ChannelPartner
Alternatives Drucklayout:
› reiner Text
Link: https://www.channelpartner.de/a/it-sicherheit-bei-eintracht-frankfurt-in-drei-schritten,280995

Datenschutz ausgelagert

IT-Sicherheit bei Eintracht Frankfurt – in drei Schritten

Datum:19.08.2009
Viele Unternehmen lagern ihre IT-Sicherheit aus, womit sich IT-Dienstleistern neue Geschäftschancen eröffnen. So geschehen auch bei Eintracht Frankfurt: Weil dem Fußball-Club die internen Ressourcen fehlten, hat dieser sein gesamtes Datenschutz-Management an die Unternehmensberatung Intargia outgesourct.

Eintracht Frankfurt hat ihr Datenschutz-System ausgelagert

Viele Unternehmen lagern ihre IT-Sicherheit1 aus, womit sich IT-Diensteleistern neue Geschäftschancen eröffnen. So geschehen auch bei der Eintracht Frankfurt: Weil dem Fußball-Club dafür die internen Ressourcen fehlten, hat er sein gesamtes Datenschutz2-Management an die Unternehmensberatung Intargia ausgelagert. Damit wollte der Verein verhindern, dass Datenschutz für ihn ein Thema wird, wenn die Katastrophe bereits eingetreten ist.

Dass ein Erstligist wie Eintracht Frankfurt3 professionell mit den Daten seiner Fans und Kunden umgehen muss, ist wohl selbstverständlich. Immerhin werden in Bereichen wie Ticketing, Merchandising und Hospitality jede Menge personenbezogene Daten gespeichert und verwaltet. Sie zu schützen, ist nicht nur eine gesetzliche Pflicht, sondern auch ein Unternehmensziel, zu dem sich der Club bekennt. Die Eintracht hat das Datenschutz-Management4 an die Unternehmensberatung Intargia5 ausgelagert, weil ihr die internen Ressourcen dafür fehlten.

Das Datenschutz-Management-System wurde in drei Schritten aufgebaut:

Schritt 1: Initial-Audit:

Zu Beginn wurde der Ist-Zustand6 aller relevanten Bereiche des betrieblichen Datenschutzes im Unternehmen analysiert und bewertet. Grundlage des Audits war ein Fragenkatalog, der die relevanten Themengebiete des Datenschutzes adressierte. Dabei wurden die besonderen Spezifika der Eintracht berücksichtigt. Stichproben bezüglich der Fragestellungen und Gespräche mit den Prozessverantwortlichen sorgten für ein korrektes Gesamtbild.

Mehr zur IT-Sicherheit

  • 20 Hacker-Tools, mit denen Profis arbeiten17

  • Gratis-Security für kleine Firmen18

  • Sex-Falle bei Facebook19

  • Neue Gefahren mit SSL20

  • Kostenloser Upgrade21

  • IT-Security in Österreich22

  • So viel verdienen die Internet-Betrüger23

 

Der Initial-Audit bezog sich auf alle datenschutzrechtlich relevanten Unternehmensbereiche wie die interne IT-Leistungserbringung, das Personalwesen, den Karten- und Fanartikelvertrieb, den Einkauf und die Finanzbuchhaltung. Auf Basis dieser Erkenntnisse konnte der weitere Projektverlauf geplant und die einzurichtenden technischen und organisatorischen Maßnahmen ausgewählt werden.

Schritt 2: Datenschutzstrategie und Auswahl der Maßnahmen

Auf Basis der Audit-Ergebnisse folgte die Entwicklung der Datenschutzstrategie sowie die Identifikation der nötigen technischen und organisatorischen Maßnahmen. Letztere umfassen Aktivitäten im Bereich IT- und Informationssicherheit, aber auch Organisationsfragen.

Im Einzelnen hieß das:

  • Datenschutzorganisation etablieren7;

  • Verantwortlichkeit für Datenschutz im Unternehmen festlegen;

  • Mitarbeiter schulen und sensibilisieren8;

  • Datenschutzhandbuch9 erstellen und veröffentlichen;

  • Datenschutz-konforme Entsorgung10 von Datenträgern und Papiermüll sicherstellen und

  • die vom Gesetzgeber geforderten Verfahrensverzeichnisse11 anlegen.

Alle diese Maßnahmen wurden in dieser Phase geplant und priorisiert. Wichtig dabei war es, einen gemeinsamen Zeitplan zu erarbeiten und die Durchlauffrequenz für zukünftige Audit-Zyklen festzulegen.

Schritt 3: Umsetzung und Kontrolle

Basierend auf dem Zeitplan wurden die Maßnahmen12 in Angriff genommen und abgeschlossen. Als wichtiger Bestandteil des Datenschutz-Management-Systems lässt sich der Reifegrad der einzelnen Maßnahmen in Kooperation13 mit dem Kunden ständig kontrollieren und ausgewerten. Dazu dienen zyklische (meist jährliche) Folge-Audits, in denen der Grad der Umsetzung überprüft wird.

[Hinweis auf Bildergalerie: Sicherheitstrends 2009] gal1

Der Dienstleister verwendet dazu ein Reifegradmodell, das einen Überblick über den Status des Datenschutzes im Unternehmen zulässt und einen Vergleich mit früheren Stati ermöglicht. Daraus lassen sich Aussagen über Fort- oder Rückschritte ableiten.

Regelmäßiges Reporting an die Verantwortlichen im Unternehmen gehört ebenso zur Umsetzungskontrolle wie die professionelle Dokumentation von Status und Fortschritt des Datenschutz-Management-Systems14. Entscheidend für den Erfolg ist die Unterstützung der Geschäftsführung. Deshalb sind auch regelmäßige Kontakte auf höchster Ebene wichtig.

Mindestens ebenso bedeutend ist allerdings das Sensibilisieren der Mitarbeiter für Datenschutz und -sicherheit. Bei der Eintracht wurden deshalb Maßnahmen initiiert wie

  • Datenschutzschulungen,

  • die Verpflichtung der Mitarbeiterinnen und Mitarbeiter auf das Datengeheimnis gemäß Bundesdatenschutzgesetz15,

  • regelmäßige Datenschutzhinweise,

  • Einführung einer Passwortrichtlinie16. (Computerwoche/hv)

Links im Artikel:

1 https://www.channelpartner.de/knowledgecenter/security/
2 https://www.channelpartner.de/knowledgecenter/security/280945/index.html
3 http://www.eintracht-frankfurt.de/
4 https://www.channelpartner.de/knowledgecenter/security/280811/index.html
5 http://www.intargia.com/deutsch/index.php
6 https://www.channelpartner.de/knowledgecenter/security/280928/index.html
7 https://www.datenschutzzentrum.de/wirtschaft/dsorga.htm
8 http://www.datenschutz-praxis.de/datenschutzschulung/datenschutzschulung.html
9 http://www.bsi.de/gshb/baustein-datenschutz/html/index.htm
10 http://www.thueringen.de/datenschutz/datenschutz/technisch/tods/entsorgung/
11 http://www.competence-site.de/downloads/1d/0f/i_file_5031/BITKOM_datenschutz_im_Unternehmen.pdf
12 https://www.channelpartner.de/knowledgecenter/security/280789/index.html
13 https://www.channelpartner.de/knowledgecenter/security/1903182/index.html
14 https://www.channelpartner.de/knowledgecenter/security/280771/index.html
15 http://www.mikrofilmbunde.de/downloadhttp/www.mikrofilmbunde.de/downloads/VerpflichtungaufdasDatengeheimnis.pdf
16 http://www.rrz.uni-hamburg.de/uploads/media/Passwortrichtlinie.pdf
17 https://www.channelpartner.de/knowledgecenter/security/280811/index.html
18 https://www.channelpartner.de/knowledgecenter/security/280789/index.html
19 https://www.channelpartner.de/knowledgecenter/security/280945/index.html
20 https://www.channelpartner.de/knowledgecenter/security/280771/index.html
21 https://www.channelpartner.de/knowledgecenter/security/280928/index.html
22 https://www.channelpartner.de/knowledgecenter/security/280665/index.html
23 https://www.channelpartner.de/knowledgecenter/security/280543/index.html

Bildergalerien im Artikel:

gal1 Sicherheitstrends 2009

Verlust von Kundendaten
Gehen sensible Kundendaten verloren, gerät die Kundenloyalität in Gefahr. Sie ist stark abhängig von der Fähigkeit der Unternehmen, Kundeninformationen wirksam zu schützen. Firmen müssen noch mehr als bislang investieren, um die Risiken aus Datenverlusten zu minimieren.

Risiko durch neue IT-Trends
Neue Technologien und Services wie Cloud Computing, Virtualisierung und Software-as-a-Service (SaaS) erfordern erhöhte Sicherheit. Wollen Unternehmen die Vorteile dieser Verfahren nutzen, bedarf es adäquater Sicherheits- und Verschlüsselungs-Policies, um sensible Daten - wo auch immer sie sich befinden - optimal abzusichern.
Foto: Computerwoche

Verschärftes Datenschutzgesetz
Das verschärfte Datenschutzgesetz erfordert von den Unternehmen eine noch bessere Verschlüsselung. Dieser müssen sie in ihrem Sicherheitskonzept auch unter dem Aspekt der Compliance Rechnung tragen.

Bessere Sicherheitspakete
Es kommen zunehmend Produkt-Bundles speziell für den Mittelstand auf den Markt, die eine kombinierte Lösung für Information Protection und Verschlüsselung sowie die Umsetzung einheitlicher Sicherheitsrichtlinien im Unternehmen bieten. Damit sind auch mittlere Unternehmen in der Lage, ihre sensiblen Firmendaten umfassend zu schützen.
Foto: stock.xchng/ArminH

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.