„Es geht nicht immer nur um Betrugs-& Erpresserattacken“

Alexander Deicke

Alexander Deicke ist selbstständiger Rechtsanwalt und arbeitet unter anderem als Data Protection Interim Manager. Hier erklärt er, wo Datenschutz und IT-Security Hand in Hand gehen müssen und wie es um die Expertise im Bereich Datenschutz bestellt ist.

Sie bieten bei K11Consulting unter anderem externe Datenschutzbeauftragte an. Sicherlich auch durch die Datenschutzgrundverordnung ein boomendes Themenfeld. Was spricht aus Ihrer Sicht für die Besetzung des Datenschutzbeauftragten durch einen externen Experten?

Gerade bei den regulatorischen Funktionen ist eine externe Bestellung aus meiner Sicht oft die bessere Wahl. Zwar fällt die Einbindung in den Alltag manchmal schwerer, zum Beispiel bei neuen Projekten, dafür bringt ein externer Datenschutzbeauftragter aber auch das kontinuierliche Wissen aus anderen Mandaten mit. Auch ein wichtiges Argument ist die Unabhängigkeit, die bei einem abhängig Beschäftigten nicht immer im selben Maße vorhanden ist.

Gibt es überhaupt ausreichend Datenschutzbeauftragten-Expertise im deutschsprachigen Raum?

Das ist schwer pauschal zu beantworten. DSB-Expertise ist aus meiner Sicht oft dreigeteilt. Der DSB benötigt ein vertieftes technisches IT-Security-Verständnis, eine solide Basis an Management Skills und Prozesswissen rund um den Datenschutz und dann auch noch datenschutzrechtliches Know-How. In Kombination ist das schwer zu finden und ich glaube, bei externen Beratern wird auch oft das Wissen auf mehrere Personen verteilt. In den letzten Jahren hat sich zum Glück viel getan. Leider gibt es immer noch keinen einheitlichen „Datenschützer-Abschluss“. Klar, wir haben unterschiedliche Anbieter, aber ich würde mir wünschen, es würde eine klare Vorgabe der so genannten Datenschutzkonferenz geben.

Wie gehen Sie grundsätzlich vor, wenn Sie ein neues Mandat übernehmen, um das Unternehmen und die Ist-Situation kennenzulernen? Ist das Vorgehen standardisiert?

Mittlerweile ja. Wir erarbeiten uns eine exakte Gap-Analyse (remote/vor-Ort). Das machen wir in der Form, dass wir einen dezidierten Fragenkatalog haben, mit dem wir abprüfen können, was schon alles im Unternehmen vorhanden und umgesetzt wurde und was eben nicht. Dazu ist es immer auch gut, ein paar Tage vor Ort einzuplanen. In den persönlichen Gesprächen mit den Verantwortlichen erfährt man das ein oder andere zwischen den Zeilen. Leider ist das zurzeit wegen den Kontaktbeschränkungen nicht immer leicht. Da geht dann natürlich die Gesundheit vor.

Wo sehen Sie in der Praxis die größten Handlungsbedarfe im Bereich Datenschutz und Datensicherheit?

Da kommt es ganz darauf an, ob wir von größeren oder kleineren Unternehmen sprechen. Bei größeren Unternehmen mit internationalen Einheiten, ist der Datenfluss zwischen den Einheiten ins nicht sichere Drittland immer noch eine große Herausforderung. Bei kleineren Unternehmen oft noch die Prozessorientierung (z.B. im Bereich der Pannenmeldung). Bei allen Unternehmen sehe ich das Thema Löschen noch als die oft vernachlässigte Pflichtaufgabe.

Was wären aus Ihrer Sicht „Low-hanging-Fruits“ in diesem Bereich, die man auch ohne große Investments oder interne Aufwände angehen kann?

Aus meiner Sicht sollte jedes Unternehmen eine gut strukturierte Papierform für den Datenschutz haben und die Mitarbeiter sensibilisieren. Idealerweise kombiniert man das mit den Themen IT-Security. Das Thema Daten wird immer wichtiger, wenn Unternehmen gleich beim Aufsetzen der IT-Security-Strukturen auch den Datenschutz beachten, muss man nicht alles zweimal in die Hand nehmen. Daneben würde ich immer zu einem Tool raten, mit dem die Verarbeitungstätigkeiten gemanagt werden können.

Der Anstieg der Cyberattacken ist leider weiterhin ungebremst und auch in den Medien kann man dem Thema Ramsomware nicht mehr entgehen – welche Auswirkungen sehen Sie auf den Datenschutz? 

Wie oben schon beschrieben sehe ich eine Chance darin, den Datenschutz und die IT-Security gemeinsam in den Griff zu bekommen. Ich glaube, dass viele Firmen den Imageschaden von verloren gegangenen personenbezogenen Daten unterschätzen. Es geht nicht immer nur um Betrugs- und Erpressungsattacken. 

Welche konkret anstehenden oder vermutlich kommende Änderungen sollten Firmen im Bereich Datenschutz auf dem Schirm haben?

Im Bereich der Cookies stehen immer wieder Änderungen an. Daneben wurden 2021 die sogenannten EU-Standardvertragsklauseln angepasst. Das haben nicht alle Unternehmen so konkret verfolgt, da andere Themen dringender waren. Jetzt gilt es aber, die regulatorischen (neuen) Anforderungen umzusetzen.

Wenn Sie eine Mail an alle DSB senden könnten, mit einer Empfehlung: was wäre das?

Lasst uns versuchen auf die Datenschutzbehörden gemeinsam Druck auszuüben, damit der Flickenteppich an Datenschutzregeln bzw. Auslegung in Deutschland endlich ein Ende findet und zumindest wir DSB alle die gleichen Maßstäbe ansetzen. Es ist aus meiner Sicht für viele Unternehmer schwer nachzuvollziehen und zu akzeptieren, dass je nach Bundesland die selben Lebenssachverhalte u.U. anders von der Behörde bewertet werden (evident wird das bei Pannenmeldungen in unterschiedlichen Bundesländern).

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.