Über unsere Interviewpartnerin
Dr. Jana Moser ist VP Growth & Business bei der Akarion AG. Als Compliance Management Unternehmen befasst sich die Akarion AG mit Themen wie Datenschutz, Informationssicherheit, Notfall- und Risk Management.
Datenschutz wird – zumindest hierzulande – v.a. mit der DSGVO assoziiert. Und jetzt lesen wir immer häufiger über Bußgelder für Verstöße. Wie ist Ihre Perspektive auf die DSGVO – hat Sie dem Datenschutz endlich die angemessene Aufmerksamkeit verschafft?
Mehr Aufmerksamkeit hat die DSGVO dem Datenschutz sicherlich verschafft. Ich würde aber sagen, dass es Ansichtssache ist, ob diese Aufmerksamkeit auch „angemessen“ ist.
Aus der Sicht vieler Datenschützer und auch Verbraucherverbände ist die EU-Verordnung ein wichtiger Schritt gewesen, um vor allem große Unternehmen und internationale Konzerne, die sich mit ihren Angeboten an EU-Bürger richten, endlich etwas entgegensetzen zu können. So konnte nicht nur Herr Schrems wegweisende Urteile gegen Facebook und den überbordenden Drittlandsdatentransfer erringen. Auch Aufsichtsbehörden haben nun ein mächtiges Schwert in der Hand. So verhängte die luxemburgische Aufsichtsbehörde beachtliche Bußgelder– beispielsweise 746 Mio. EUR gegen Amazon und 225 Mio. EUR gegen WhatsApp.
Es trifft aber nicht nur die Großen! Deshalb dürfte der Datenschutz aus der Sicht von KMUs manchmal etwas zu viel Aufmerksamkeit haben. Die Regelungen sind sehr vielfältig, für Laien schwer zu verstehen und die Dokumentationen oft zeitaufwändig und ressourcenintensiv. Dann ringen Wirtschaftlichkeit und Compliance gleichermaßen um Aufmerksamkeit.
In der Öffentlichkeit wird die DSGVO und der „Datenschutz-Wahn“ ja oft als Hemmnis für die Digitalisierung und Nachteil gegenüber v.a. amerikanischen Plattformen gesehen. Sie haben in diesem Zusammenhang viele Erfragungen sammeln können: wie fällt Ihr Fazit aus?
Große US-amerikanische Tech-Giganten haben definitiv einen Vorteil. Und viele Kleinstunternehmen und auch KMUs spielen ihnen sogar noch in die Hände, ohne es zu verstehen.
KMUs tun sich sehr schwer in der Umsetzung der DSGVO. Digitalisierung geht nämlich nicht zwingend einher mit Digital-Kompetenz. Allzu schnell werden Facebook-Seiten erstellt, Tik-Tok Accounts eingerichtet oder detailliertes Newsletter-Tracking von Usern eingebaut – leider ohne zu wissen, was im Hintergrund mit den Daten passiert. Und dann werden Daten und damit die „Macht über den Kunden“ eher den großen Anbietern auf dem Markt zugespielt. Das Nachsehen hat dann der Onlineshop von nebenan. Ist ein Dienstleister (z.B. aus den USA) nicht DSGVO konform, zieht sich der Onlineshop die Non-Compliance der eingesetzten Dienstleister als eigene an, ohne sie verstehen oder gar beeinflussen zu können. Zugleich sind diese KMUs aber für die Datenschutzbehörden greifbarer als z.B. ein US-Unternehmen.
Das Ergebnis ist, dass deutsche Unternehmen aus Angst vor einem Bußgeld eher restriktiver mit Daten umgehen, viele Einwilligungen einholen, wo keine notwendig sind oder Datenschutzerklärungen verfassen (lassen), die weder sie noch ihre Kunden verstehen. Und das schafft kein Vertrauen und damit auch keinen Umsatz. Zeitgleich werden die großen Plattformen weiter mit Daten gefüttert.
Wie und wo kann Datenschutz gezielt zu einem Vorteil genutzt werden – unabhängig davon, dass ich mir DSGVO-compliant auf die Webseite schreibe?
Ich bleibe aufgrund meiner Erfahrung dabei: Datenschutz ist und kann kein USP sein. Genauso wenig wie Rechtskonformität ein USP sein kann. Aber man kann sein Unternehmen und damit seine Produkte durchaus als „besonders datensparsam“ oder „verbraucherfreundlich“ positionieren. Das würde für mich bedeuten, dass ich als Unternehmer:in mehr in Sachen DSGVO investiere als eigentlich notwendig. Das geht in Richtung Wertschätzung des Kunden. Das wiederum führt zu Vertrauen des Kunden. Immerhin kaufen einer Salesforce Studien zufolge 92% der Kunden eher von vertrauenswürdigen Unternehmen zusätzliche Produkte und Services. Reine Lippenbekenntnisse oder schicke Marketingtexte werden da nicht reichen.
Wo sehen Sie in den meisten Unternehmen den größten Handlungsbedarf – geht es schon bei der grundsätzlichen Awareness los, oder sind es bestimmte Maßnahmen, Tools, die fehlen?
Dass Datenschutz relevant ist, wissen viele Führungskräfte durchaus. Oft schlägt die Waage bei der Wirtschaftlichkeitsbetrachtung aber so lange für „nur das Notwendigste im Datenschutz umsetzen“ aus, bis einmal das Kind in den Brunnen gefallen ist. Und hier rede ich gar nicht von einem Bußgeld. Das Problem ist der Reputations- und damit der Vertrauensverlust. Ist die Reputation einmal beschädigt, lässt sich das Vertrauen von Geschäftspartnern und Kunden oft nur mühsam wieder aufbauen. Das kostet Zeit und Umsatz.
Es wundert mich auch nicht, dass Datenschutzdokumentation und Awareness als aufwändig betrachtet werden. Viele Unternehmen und Behörden verwenden schließlich immer noch Excel, Word und Sharepoint. Das ist ineffizient und fehleranfällig. Ein intuitives Datenschutzmanagement würde die DSGVO-Konformität nicht nur erleichtern, sondern auch nachhaltig und transparent machen.
ISMS Tools sind ja ein stark wachsendes Feld: wie schaffe ich es als CISO, ein Tool nicht nur erfolgreich einzuführen, sondern wirklich in die Unternehmensabläufe zu integrieren, damit nicht einfach nur eine „weitere Datenbank“ entsteht, die nur vor oder während Audits genutzt wird?
Wenn Sie ein ISM umsetzen wollen, sollten Sie nicht nur einmal etwas aufbauen, sondern es nachhaltig pflegen und auch dokumentieren, dass und was sich konkret geändert hat. Sie müssen dabei den PDCA Zyklus beachten. Deshalb muss ein ISMS Tool den ISB oder CISO genau dabei ganz einfach unterstützen: automatisches Logging von der Arbeit im ISM, Aufgabenzuweisungen an Kollegen inklusive Fristsetzungen und Wiedervorlagen sowie schnelles Erstellen für Reports für das Management oder Webformulare für Dienstleister und Fachabteilungen zum Ausfüllen. Je mehr Sie sich dem Inhalt Ihrer Arbeit als ISB/CISO widmen können, anstatt über das eingesetzte Tool nachzudenken, desto besser. Das fängt beim schnellen Set-up an und hört beim einfachen Download und Export von Informationen auf. Wenn Sie das ganze dann noch mit einem Audit Tool abrunden, dass mit dem ISMS interagiert und mit dem getroffenen Maßnahmen und Prozesse überprüft werden, haben sie ein ISMS, das lebt.
Spätestens wenn Cyber-Kriminelle Ransomware-Attacken durchführen und nicht nur Unternehmensbereiche verschlüsseln, sondern auch die Daten veröffentlichen, haben Cybersicherheit und Datenschutz einen gemeinsamen Nenner. Wo sehen Sie weitere Verbindungen von Datenschutz und Cybersicherheit?
Datenschutz und Informations- oder Cybersicherheit haben sehr viele Schnittmengen. So sind personenbezogene Daten auch Informationswerte, die aus Datenschutzsicht einfach nur anders betrachtet werden. Auch Maßnahmen, Assets, Organisationen und Risiken spielen in beiden Fachbereichen eine Rolle – wenn auch etwas abgewandelt. Man kann daher die Fachbereiche nicht strikt trennen. Viel mehr noch: Sie hängen eng zusammen! Es macht daher mehr Sinn, Datenschutz und Informationssicherheit – wie übrigens auch BCM und Audit – in einem Tool gemeinsam abzubilden. Sonst entstehen parallele Dokumentationen zu den gleichen Grundlagen im Unternehmen. Das ist nicht nur ineffizient, sondern auch sehr fehleranfällig.
Wenn es um Big Data geht, wird ja auch eine einheitliche Datenbasis für alle Entscheidungen gefordert. Das Gleiche muss auch für Compliance gelten: Ein Compliance Management für alle Themen. Nur so kann eine Unternehmensführung einen einheitlichen Blick auf Compliance und damit Risiken im Unternehmen haben.
Welche konkret anstehenden oder vermutlich kommenden Änderungen sollten Firmen im Bereich Datenschutz auf dem Schirm haben?
Fachlich gibt es einige Themen, die Unternehmen auf dem Schirm haben sollten: von dem fortwährenden Thema der Drittlandsdatenübermittlung und dessen Rechtmäßigkeit (Stichwort: Standardvertragsklauseln) bis hin zu neuen Gesetzen wie dem TTDSG, dem Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien. Sie müssen sich davon verabschieden, dass Sie sich einmal um Datenschutz kümmern und dann erst einmal Ruhe haben. Das ist ein fortlaufendes Thema, weshalb auch eine effiziente Organisation und nachhaltige Dokumentation die Schlüssel zum Erfolg sind.
Wenn Sie eine Mail an alle Datenschutzbeauftragten senden könnten, mit einer Empfehlung: was wäre das?
Liebe Datenschutzbeauftragte, Datenschutz hat viel mit zwischenmenschlicher Kommunikation zu tun, aber auch mit Struktur und Unternehmertum. Beginnen Sie daher, Ihre Tätigkeit intern zu vermarkten, Mehrwerte zu generieren und Effizienzen zu entdecken. Vernetzen Sie sich mit Ihren Kollegen, verstehen Sie das Geschäftsmodell und holen Sie dabei Ihre Kollegen dort ab, wo sie sind. Wenn Sie dann noch das richtige DSMS Tool einsetzen, mit dem Sie alles transparent und zeitsparend dokumentieren und dementsprechend dem Management die Risiken aufzeigen aber auch Datenschutzanfragen schnell beantworten können, wird man auch Ihre Tätigkeit als DSB (noch mehr) schätzen. Sie tragen dann nämlich effektiv zum Erfolg Ihres Unternehmens bei!
Vielen Dank an Dr. Jana Moser!
CyberCompare erhält keine Vergütung für diesen Beitrag. Falls Sie Interesse an einem Interview mit uns haben, freuen wir uns über eine kurze Nachricht an cybercompare@bosch.com
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.