Leitlinie für Datenschutz und Informationssicherheit

(Version 1.0, Stand 22. Mai 2018)
1. Präambel
Die Geschäftsführung der IHKLW ist sich bewusst, dass sie – insbesondere im hoheitlichen Bereich – eine besondere Verpflichtung hat, mit den ihr anvertrauten personenbezogenen Daten sorgsam und angemessen umzugehen. Es ist ein Anliegen der obersten Leitung, in allen Geschäftsprozessen und bei allen Mitarbeiter*innen dafür Sorge zu tragen, dass die geltenden Datenschutzbestimmungen eingehalten und umgesetzt werden. Bei auftretenden Zielkonflikten – z.B. bei der weiteren Verbesserung der Serviceangebote durch bessere Information unserer Kund*innen – wiegt im Zweifelsfall das Gut des Datenschutzes höher. Sprachliche Anmerkung: In der IHKLW wird nicht der Begriff des „Verfahrens“ benutzt und es existiert sprachlich daher auch kein „Verzeichnis der Verarbeitungstätigkeiten“. Stattdessen arbeiten wir mit den Begriffen „Prozesse“ und „Prozesslandschaft“. Bei den Prozessen werden die Aspekte des Datenschutzes behandelt.
2. Zweck und Ziele
Zweck dieser Leitlinie ist es, Vorgaben an eine gesetzeskonforme und angemessene Steuerung von Datenschutz- und Informationssicherheitsrisiken für die IHK Lüneburg-Wolfsburg zu formulieren, Rollen und Verantwortlichkeiten festzulegen und weitere, mitgeltende Dokumente zu spezifizieren. Die Schutzziele sind: 
1. die gesetzeskonforme Verarbeitung von personenbezogenen Daten im Rahmen unserer Geschäftsprozesse sicherzustellen,
2. die Vertraulichkeit, Integrität und Verfügbarkeit von schützenswerten, durch Verfahren verarbeiteten Informationen sicherzustellen,
3. die Verfügbarkeit des eigenen Geschäftsbetriebs sicherzustellen und 
4. negative Auswirkungen auf andere IHKs bzw. den gesamten IHK-Verbund zu verhindern.
3. Aktivitäten und Maßnahmen
Präventive Maßnahmen
  • Die Beschreibungen der Geschäftsprozesse, welche personenbezogene Daten zum Gegenstand haben, werden kontinuierlich gepflegt. Diese sind integraler Bestandteil des Qualitätsmanagementsystems. Die Dokumente werden mit angemessenen Wiedervorlagen (mind. 1x jährlich) im Dokumentenmanagementsystem aufbewahrt.
  • Die Risikobewertung, die die Schutzziele des Datenschutzes und die Risiken für die Informationssicherheit berücksichtigt, wird bei der jährlichen Kontrolle der Prozesse durchgeführt und im Rahmen wiederkehrender Audits diskutiert.
  • Angemessene technische und organisatorische Schutzmaßnahmen dienen dazu, die Risiken adäquat zu senken.
  • Für Prozesse, die nach Anwendung der Schutzmaßnahmen hohe oder sehr hohe Risiken für betroffene Personen aufweisen, ist eine Datenschutz-Folgenabschätzung durchzuführen. Diese wird als mitgeltende Unterlage beim Prozess geführt.
  • Bei der Verarbeitung von personenbezogenen Daten sind die Prinzipien „privacy by design“ und „privacy by default“ zu berücksichtigen. Diese Prinzipien sind Bestandteil der Beschaffungsrichtlinie der IHK.
  • Die Informationspflichten gegenüber den Betroffenen werden umfänglich beachtet. Es existiert hierfür ein eigener Prozess.
Reaktive Maßnahmen 
Bei Vorfällen (Verletzung von Schutzzielen) sind die verantwortliche Führungskraft und der Leiter Zentrale Dienste umgehend zu informieren. Diese entscheiden umgehend über die nächsten Schritte und binden den externen Datenschutzbeauftragten (extDSB) ein. Der Leiter ZD und der extDSB sorgen zudem für die Anpassung von Prozessen und Systemen, um ähnlich gelagerte Vorfälle künftig zu vermeiden.
Organisatorische Maßnahmen 
Die Mitarbeiter*innen, insbesondere die Prozessverantwortlichen, werden für einen gesetzeskonformen und sicherheitsbewussten Umgang mit personenbezogenen Daten und schützenswerten Informationen – insbesondere zur Vertraulichkeit – verpflichtet und regelmäßig für ein datenschutzkonformes und sicheres Verhalten sensibilisiert. Beauftragte Dienstleister werden eingebunden und zu geeigneten Maßnahmen vertraglich verpflichtet. Darüber hinaus werden weitergehende gesetzliche Anforderungen umgesetzt (z.B.: Herausgabe von Daten; Archivgesetze).
4. Rollen und Verantwortlichkeiten
4.1. Geschäftsführung 
Der Hauptgeschäftsführer ist für die erfolgreiche Umsetzung des DISMS verantwortlich und stellt die hierfür erforderlichen personellen, organisatorischen und materiellen Ressourcen dauerhaft bereit. Die Bereichsleiter sind dafür verantwortlich, die DISMS-bezogenen Risiken in ihrem Bereich zu kennen, deren Steuerung einzuleiten und zu kontrollieren, Datenschutz- und Informationssicherheitsvorfälle zu behandeln sowie Anpassungen umzusetzen. Die Prozessverantwortlichen tragen proaktiv Sorge, dass die Prozessbeschreibungen mit ihren Datenschutzaspekten, der Risikoklassifizierung und einer eventuellen Datenschutzfolgeabschätzung richtig und aktuell sind.
4.2. Datenschutzbeauftragte(r) 
Es ist ein externer Datenschutzbeauftragter benannt. Er wirkt auf die Einhaltung des Datenschutzes hin. Gemeinsam mit dem Leiter Zentrale Dienste überwacht er die Einhaltung der Datenschutzvorschriften und informiert, sensibilisiert und berät die Mitarbeiter*innen zur gesetzeskonformen Verarbeitung von Daten. Der Leiter Zentrale Dienste ist Anlaufstelle für die zuständige Aufsichtsbehörde. Der externe Datenschutzbeauftrage ist weisungsfrei und berichtet dem Leiter Zentrale Dienste; er ist berechtigt, auch direkt der Hauptgeschäftsführung zu berichten. Ihm werden alle erforderlichen Einrichtungen, Geräte und Mittel zur Verfügung gestellt, die er für die Ausübung seiner Tätigkeit benötigt. Der externe Datenschutzbeauftragte ist zu regelmäßigen Weiterbildungen verpflichtet.
4.3. Informationssicherheitsbeauftragte(r) 
Der Informationssicherheitsbeauftragte ist der Leiter IT. Er erfasst kontinuierlich den Status der Informationssicherheitsrisiken der IHK, bewertet diese und berichtet sie an die Geschäftsführung. Er unterstützt die Geschäftsführung bei der Auswahl angemessener Sicherheitsmaßnahmen zur Steuerung der Risiken. Weiterhin sind die Informationssicherheitsbeauftragten die ersten Ansprechpartner bei Sicherheitsvorfällen und unterstützen bei der Behandlung. Eine Benennung kann – sofern im Hinblick auf Aufgabengebiet und Größe angemessen – in Personalunion mit dem/der Datenschutzbeauftragten erfolgen.
4.4. IT-Verantwortliche(r) 
Die für die Informationstechnologie verantwortlichen Personen übermitteln die Anforderungen in Bezug auf Datenschutz und Informationssicherheit sowie die technischen Maßnahmen zur Risikominderung an den (ggf. auch externen) IT-Leistungserbringer und stellen deren Einhaltung bzw. Umsetzung sicher.
4.5. Mitarbeiter*innen
Alle Mitarbeiter*innen, insbesondere die Prozessverantwortlichen, haben sich jederzeit so zu verhalten, dass Datenschutz und Informationssicherheit in ihrem Aufgaben- und Verantwortungsbereich sichergestellt ist. Insbesondere sind interne Vorgaben aus Richtlinien und Arbeitsanweisungen sowie Gesetze einzuhalten. Datenschutz- bzw. sicherheitsrelevante Vorkommnisse sind unverzüglich an den Leiter Zentrale, den externen Datenschutzbeauftragten und/oder den Informationssicherheitsbeauftragten zu melden.
Dieses Dokument ist gültig ab dem 25. Mai 2018.