Die neuen Datenschutz-Gesetzgebungen der EU und der Schweiz fordern, dass Unternehmen Verfahren implementieren, mit denen sie regelmässig die Wirksamkeit ihrer technischen und organisatorischen Massnahmen überprüfen, bewerten und evaluieren. Untersuchungen und Studien zeigen jedoch auf, dass KMU weder die Ressourcen noch das notwendige Wissen besitzen, um derer Anforderungen nachkommen zu können. Die Fragestellung dieser Arbeit lautet: Was sind die Erfolgsfaktoren und Herausforderungen für die Einführung eines Datenschutzmanagementsystems bei der novcom AG?

Zur Beantwortung der Forschungsfrage wurde in einem ersten Ansatz eine Literaturrecherche durchgeführt und die geänderte Gesetzeslage analysiert. Anschliessend wurden Praxisbeispiele und Best Practice-Vorgehensweisen untersucht. Anhand einer Reifegradanalyse des Datenschutzes bei der novcom AG, anhand dem Reifegradmodell der französischen Datenschutzbehörde CNIL, wurden anschliessend Handlungsfelder identifiziert und Massnahmen abgeleitet.

Folgende Handlungsfelder konnten identifiziert werden: Definition und Umsetzung von Verfahren zum Schutz von Daten, Steuerung der Governance zum Datenschutz, Führung eines oder mehreren Verarbeitungsverzeichnissen, Gewährleistung der Rechtmässigkeit der Bearbeitungen, Schulung und Sensibilisierung, Verarbeitung von Anfragen im Zusammenhang mit Betroffenenrechten, Behandlung von Anfragen und Beschwerden, Umgang mit Sicherheitsrisiken, Umgang mit Datenschutzverletzungen. Daraus wurden 9 Handlungsempfehlungen abgeleitet und derer Nutzen diskutiert. Eine Gegenüberstellung des Nutzens und des Aufwands ermöglicht es den Entscheidungsträgern geeignete Massnahmen in der Unternehmung zu implementieren und so ein geeignetes Datenschutzmanagement im Unternehmen zu gestallten. Dabei können eine Bereitschaft des Managements, der Einbezug der Mitarbeitenden sowie klare und offene Kommunikation der Ziele des Datenschutz als Erfolgsfaktoren bei der Einführung eines Datenschutzmanagements betrachtet werden. Hingegen können eine fehlende Awareness, fehlende Kontrollen und schlechte Dokumentationen als Herausforderung bei dessen Einführung angesehen werden.