![\"\"](\"https:\/\/cybercompare.com\/wp-content\/uploads\/2023\/09\/Dr.-Jana-Moser-576x920-1.jpg\" "\\"Jana")
Datenschutz wird \u2013 zumindest hierzulande \u2013 v.a. mit der DSGVO assoziiert. Und jetzt lesen wir immer h\u00e4ufiger \u00fcber Bu\u00dfgelder f\u00fcr Verst\u00f6\u00dfe. Wie ist Ihre Perspektive auf die DSGVO \u2013 hat Sie dem Datenschutz endlich die angemessene Aufmerksamkeit verschafft?<\/h2>\n\n\n\n
Mehr Aufmerksamkeit hat die DSGVO dem Datenschutz sicherlich verschafft. Ich w\u00fcrde aber sagen, dass es Ansichtssache ist, ob diese Aufmerksamkeit auch \u201eangemessen\u201c ist.<\/p>\n\n\n\n
Aus der Sicht vieler Datensch\u00fctzer und auch Verbraucherverb\u00e4nde ist die EU-Verordnung ein wichtiger Schritt gewesen, um vor allem gro\u00dfe Unternehmen und internationale Konzerne, die sich mit ihren Angeboten an EU-B\u00fcrger richten, endlich etwas entgegensetzen zu k\u00f6nnen. So konnte nicht nur Herr Schrems wegweisende Urteile gegen Facebook und den \u00fcberbordenden Drittlandsdatentransfer erringen. Auch Aufsichtsbeh\u00f6rden haben nun ein m\u00e4chtiges Schwert in der Hand. So verh\u00e4ngte die luxemburgische Aufsichtsbeh\u00f6rde beachtliche Bu\u00dfgelder\u2013 beispielsweise 746 Mio. EUR gegen Amazon und 225 Mio. EUR gegen WhatsApp.<\/p>\n\n\n\n
Es trifft aber nicht nur die Gro\u00dfen! Deshalb d\u00fcrfte der Datenschutz aus der Sicht von KMUs manchmal etwas zu viel Aufmerksamkeit haben. Die Regelungen sind sehr vielf\u00e4ltig, f\u00fcr Laien schwer zu verstehen und die Dokumentationen oft zeitaufw\u00e4ndig und ressourcenintensiv. Dann ringen Wirtschaftlichkeit und Compliance gleicherma\u00dfen um Aufmerksamkeit.<\/p>\n\n\n\n
<\/p>\n\n\n\n
In der \u00d6ffentlichkeit wird die DSGVO und der \u201eDatenschutz-Wahn\u201c ja oft als Hemmnis f\u00fcr die Digitalisierung und Nachteil gegen\u00fcber v.a. amerikanischen Plattformen gesehen. Sie haben in diesem Zusammenhang viele Erfragungen sammeln k\u00f6nnen: wie f\u00e4llt Ihr Fazit aus?<\/h2>\n\n\n\n
Gro\u00dfe US-amerikanische Tech-Giganten haben definitiv einen Vorteil. Und viele Kleinstunternehmen und auch KMUs spielen ihnen sogar noch in die H\u00e4nde, ohne es zu verstehen.<\/p>\n\n\n\n
KMUs tun sich sehr schwer in der Umsetzung der DSGVO. Digitalisierung geht n\u00e4mlich nicht zwingend einher mit Digital-Kompetenz. Allzu schnell werden Facebook-Seiten erstellt, Tik-Tok Accounts eingerichtet oder detailliertes Newsletter-Tracking von Usern eingebaut \u2013 leider ohne zu wissen, was im Hintergrund mit den Daten passiert. Und dann werden Daten und damit die \u201eMacht \u00fcber den Kunden\u201c eher den gro\u00dfen Anbietern auf dem Markt zugespielt. Das Nachsehen hat dann der Onlineshop von nebenan. Ist ein Dienstleister (z.B. aus den USA) nicht DSGVO konform, zieht sich der Onlineshop die Non-Compliance der eingesetzten Dienstleister als eigene an, ohne sie verstehen oder gar beeinflussen zu k\u00f6nnen. Zugleich sind diese KMUs aber f\u00fcr die Datenschutzbeh\u00f6rden greifbarer als z.B. ein US-Unternehmen.<\/p>\n\n\n\n
Das Ergebnis ist, dass deutsche Unternehmen aus Angst vor einem Bu\u00dfgeld eher restriktiver mit Daten umgehen, viele Einwilligungen einholen, wo keine notwendig sind oder Datenschutzerkl\u00e4rungen verfassen (lassen), die weder sie noch ihre Kunden verstehen. Und das schafft kein Vertrauen und damit auch keinen Umsatz. Zeitgleich werden die gro\u00dfen Plattformen weiter mit Daten gef\u00fcttert.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Wie und wo kann Datenschutz gezielt zu einem Vorteil genutzt werden \u2013 unabh\u00e4ngig davon, dass ich mir DSGVO-compliant auf die Webseite schreibe?<\/h2>\n\n\n\n
Ich bleibe aufgrund meiner Erfahrung dabei: Datenschutz ist und kann kein USP sein. Genauso wenig wie Rechtskonformit\u00e4t ein USP sein kann. Aber man kann sein Unternehmen und damit seine Produkte durchaus als \u201ebesonders datensparsam\u201c oder \u201everbraucherfreundlich\u201c positionieren. Das w\u00fcrde f\u00fcr mich bedeuten, dass ich als Unternehmer:in mehr in Sachen DSGVO investiere als eigentlich notwendig. Das geht in Richtung Wertsch\u00e4tzung des Kunden. Das wiederum f\u00fchrt zu Vertrauen des Kunden. Immerhin kaufen einer Salesforce Studien zufolge 92% der Kunden eher von vertrauensw\u00fcrdigen Unternehmen zus\u00e4tzliche Produkte und Services. Reine Lippenbekenntnisse oder schicke Marketingtexte werden da nicht reichen.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Wo sehen Sie in den meisten Unternehmen den gr\u00f6\u00dften Handlungsbedarf \u2013 geht es schon bei der grunds\u00e4tzlichen Awareness los, oder sind es bestimmte Ma\u00dfnahmen, Tools, die fehlen?<\/h2>\n\n\n\n
Dass Datenschutz relevant ist, wissen viele F\u00fchrungskr\u00e4fte durchaus. Oft schl\u00e4gt die Waage bei der Wirtschaftlichkeitsbetrachtung aber so lange f\u00fcr \u201enur das Notwendigste im Datenschutz umsetzen\u201c aus, bis einmal das Kind in den Brunnen gefallen ist. Und hier rede ich gar nicht von einem Bu\u00dfgeld. Das Problem ist der Reputations- und damit der Vertrauensverlust. Ist die Reputation einmal besch\u00e4digt, l\u00e4sst sich das Vertrauen von Gesch\u00e4ftspartnern und Kunden oft nur m\u00fchsam wieder aufbauen. Das kostet Zeit und Umsatz.<\/p>\n\n\n\n
Es wundert mich auch nicht, dass Datenschutzdokumentation und Awareness als aufw\u00e4ndig betrachtet werden. Viele Unternehmen und Beh\u00f6rden verwenden schlie\u00dflich immer noch Excel, Word und Sharepoint. Das ist ineffizient und fehleranf\u00e4llig. Ein intuitives Datenschutzmanagement w\u00fcrde die DSGVO-Konformit\u00e4t nicht nur erleichtern, sondern auch nachhaltig und transparent machen.<\/p>\n\n\n\n
<\/p>\n\n\n\n
ISMS Tools sind ja ein stark wachsendes Feld: wie schaffe ich es als CISO, ein Tool nicht nur erfolgreich einzuf\u00fchren, sondern wirklich in die Unternehmensabl\u00e4ufe zu integrieren, damit nicht einfach nur eine \u201eweitere Datenbank\u201c entsteht, die nur vor oder w\u00e4hrend Audits genutzt wird?<\/h2>\n\n\n\n
Wenn Sie ein ISM umsetzen wollen, sollten Sie nicht nur einmal etwas aufbauen, sondern es nachhaltig pflegen und auch dokumentieren, dass und was sich konkret ge\u00e4ndert hat. Sie m\u00fcssen dabei den PDCA Zyklus beachten. Deshalb muss ein ISMS Tool den ISB oder CISO genau dabei ganz einfach unterst\u00fctzen: automatisches Logging von der Arbeit im ISM, Aufgabenzuweisungen an Kollegen inklusive Fristsetzungen und Wiedervorlagen sowie schnelles Erstellen f\u00fcr Reports f\u00fcr das Management oder Webformulare f\u00fcr Dienstleister und Fachabteilungen zum Ausf\u00fcllen. Je mehr Sie sich dem Inhalt Ihrer Arbeit als ISB\/CISO widmen k\u00f6nnen, anstatt \u00fcber das eingesetzte Tool nachzudenken, desto besser. Das f\u00e4ngt beim schnellen Set-up an und h\u00f6rt beim einfachen Download und Export von Informationen auf. Wenn Sie das ganze dann noch mit einem Audit Tool abrunden, dass mit dem ISMS interagiert und mit dem getroffenen Ma\u00dfnahmen und Prozesse \u00fcberpr\u00fcft werden, haben sie ein ISMS, das lebt.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Sp\u00e4testens wenn Cyber-Kriminelle Ransomware-Attacken durchf\u00fchren und nicht nur Unternehmensbereiche verschl\u00fcsseln, sondern auch die Daten ver\u00f6ffentlichen, haben Cybersicherheit und Datenschutz einen gemeinsamen Nenner. Wo sehen Sie weitere Verbindungen von Datenschutz und Cybersicherheit? <\/h2>\n\n\n\n
Datenschutz und Informations- oder Cybersicherheit haben sehr viele Schnittmengen. So sind personenbezogene Daten auch Informationswerte, die aus Datenschutzsicht einfach nur anders betrachtet werden. Auch Ma\u00dfnahmen, Assets, Organisationen und Risiken spielen in beiden Fachbereichen eine Rolle \u2013 wenn auch etwas abgewandelt. Man kann daher die Fachbereiche nicht strikt trennen. Viel mehr noch: Sie h\u00e4ngen eng zusammen! Es macht daher mehr Sinn, Datenschutz und Informationssicherheit \u2013 wie \u00fcbrigens auch BCM und Audit \u2013 in einem Tool gemeinsam abzubilden. Sonst entstehen parallele Dokumentationen zu den gleichen Grundlagen im Unternehmen. Das ist nicht nur ineffizient, sondern auch sehr fehleranf\u00e4llig.<\/p>\n\n\n\n
Wenn es um Big Data geht, wird ja auch eine einheitliche Datenbasis f\u00fcr alle Entscheidungen gefordert. Das Gleiche muss auch f\u00fcr Compliance gelten: Ein Compliance Management f\u00fcr alle Themen. Nur so kann eine Unternehmensf\u00fchrung einen einheitlichen Blick auf Compliance und damit Risiken im Unternehmen haben.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Welche konkret anstehenden oder vermutlich kommenden \u00c4nderungen sollten Firmen im Bereich Datenschutz auf dem Schirm haben?<\/h2>\n\n\n\n
Fachlich gibt es einige Themen, die Unternehmen auf dem Schirm haben sollten: von dem fortw\u00e4hrenden Thema der Drittlandsdaten\u00fcbermittlung und dessen Rechtm\u00e4\u00dfigkeit (Stichwort: Standardvertragsklauseln) bis hin zu neuen Gesetzen wie dem TTDSG, dem Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsph\u00e4re in der Telekommunikation und bei Telemedien. Sie m\u00fcssen sich davon verabschieden, dass Sie sich einmal um Datenschutz k\u00fcmmern und dann erst einmal Ruhe haben. Das ist ein fortlaufendes Thema, weshalb auch eine effiziente Organisation und nachhaltige Dokumentation die Schl\u00fcssel zum Erfolg sind.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Wenn Sie eine Mail an alle Datenschutzbeauftragten senden k\u00f6nnten, mit einer Empfehlung: was w\u00e4re das?<\/h2>\n\n\n\n
Liebe Datenschutzbeauftragte, Datenschutz hat viel mit zwischenmenschlicher Kommunikation zu tun, aber auch mit Struktur und Unternehmertum. Beginnen Sie daher, Ihre T\u00e4tigkeit intern zu vermarkten, Mehrwerte zu generieren und Effizienzen zu entdecken. Vernetzen Sie sich mit Ihren Kollegen, verstehen Sie das Gesch\u00e4ftsmodell und holen Sie dabei Ihre Kollegen dort ab, wo sie sind. Wenn Sie dann noch das richtige DSMS Tool einsetzen, mit dem Sie alles transparent und zeitsparend dokumentieren und dementsprechend dem Management die Risiken aufzeigen aber auch Datenschutzanfragen schnell beantworten k\u00f6nnen, wird man auch Ihre T\u00e4tigkeit als DSB (noch mehr) sch\u00e4tzen. Sie tragen dann n\u00e4mlich effektiv zum Erfolg Ihres Unternehmens bei! <\/p>\n\n\n\n
<\/p>\n\n\n\n