzeugt.

In zwölf Tagen DSGVO-konform

L und M Business IT GmbH unterstützte die Gemeinde und die Kurverwaltung Helgoland bei der Installation und der Umsetzung der beiden Lösungen. So konnten beide Softwaremodule innerhalb von zwölf Tagen im laufenden Betrieb installiert und in den täglichen Betrieb eingebunden werden. Den Verantwortlichen der Gemeinde und der Kurverwaltung Helgoland ging es bei der Einführung der Softwaremodule nicht nur um die reine Umsetzung der DSGVO; sie wollten gewährleisten, dass sie im Ernstfall immer noch den Betrieb der unterschiedlichen Bereiche aufrechterhalten können. Aus diesem Grund entschieden sie sich für die Lösungen INDART Professional® und INPRIVE®.

Im Ernstfall gerüstet

Die Lösung INDART Professional® stellt die Abhängigkeiten der Kernprozesse und der dazugehörigen IT-Landschaft der Gemeinde, der Kulturverwaltung und des Hafens von Helgoland dar und liefert somit einen umfassenden Überblick. Das IT-Team wurde bei der Umsetzung strukturiert durch die acht Schritte der Lösung geführt. Insgesamt über 50 IT-Systeme wurden in die Lösung eingepflegt. „Jetzt können wir mit nur wenigen Klicks sehen, wie unsere IT verschiedene Prozesse am Leben erhält und wie wir im Notfall effizient und strukturiert reagieren können“, sagt Guido Schleicher, Fachbereich EDV-Dienste. „Deshalb planen wir, in einem weiteren Step auch verschiedene Katastrophenszenarien und entsprechende Schutzmaßnahmen in der Software abzubilden.“

Datenschutzlösung schafft die nötige Transparenz

Darstellung des INPRIVE Verwaltungssystems
Darstellung des INPRIVE Verwaltungssystems (© sprengel-pr)

Um die neuen Anforderungen durch die DSGVO komplett zu erfüllen, ist insbesondere eine lückenlose Dokumentation der personenbezogenen Daten erforderlich. Daher entschieden sich die IT-Verantwortlichen der Gemeinde und der Kurverwaltung Helgoland zusätzlich für die Datenschutzlösung INPRIVE®. Die Software vereinfacht die Umsetzung der DSGVO mit einer übersichtlichen Darstellung aller relevanten Verarbeitungen und der entsprechenden Schutzmaßnahmen. Dazu wurden die Verantwortlichen auch bei dieser Software Schritt für Schritt durch den Prozess der Umsetzung geleitet. Hier war die Suite des Herstellers eine große Hilfe, denn ein überwiegender Teil der Daten war durch die Einführung der IT-Notfallplanung bereits vorhanden. Somit konnte mit der Datenschutzlösung auf diese Daten aufgesetzt werden.

Fazit

Das sich ergänzende Software-Bundle für die Bereiche DSGVO und IT-Notfallplanung bietet der Gemeinde und der Kurverwaltung Helgoland vielfältige Vorteile. Beide Lösungen automatisieren Prozesse, reduzieren so den Pflege- und Verwaltungsaufwand und sorgen dafür, dass sich die verknüpften Informationen immer auf dem aktuellen Stand befinden. Verzeichnisse von Verarbeitungen, Auftragsdaten, Verträge und andere Dokumente sowie der weitere Umgang mit dem Datenschutz werden in der Software gepflegt und weiterhin mithilfe der Toolunterstützung in die Unternehmenskultur eingebunden. So helfen die Tools nicht nur im Ernstfall, sondern unterstützen die IT- und Datenschutzverantwortlichen auch im Arbeitsalltag.

„Mit den neuen Lösungen sind wir ab sofort auf der sicheren Seite, was den Datenschutz und die Absicherung für den Ernstfall betrifft. Wir denken deshalb darüber nach, zukünftig ein ganzheitliches Informationssicherheits-Managementsystem (ISMS) gemäß IT-Grundschutz einzuführen. Auch hier haben wir die Möglichkeit, unsere Suite nachträglich durch eine weitere Lösung von CONTECHNET zu ergänzen“, fasst Ellen Schrade, Leiterin Fachamt Büro des Bürgermeisters das Projekt abschließend zusammen.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45706214 / Kommune)