Götz Blechschmidt: „Datenschutz muss im täglichen Geschäft funktionieren“
Die Datenschutzgrundverordnung (DSGVO) sorgte spätestens im Frühjahr diesen Jahres bundesweit für Aufruhr. Insbesondere kleinere und mittlere Unternehmen taten sich schwer die neuen, teilweise sehr komplizierten Regelungen fristgerecht und konform umzusetzen. Zeit für ein Zwischenfazit. Im Interview mit MyBusinessFuture erklärt der Datenschutzexperte und Mitinhaber von msecure, Götz Blechschmidt, warum sich die Verbesserung des Datenschutzes weiterhin lohnt und wie die neu geschaffene Position des EU-Datenschutzkoordinators Sie dabei unterstützen kann.
Götz Blechschmidt hat nach dem Studium Software entwickelt, IT-Projekte geleitet, Marketing und Vertrieb in einem ITK-Konzern verantwortet und ein Zertifizierungsunternehmen geführt. Seit 2016 leitet er gemeinsam mit seinem Geschäftspartner Horst Nadjafi die Geschicke der msecure GmbH. Der geprüfte Datenschutzbeauftragte und ISO 27001 Lead Auditor unterstützt kleine und mittelständische Unternehmen mit praxisnaher Expertise, Audits, Schulungen und Coaching rund um die Themen Datenschutz und IT-Sicherheit.
Über einem halben Jahr nach dem Inkrafttreten hat sich die Hysterie rund um die DSGVO gelegt, die befürchtete Abmahnwelle und Strafen sind vorerst ausgeblieben. Warum soll man sich jetzt noch um die Umsetzung bemühen?
Zum einen könnte man argumentieren, dass – ganz unabhängig vom Inkrafttreten der DSGVO – Gesetze einzuhalten sind. Strafen und Bußgelder hat es bei Verstößen auch bisher schon gegeben. Neu ist, dass durch diverse Datenskandale und entsprechende mediale Präsenz das Bewusstsein für den Datenschutz deutlich gestiegen ist – und natürlich der Bußgeldrahmen. Es lohnt sich also schon aus Risikoerwägungen, das Thema weiterhin ernst zu nehmen.
Aber es gibt einen wichtigeren und besseren Grund für Unternehmen als die Angst vor Strafe: Die Beschäftigung mit Datenschutz führt zwangsweise zu Fragen: Wozu benötigt man eigentlich die Daten? Wo stecken die Daten? Wie lange werden Sie gespeichert? Haben wir genug für die IT-Sicherheit im Unternehmen getan?
Unternehmen, die sich mit diesen Themen beschäftigen, erhalten daraus wichtige Impulse für ihre Leistungsfähigkeit. Ich bin überzeugt, dass eine Investition in Datenschutz sich auszahlt: in höherer Qualität und in gestiegenem Vertrauen von Kunden und Mitarbeitern.
Welchen Eindruck haben Sie als Datenschutz-Experte und -Beauftragter: Hat durch die DSGVO ein Umdenken in den Unternehmen in Bezug auf Datenschutz stattgefunden?
Bei großen Organisationen ist Datenschutz meist schon lange institutionalisiert. Ein Umdenken ist dort weniger erforderlich, eher die Anpassung an die neuen Gegebenheiten. Im Mittelstand und in kleineren Organisationen ist der Denkprozess tatsächlich neu in Gang gekommen. Unternehmer, die so richtig Lust auf Datenschutz haben, muss man zwar weiterhin mit der Lupe suchen. Aber ich treffe auch kaum jemanden, der nicht wenigstens eine grundlegende Sicherheit aufbauen möchte. Zumal entgegen der landläufigen Meinung den meisten Menschen der Umgang mit ihren eigenen Daten nicht egal ist.
Wenn Sie während Ihrer Tätigkeit als Datenschutz-Experte mit Personen in Unternehmen sprechen: Wie hoch sind das Interesse und das Wissen zum Datenschutz?
Unterschiedlich. Manchmal staune ich, wie ernsthaft sich einzelne Personen in den Datenschutz eingearbeitet haben. Für die meisten Mitarbeiter und Führungskräfte bestand aber bisher wenig Anlass und kaum Zeit zum Aufbau solider Grundkenntnisse. Aktuell herrscht große Unsicherheit aufgrund der sehr unterschiedlichen Aussagen von Experten.
Einige der im Internet vertretenen Auffassungen erscheinen reichlich weltfremd. Manche sind es tatsächlich. Das ist aus meiner Sicht auch ein großes Hemmnis für die Umsetzung und führt soweit, dass mich Vertriebsleute fragen, ob Sie einen Messebesucher, der Ihnen seine Visitenkarte übergeben hat, anschließend überhaupt kontaktieren dürfen.
Was schätzen Sie: In welchem Maße wurden die Vorgaben der DSGVO in Deutschland bislang umgesetzt?
Es gibt Befragungen, die auf eine eher geringe Umsetzung deuten. Ich sehe das etwas differenzierter. Wenn man den Vergleich mit anderen EU-Ländern zieht, stehen unsere Unternehmen im Schnitt gut da, was auch einem gewissen Hang zur Ordnung entsprechen mag. Inhaltlich findet man geregelte Zuständigkeiten und grundlegende Sicherheitsmechanismen wie zum Beispiel Berechtigungskonzepte und Datensicherungen. Auch die wesentlichen Verträge sind häufig in vernünftiger Ausprägung vorhanden. Wenig verbreitet sind Datenschutzprozesse zur Beantwortung von Anfragen und dokumentierte Bewertungen der Risiken. Und echte, auch technisch schwierige Probleme macht noch das Thema Löschen von Daten. Für viele Verantwortliche reicht die Liste der zu erledigenden Aufgaben mehrere Monate bis Jahre in die Zukunft, aber: Hauptsache, man ist auf dem Weg.
Welche Empfehlungen haben Sie für Unternehmen, die die Verordnungen möglichst schnell und sauber umsetzen möchten?
Grundlegend für die Umsetzung der DSGVO ist die Schaffung von Transparenz und ein fairer Umgang mit den Daten. Wer schnell sein will, konzentriert sich auf die wesentlichen Verfahren, auf die höchsten Risiken für die Menschen, um deren Daten es geht. Zudem gibt es bei den Aufsichtsbehörden und den großen Datenschutzverbänden schon gute Mustervorlagen für Verzeichnisse, Verpflichtungen und Verträge. Man muss hier nichts neu erfinden.
Das Wichtigste ist auf jeden Fall, dass Datenschutz im täglichen Geschäft funktioniert. Dies wiederum erfordert pragmatisch umsetzbares Grundwissen zum Datenschutz in der Organisation. Wir empfehlen, in kleineren Organisationen, in funktionellen Bereichen oder an Standorten einzelne Personen zu EU-Datenschutzkoordinatoren auszubilden, die durch ihre Kenntnis der operativen Tätigkeiten angemessene Maßnahmen für den Datenschutz finden können, Kollegen unterstützen und als Multiplikatoren im Unternehmen wirken.
Welche Aufgaben hat ein solcher Datenschutzkoordinator innerhalb eines Unternehmens?
Wer selbst keinen Datenschutzbeauftragten bestellen muss, hat mit dem EU-Datenschutzkoordinator auf jeden Fall die Kompetenz im Haus, um Datenschutz zu organisieren. In anderen Unternehmen bildet der Koordinator die Schnittstelle zwischen Datenschutzbeauftragten und der Organisation. Er kann Problemstellungen schnell identifizieren, für Fragen zur Verfügung stehen und im Team das Bewusstsein für Datenschutz schärfen. Ebenso können EU-Datenschutzkoordinatoren bei der Aufdeckung und Behebung von Pannen mitwirken, Auftragsverarbeitungen als solche erkennen und prüfen, ob Datenschutzmaßnahmen wirksam sind.
Wie kann man sich zum EU-Datenschutzkoordinator ausbilden lassen und welche Personen sind für die Ausbildung am besten geeignet?
msecure bietet die Ausbildung als Präsenzworkshop in Gruppen von ca. 12 Teilnehmern an. Alternativ kann auch ein Online-Training absolviert werden. Angesprochen sind Personen, die gute Kenntnisse der betrieblichen Tätigkeiten haben, seien es Mitarbeiter oder Führungskräfte. In kleineren Organisationen kann das durchaus auch die Geschäftsleitung selbst sein.
Was hat eine Person davon, wenn sie sich zum EU-Datenschutzkoordinator ausbilden lässt?
Die Ausbildung bietet einen pragmatischen Angang zum Datenschutz, fokussiert auf die am Häufigsten benötigten Themen. Der Anspruch ist nicht, alle 99 Artikel der DSGVO zu behandeln, sondern die wesentlichen Elemente in ihrer praktischen Umsetzung zu erfahren und nach der Ausbildung auf das eigene Unternehmen anwenden zu können. Wer sich intensiv mit Datenschutz beschäftigen möchte, kann die Ausbildung auch als Einstieg in eine spätere Tätigkeit als Datenschutzbeauftragter nutzen.
Was macht Sie sicher, dass EU-Datenschutzkoordinatoren benötigt werden?
Meiner Erfahrung nach stellt sich Wirksamkeit ein, wenn bestimmte Handlungsweisen einer Organisation sozusagen in Fleisch und Blut übergehen. Dazu müssen die Menschen erreicht werden, die das Geschäft täglich umsetzen. Von außen, aber auch von oben sind da eindeutig Grenzen gesetzt. Mit EU-Datenschutzkoordinatoren rückt die notwendige Kompetenz in nächste Nähe zum täglichen Geschehen. Und wenn Datenschutz im operativen Geschäft automatisch berücksichtigt wird, stellt er auch keinen Störfaktor mehr dar, sondern einen Mehrwert.
Ein kurzer Ausblick: Was denken Sie, wie sich Deutschland während der Digitalisierung im Hinblick auf Datenschutz entwickeln wird? Werden die Vorschriften in Zukunft vielleicht noch strenger?
Großartige technische Möglichkeiten bedingen eine ebenso hohe Verantwortung beim Umgang damit. Ich bin sicher, dass es angesichts der Digitalisierung eine ständige Diskussion innerhalb unserer Gesellschaft geben wird, welchen Wert der Umgang mit Daten hat und wie er reglementiert werden soll. Angesichts der enormen Geldsummen, die mit dem Sammeln und Auswerten von Daten verbunden sind, bin ich nur leider ebenso sicher, dass es keine Selbstregulierung der Marktkräfte geben kann. In diesem Bereich erwarte ich auf jeden Fall weitere Änderungen. Dies könnte unterschiedlichste Formen annehmen, zum Beispiel eine stärkere gesetzliche Ahndung, eine gezielte Besteuerung, oder eine Regelung zur finanziellen Teilhabe der Eigentümer an personenbezogenen Daten. Und das sind wir alle.
Quelle Titelbild: iStock/Ridofranz
[plista]
