CEO vs. DPO: Wer gewinnt das Machtspiel?

Mit der Verschärfung der Datenschutzbestimmungen brodelt ein Konflikt in den Gängen der Unternehmen. Die beiden Kontrahenten: CEO und der Data Protection Officer (DPO).

Wer gewinnt am Ende das Machtspiel – die Geschäftsleitung, welche die wirtschaftlichen Interessen des Unternehmens im Auge behält oder der Experte, der die Einhaltung des Datenschutzes überwacht? Die Antwort kennt Morten Brøgger, CEO von Wire:

Anzeige

Data Protection Officer – eine neue Rolle für mehr Datenschutz

Nicht erst seit der Einführung der DSGVO im Mai 2018, in der die Benennung eines Datenschutzbeauftragten für Unternehmen mit mindestens zehn Mitarbeitern zur Pflicht wird, steigt die Relevanz für einen sicheren Umgang mit Daten. Obwohl mehr als die Hälfte aller Unternehmen bislang keine Vollzeitstelle für Datenschutzexperten besetzt haben, ist das Thema endgültig in den Chefetagen angekommen. Trotzdem gibt es noch immer zahlreiche Unsicherheiten, auch was eine Funktion im Unternehmen angeht, die im Zeitalter der Privatsphäre stark an Relevanz gewonnen hat. Der Data Protection Officer überwacht die Einhaltung der Datenschutzvorgaben und ist somit für die Privatsphäre von Mitarbeitern und Kunden verantwortlich. Weil dieser die Arbeitsabläufe und -kultur überwachen sowie hinterfragen soll, übernehmen diese Mitarbeiter eine herausragende und bedeutende Funktion im Unternehmen ein.

Achtung vor Trugschlüssen beim Schutz vor der tickenden Zeitbombe

In den Aufgabenbereich fällt in punkto Datenschutz auch der Bereich IT-Sicherheit und trägt folglich dazu bei, die größte Gefahr für Unternehmen zu minimieren: Hackerangriffe. In der letzten Cyber-Sicherheitsumfrage des Bundesamtes für Sicherheit in der Informationstechnik waren 70 Prozent der Unternehmen in den Jahren 2016 und 2017 Opfer derartiger Angriffe. Auch andere Firmen sitzen somit auf einer tickenden Zeitbombe. Viele Unternehmen verfallen dem Trugschluss, sich auf externe Datenschutzexperten, die die Abläufe und Prozesse auf ihre IT-Sicherheit hin untersuchen oder vertrauen auf kostspielige Cyber-Versicherungen.

Letztere kompensieren den Verlust zwar finanziell, können jedoch möglicherweise verlorene Daten nicht zurück bringen. Es wäre zudem fahrlässig, sich auf eine technische Datenwiederherstellung zu verlassen. Diese ist zwar in vielen Fällen möglich, jedoch mit hohen Kosten verbunden. Ist das gesamte IT-System eines Unternehmens betroffen, kann die Restaurierung je nach Unternehmensgröße viele Millionen Euro kosten – die Verluste von Wettbewerbsvorteilen sowie die Kosten durch Umsatzeinbußen und dem Image-Schaden noch nicht eingerechnet. Selbst eine einzige gestohlene Datei, etwa mit Kundendaten oder Passwörtern, richtet großen Schaden an. Hier kommt der Data Protection Officer ins Spiel, der der Geschäftsleitung auf die Füße treten muss.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Checkliste: Hier muss der Data Protection Officer eingreifen

Zu den Aufgaben des Data Protection Officer gehört es, die Geschäftsleitung auf Datenschutzverstöße hinzuweisen und bei Bedarf auf umfangreiche Veränderungen zu bestehen. Unsichere Cloudspeicherlösungen oder die eigenen Kommunikationskanäle sind für Unternehmen “wunde Punkte”, die der Datenschutzexperte besonders im Auge behalten muss. Generell muss der Data Protection Officer beim Einsatz von Softwarelösungen folgende Eigenschaften prüfen und Fragen beantworten können:

  • DSGVO-Konformität: Ob und wie personenbezogene Daten verarbeitet werden?
     
  • Auditierte Software: Gibt es regelmäßige unabhängige IT-Sicherheitsprüfungen?
     
  • Open-Source-Verfügbarkeit: Gibt es im freiverfügbaren Quelltext kritische Sicherheitslücken oder potenzielle Hintertüren für Dritte?
     
  • Server-Standort: Sind die Serverinnerhalb der EU verortet und gilt der vergleichsweise strenge Rechtsrahmen?
     
  • Ende-zu-Ende-Verschlüsselung: Werden Datenübertragungen oder die gesamte Kommunikation Ende-zu-Ende-verschlüsselt, damit nur Sender und Empfänger Zugriff haben?

Der CEO sollte zudem zusammen mit dem Data Protection Officer eine interne Sicherheitskultur etablieren. Das bedeutet, dass sie sich dafür einsetzen, dass Mitarbeiter eine positive Einstellung gegenüber den notwendigen Richtlinien entwickeln, denn im schlimmsten Falle hängt ihr eigener Arbeitsplatz und das Wohl des Unternehmens von dem Funktionieren der IT-Sicherheitsmechanismen ab.

Fazit: Gibt es kein Machtspiel, kann es nur Gewinner geben!

Der Data Protection Officer kann für den CEO sehr unbequeme Wahrheiten ans Licht bringen: er spricht Fehler und Verstöße offen an, fordert Reformen und hinterfragt bestehende Workflows. Trotzdem vertreten Geschäftsleitung und Datenschutzexperten grundsätzlich die gleichen Interessen. Am Ende ziehen alle Beteiligten aus einer engen Zusammenarbeit einen unschätzbaren Gewinn: Das Unternehmen ist besser vor Cyberbedrohungen geschützt, Mitarbeiter gehen umsichtiger mit sensiblen Informationen um, Kunden profitieren von einem verbesserten Datenschutz und das zahlt sich auch auf die eigene Seriosität aus. Als Basis etabliert der Data Protection Officer neue Workflows und implementiert zu diesem Zwecke sichere Tools in die Arbeitsprozesse. Letztere bieten zudem die Chance, die Produktivität des Unternehmens noch zu erhöhen und somit positiv auf die KPIs einzuwirken. Gewinner gibt es am Ende nur, wenn CEO und Datenschutzbeauftragter keinen Machtkampf austragen, sondern stattdessen an einem Strang ziehen. Sicherheit ist kein Projekt, sondern ein Prozess. Der Data Protection Officer ist in der Pflicht diesen anzuleiten und so die Unternehmensinteressen nachhaltig zu wahren.

Morten BrøggerMorten Brøgger ist der CEO von Wire. Als ehemaliger Geschäftsführer sowohl von Huddle als auch von MACH, bringt Morten mehr als 20 Jahre Erfahrung in der Technologiebranche sowie umfangreiche Go-to-Market- und SaaS-Erfahrung über die US-amerikanischen und europäischen Märkte mit. In seinen vorherigen Führungspositionen hat er stets die Weiterentwicklung von Unternehmen, die nach sicheren Lösungen suchen, unterstützt. Unter anderem hat er dabei neue Cloud-Services auf den Markt gebracht, Geschäfte in angrenzende Märkte forciert und gleichzeitig eine außerordentlich hohe Kunden- und Mitarbeiterzufriedenheit erzielt. Bei Wire stellt sich Morten nun der Herausforderung, die persönliche digitale Privatsphäre zu schützen und gleichzeitig die Sicherheit in Unternehmen hinsichtlich der Kommunikation zu gewährleisten.

wire.com/de/
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.