PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Data Driven Business 2017
13.11.17 - 14.11.17
In Berlin

Security Specialist

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in den letzten Jahren veröffentlicht wurden herauskamen und noch, wie z.B. die DSGVO, in den nächsten Jahren anstehen. Doch wer kümmert sich eigentlich um den Datenschutz?

Stefan Sulistyo und Martin Tauber werfen einen Blick auf das optimale Profil eines modernen Datenschutzbeauftragten.

Welchen Background hatten Datenschutzbeauftragte bisher?

In kleinen Unternehmen war bisher häufig derjenige Datenschutzbeauftragter, dessen Computer nicht dauernd abstürzte. Er kam also eher aus der IT und betreute den Datenschutz hobbymäßig nebenher. Hingegen hatten Großunternehmen, insbesondere jene mit B2C Hintergrund, immer schon spezialisierte Datenschutzabteilungen beschäftigt. Der Mittelstand vertraute in der Regel auf externe Datenschutzbeauftragte.

Wie haben sie ihre Aufgaben definiert und ausgeführt?

In den kleinen Unternehmen wollte der Datenschutzbeauftragte nicht besonders auffallen, Budget für seine Belange waren Mangelware. Daten wurden nicht als Chance für das Business verstanden. Das höchste der Gefühle war der jährliche Datenschutz-Online-Test für Mitarbeiter; dieser war gerne überfrachtet und hat das Thema nicht unbedingt interessanter gemacht.

In großen Unternehmen gab es schon immer eine Trennung zwischen Datenschutz in der Rechtsabteilung und der Informationssicherheit in der IT. Auch wenn die beiden Bereiche eigentlich eng miteinander verbunden sind, haben die Abteilungen in der Regel für verschiedene Vorstandsbereiche gearbeitet und berichtet. Daher entstand ein gewisses Silodenken mit damit zusammenhängenden Nachteilen für den Unternehmenserfolg.

Wie wurde der Datenschutz früher gesehen?

Datenschutz war ein typisches Verhindererthema. Das größte Problem war natürlich der fehlende Fokus auf das Thema, es wurde wenig beachtet. Compliance wurde als negatives Thema gesehen. Auch die Aussage „Datenschutz ist Täterschutz“, die vor allem von Juristen zu hören ist spricht für sich. Da geht es um die „Kontroverse“, dass durch Datenschutz letztlich auch die Täter geschützt werden: Beispielsweise in der Piraterie-Verfolgung gibt es einen natürlichen Zielkonflikt mit dem Datenschutz. Die Verfolger wollen natürlich viele Daten haben, um die Piraterie aufzuklären, durch den Datenschutz wird dies aber erschwert. Da der Datenschutz das Herausgeben von Daten der einzelnen Personen nicht möchte, verbirgt das dann natürlich auch die Daten des möglichen Piraten.

Da Datenschutz bzw. IT-Sicherheit natürlich aufwendig und teuer aufgrund ausgeklügelter Konzepte sowie den ausführenden Fachkräften sind, wurde das Ganze lange von den Geschäftsleitungen nicht als wichtiges Thema gesehen und daher vernachlässigt.

Warum funktioniert der Datenschutz so nicht und wann ändert sich das?

Da die Effizienz und Effektivität der aktuellen Maßnahmen zu gering ist, ändern sich gerade einige Dinge im Datenschutz. Auch die DS-Beratungsindustrie macht den Unternehmen Angst mit der neuen 4% Jahresumsatz Strafe aus der Datenschutz Grundverordnung. Da Angst ein äußerst wirksames Mittel ist, bleibt die Message hängen und so tun die Unternehmen etwas für den Datenschutz, auch wenn sich das Mindset noch nicht komplett geändert hat.

Geschäftsführungen haben mittlerweile mehr Risikobewusstsein und damit ein größeres Interesse an Resultaten und breiter Abdeckung von verschiedenen Risiken bei effizienter Mittelnutzung.

Es gibt neue Regularien, wie z.B. die DS-GVO, mit denen sich die Unternehmen auseinandersetzen müssen. Generell gibt es mehr Vorfälle, bzw. mehr Berichterstattung darüber. Darüber hinaus schreitet die Digitalisierung in diversen Geschäftsprozessen voran und daher müssen die entsprechenden Daten auch geschützt werden.

Was Unternehmen auch verstehen ist die Tatsache, dass Daten wertvoll für das Unternehmen selber sind. Führt das Unternehmen eine vernünftige Data Governance, in der Business und Compliance an einem Strang ziehen, dann gibt es auch unter strengen regulatorischen Bedingungen die Möglichkeit, viele Informationen und Erkenntnisse aus den Daten meiner Kunden zu gewinnen. So gibt es dann bessere Angebote für Kunden, eine Vereinzelung der Angebote und zielgerichtetes Direktmarketing.

Wie sieht der Datenschutzbeauftragte heute aus?

Der moderne Datenschutzbeauftragte ist kooperativ statt konfrontativ und denkt nicht in Schwarz-Weiß. Anstatt ausschließlicher Fokussierung auf Risikovermeidung und Risikoaversität, ist der Datenschutzbeauftragte versiert in den Methoden des Risikomanagements.

Ein breites IT-Wissen ist unabdingbar, es muss sich zwar nicht in allen Details ausgekannt werden, aber es braucht ein Level, auf dem adäquat mit der IT kommuniziert wird und die entsprechenden Risiken bewertet werden können. Dies spiegelt sich wieder in Ausbildungsangeboten im Bereich Management von Datenschutz/Informationssicherheit.

Auch ein tiefes Verständnis der organisatorischen Prioritäten (Projekte, Produkte, Kunden, usw.) und der Kerngeschäftsprozesse muss vorhanden sein. Ebenso essentiell ist ein gewisses Durchsetzungsvermögen, da die Risiken immer größer werden und daher unbedingt beachtet werden müssen. Lässt sich der Datenschutzbeauftragte leicht klein kriegen, dann kann dies drastische Auswirkungen haben.

Wiederum wichtig ist auch die Fähigkeit, komplexe rechtliche Themen und technisch-organisatorische Maßnahmen für die jeweiligen Fachbereiche und Geschäftsführungen zu kommunizieren und dort Entscheidungsfähigkeit herzustellen. Es braucht also qualifizierte Entscheidungen für Maßnahmeinvestitionen, Risikoabwägungen und Risikoakzeptanz.

Warum ist ein moderner Datenschutz(beauftrager) besonders wichtig?/Inwieweit ist der Datenschutz mit Blick auf den Kunden wichtig?

Immer mehr Kunden achten auf den Datenschutz von Unternehmen, denn schließlich möchten sie, dass ihre persönlichen Daten sicher aufgehoben sind. Durch eine klare und verständliche Umsetzung von Datenschutz gewinnt der Kunde Vertrauen in die Marke.

Kunden verstehen komplexe Entscheidungsprozesse und dahinter liegende Techniken nicht mehr (was ist ein Cookie?). Umso wichtig ist, dass sie einem Unternehmen 100% vertrauen können, dass mit den anvertrauten Daten nur im Sinne des Kunden umgegangen wird.

Autoren: Stefan Sulistyo und Martin Tauber

www.alyne.com
 

GRID LIST
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Fragen

Von wegen „Nichts zu verbergen“: Die Folgen der Datensammelwut

Die ausufernde Datenschnüffelei lässt viele Menschen kalt. Zu Unrecht. Die Brabbler AG…
Rettungsring

Datenrettung: Weshalb sind virtuelle Daten nicht immer sicher?

Anstatt physikalischer Server nutzen Unternehmen vermehrt virtuelle Systeme. Angesichts…
EU Flagge

Legacy Datensysteme machen Compliance-Risiko bei DSGVO unkalkulierbar

Rund ein Drittel der europäischen und US CIOs können nicht sicherstellen, Daten innerhalb…
EU

Die DSGVO für Finanzinstitute | Kommentar

Die Gewährleistung von Compliance bezüglich der DSGVO kommt zur gleichen Zeit auf die…
Festplatten vernichten

Elektronische Datenträger physisch vernichten (lassen)

Bei der Entsorgung von digitalen Datenträgern ist Vorsicht geboten, denn unzählige…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet