Anzeige

Anzeige

VERANSTALTUNGEN

OMX 2018
22.11.18 - 22.11.18
In Salzburg, Österreich

SEOkomm 2018
23.11.18 - 23.11.18
In Salzburg, Österreich

Blockchain Business Summit
03.12.18 - 03.12.18
In Nürnberg

Cyber Risk Convention
05.12.18 - 05.12.18
In Köln

IT-Tage 2018
10.12.18 - 13.12.18
In Frankfurt

Anzeige

Anzeige

Anzeige

Security Specialist

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in den letzten Jahren veröffentlicht wurden herauskamen und noch, wie z.B. die DSGVO, in den nächsten Jahren anstehen. Doch wer kümmert sich eigentlich um den Datenschutz?

Stefan Sulistyo und Martin Tauber werfen einen Blick auf das optimale Profil eines modernen Datenschutzbeauftragten.

Welchen Background hatten Datenschutzbeauftragte bisher?

In kleinen Unternehmen war bisher häufig derjenige Datenschutzbeauftragter, dessen Computer nicht dauernd abstürzte. Er kam also eher aus der IT und betreute den Datenschutz hobbymäßig nebenher. Hingegen hatten Großunternehmen, insbesondere jene mit B2C Hintergrund, immer schon spezialisierte Datenschutzabteilungen beschäftigt. Der Mittelstand vertraute in der Regel auf externe Datenschutzbeauftragte.

Wie haben sie ihre Aufgaben definiert und ausgeführt?

In den kleinen Unternehmen wollte der Datenschutzbeauftragte nicht besonders auffallen, Budget für seine Belange waren Mangelware. Daten wurden nicht als Chance für das Business verstanden. Das höchste der Gefühle war der jährliche Datenschutz-Online-Test für Mitarbeiter; dieser war gerne überfrachtet und hat das Thema nicht unbedingt interessanter gemacht.

In großen Unternehmen gab es schon immer eine Trennung zwischen Datenschutz in der Rechtsabteilung und der Informationssicherheit in der IT. Auch wenn die beiden Bereiche eigentlich eng miteinander verbunden sind, haben die Abteilungen in der Regel für verschiedene Vorstandsbereiche gearbeitet und berichtet. Daher entstand ein gewisses Silodenken mit damit zusammenhängenden Nachteilen für den Unternehmenserfolg.

Wie wurde der Datenschutz früher gesehen?

Datenschutz war ein typisches Verhindererthema. Das größte Problem war natürlich der fehlende Fokus auf das Thema, es wurde wenig beachtet. Compliance wurde als negatives Thema gesehen. Auch die Aussage „Datenschutz ist Täterschutz“, die vor allem von Juristen zu hören ist spricht für sich. Da geht es um die „Kontroverse“, dass durch Datenschutz letztlich auch die Täter geschützt werden: Beispielsweise in der Piraterie-Verfolgung gibt es einen natürlichen Zielkonflikt mit dem Datenschutz. Die Verfolger wollen natürlich viele Daten haben, um die Piraterie aufzuklären, durch den Datenschutz wird dies aber erschwert. Da der Datenschutz das Herausgeben von Daten der einzelnen Personen nicht möchte, verbirgt das dann natürlich auch die Daten des möglichen Piraten.

Da Datenschutz bzw. IT-Sicherheit natürlich aufwendig und teuer aufgrund ausgeklügelter Konzepte sowie den ausführenden Fachkräften sind, wurde das Ganze lange von den Geschäftsleitungen nicht als wichtiges Thema gesehen und daher vernachlässigt.

Warum funktioniert der Datenschutz so nicht und wann ändert sich das?

Da die Effizienz und Effektivität der aktuellen Maßnahmen zu gering ist, ändern sich gerade einige Dinge im Datenschutz. Auch die DS-Beratungsindustrie macht den Unternehmen Angst mit der neuen 4% Jahresumsatz Strafe aus der Datenschutz Grundverordnung. Da Angst ein äußerst wirksames Mittel ist, bleibt die Message hängen und so tun die Unternehmen etwas für den Datenschutz, auch wenn sich das Mindset noch nicht komplett geändert hat.

Geschäftsführungen haben mittlerweile mehr Risikobewusstsein und damit ein größeres Interesse an Resultaten und breiter Abdeckung von verschiedenen Risiken bei effizienter Mittelnutzung.

Es gibt neue Regularien, wie z.B. die DS-GVO, mit denen sich die Unternehmen auseinandersetzen müssen. Generell gibt es mehr Vorfälle, bzw. mehr Berichterstattung darüber. Darüber hinaus schreitet die Digitalisierung in diversen Geschäftsprozessen voran und daher müssen die entsprechenden Daten auch geschützt werden.

Was Unternehmen auch verstehen ist die Tatsache, dass Daten wertvoll für das Unternehmen selber sind. Führt das Unternehmen eine vernünftige Data Governance, in der Business und Compliance an einem Strang ziehen, dann gibt es auch unter strengen regulatorischen Bedingungen die Möglichkeit, viele Informationen und Erkenntnisse aus den Daten meiner Kunden zu gewinnen. So gibt es dann bessere Angebote für Kunden, eine Vereinzelung der Angebote und zielgerichtetes Direktmarketing.

Wie sieht der Datenschutzbeauftragte heute aus?

Der moderne Datenschutzbeauftragte ist kooperativ statt konfrontativ und denkt nicht in Schwarz-Weiß. Anstatt ausschließlicher Fokussierung auf Risikovermeidung und Risikoaversität, ist der Datenschutzbeauftragte versiert in den Methoden des Risikomanagements.

Ein breites IT-Wissen ist unabdingbar, es muss sich zwar nicht in allen Details ausgekannt werden, aber es braucht ein Level, auf dem adäquat mit der IT kommuniziert wird und die entsprechenden Risiken bewertet werden können. Dies spiegelt sich wieder in Ausbildungsangeboten im Bereich Management von Datenschutz/Informationssicherheit.

Auch ein tiefes Verständnis der organisatorischen Prioritäten (Projekte, Produkte, Kunden, usw.) und der Kerngeschäftsprozesse muss vorhanden sein. Ebenso essentiell ist ein gewisses Durchsetzungsvermögen, da die Risiken immer größer werden und daher unbedingt beachtet werden müssen. Lässt sich der Datenschutzbeauftragte leicht klein kriegen, dann kann dies drastische Auswirkungen haben.

Wiederum wichtig ist auch die Fähigkeit, komplexe rechtliche Themen und technisch-organisatorische Maßnahmen für die jeweiligen Fachbereiche und Geschäftsführungen zu kommunizieren und dort Entscheidungsfähigkeit herzustellen. Es braucht also qualifizierte Entscheidungen für Maßnahmeinvestitionen, Risikoabwägungen und Risikoakzeptanz.

Warum ist ein moderner Datenschutz(beauftrager) besonders wichtig?/Inwieweit ist der Datenschutz mit Blick auf den Kunden wichtig?

Immer mehr Kunden achten auf den Datenschutz von Unternehmen, denn schließlich möchten sie, dass ihre persönlichen Daten sicher aufgehoben sind. Durch eine klare und verständliche Umsetzung von Datenschutz gewinnt der Kunde Vertrauen in die Marke.

Kunden verstehen komplexe Entscheidungsprozesse und dahinter liegende Techniken nicht mehr (was ist ein Cookie?). Umso wichtig ist, dass sie einem Unternehmen 100% vertrauen können, dass mit den anvertrauten Daten nur im Sinne des Kunden umgegangen wird.

Autoren: Stefan Sulistyo und Martin Tauber

www.alyne.com
 

GRID LIST
DSGVO

Wie weit sind Unternehmen wirklich in Bezug auf die DSGVO?

Noch vor wenigen Monaten beherrschte vor allem ein Thema die Geschäftswelt: die neue…
SSL

6 Tipps zur Vermeidung von SSL-Blind-Spots

Die SSL-Nutzung nimmt mit jedem Jahr kontinuierlich zu, und auch Hacker nutzen diese…
Compliance

Compliance: Firmen erst durch Schaden klug

Compliance ist bei kleinen und mittleren Unternehmen (KMU) nach wie vor ein…
Fitness App

Weitere Fitness-App mangelhaft: Unverschlüsselte Übertragung von Standortdaten

Als Reaktion auf die Anfang des Jahres stark in die Kritik geratenen Fitness-Apps hat das…
Server

Was ist Server Name Indication (SNI)?

Mit der Server Name Indication (SNI) kann ein Server mehrere TLS-Zertifikate für…
Matthias Stauch

DSGVO: personenbezogene Daten nur verschlüsselt übermitteln

Die DSGVO fordert Unternehmen dazu auf personenbezogene Daten zu schützen. Welche…
Smarte News aus der IT-Welt