Mit der Verschärfung der Datenschutzbestimmungen brodelt ein Konflikt in den Gängen der Unternehmen. Die beiden Kontrahenten: CEO und der Data Protection Officer (DPO). Die Frage ist, wer am Ende das Machtspiel für sich entscheidet - die Geschäftsleitung, welche die wirtschaftlichen Interessen des Unternehmens im Auge behält oder der Experte, der die Einhaltung des Datenschutzes überwacht.
Gastbeitrag von Morten Brøgger, CEO von Wire
Data Protection Officer - eine neue Rolle für mehr Datenschutz
Nicht erst seit der Einführung der DSGVO im Mai 2018, in der in der EU die Benennung eines Datenschutzbeauftragten für Unternehmen mit mindestens zehn Mitarbeitern zur Pflicht wird, steigt die Relevanz für einen sicheren Umgang mit Daten. Obwohl mehr als die Hälfte aller Unternehmen bislang keine Vollzeitstelle für Datenschutzexperten besetzt haben, ist das Thema endgültig in den Chefetagen angekommen. Trotzdem gibt es noch immer zahlreiche Unsicherheiten, auch was eine Funktion im Unternehmen angeht, die im Zeitalter der Privatsphäre stark an Relevanz gewonnen hat. Der Data Protection Officer überwacht die Einhaltung der Datenschutzvorgaben und ist somit für die Privatsphäre von Mitarbeitern und Kunden verantwortlich. Weil dieser die Arbeitsabläufe und - kultur überwachen sowie hinterfragen soll, übernehmen diese Mitarbeiter eine herausragende und bedeutende Funktion im Unternehmen ein.
Achtung vor Trugschlüssen beim Schutz vor der tickenden Zeitbombe
In den Aufgabenbereich fällt in punkto Datenschutz auch der Bereich IT-Sicherheit und trägt folglich dazu bei, die grösste Gefahr für Unternehmen zu minimieren: Hackerangriffe. In der letzten Cyber-Sicherheitsumfrage des deutschen Bundesamtes für Sicherheit in der Informationstechnik waren 70 Prozent der Unternehmen in unserem Nachbarland in den Jahren 2016 und 2017 Opfer derartiger Angriffe. Auch andere Firmen sitzen somit auf einer tickenden Zeitbombe. Viele Unternehmen verfallen dem Trugschluss, sich auf externe Datenschutzexperten, die die Abläufe und Prozesse auf ihre IT-Sicherheit hin untersuchen oder vertrauen auf kostspielige Cyber-Versicherungen. Letztere kompensieren den Verlust zwar finanziell, können jedoch möglicherweise verlorene Daten nicht zurück bringen. Es wäre zudem fahrlässig, sich auf eine technische Datenwiederherstellung zu verlassen. Diese ist zwar in vielen Fällen möglich, jedoch mit hohen Kosten verbunden. Ist das gesamte IT-System eines Unternehmens betroffen, kann die Restaurierung je nach Unternehmensgrösse viele Millionen Euro kosten – die Verluste von Wettbewerbsvorteilen sowie die Kosten durch Umsatzeinbussen und dem Image-Schaden noch nicht eingerechnet. Selbst eine einzige gestohlene Datei, etwa mit Kundendaten oder Passwörtern, richtet grossen Schaden an. Hier kommt der Data Protection Officer ins Spiel, der der Geschäftsleitung auf die Füsse treten muss.
Checkliste: Hier muss der Data Protection Officer eingreifen
Zu den Aufgaben des Data Protection Officer gehört es, die Geschäftsleitung auf Datenschutzverstösse hinzuweisen und bei Bedarf auf umfangreiche Veränderungen zu bestehen. Unsichere Cloud-Speicherlösungen oder die eigenen Kommunikationskanäle sind für Unternehmen „wunde Punkte“, die der Datenschutzexperte besonders im Auge behalten muss. Generell muss der Data Protection Officer beim Einsatz von Softwarelösungen folgende Eigenschaften prüfen und Fragen beantworten können:
- DSGVO-Konformität: Ob und wie personenbezogene Daten verarbeitet werden
- Auditierte Software: Gibt es regelmässige unabhängige IT-Sicherheitsprüfungen?
- Open-Source-Verfügbarkeit: Gibt es im freiverfügbaren Quelltext kritische Sicherheitslücken oder potenzielle Hintertüren für Dritte?
- Server-Standort: Sind die Serverinnerhalb der EU verortet und gilt der vergleichsweise strenge Rechtsrahmen?
- Ende-zu-Ende-Verschlüsselung: Werden Datenübertragungen oder die gesamte Kommunikation Ende-zu-Ende-verschlüsselt, damit nur Sender und Empfänger Zugriff haben?
Der CEO sollte zudem zusammen mit dem Data Protection Officer eine interne Sicherheitskultur etablieren. Das bedeutet, dass sie sich dafür einsetzen, dass Mitarbeiter eine positive Einstellung gegenüber den notwendigen Richtlinien entwickeln, denn im schlimmsten Falle hängt ihr eigener Arbeitsplatz und das Wohl des Unternehmens von dem Funktionieren der IT-Sicherheitsmechanismen ab.
Fazit: Gibt es kein Machtspiel, kann es nur Gewinner geben!
Der Data Protection Officer kann für den CEO sehr unbequeme Wahrheiten ans Licht bringen: er spricht Fehler und Verstösse offen an, fordert Reformen und hinterfragt bestehende Workflows. Trotzdem vertreten Geschäftsleitung und Datenschutzexperten grundsätzlich die gleichen Interessen. Am Ende ziehen alle Beteiligten aus einer engen Zusammenarbeit einen unschätzbaren Gewinn: Das Unternehmen ist besser vor Cyberbedrohungen geschützt, Mitarbeiter gehen umsichtiger mit sensiblen Informationen um, Kunden profitieren von einem verbesserten Datenschutz und das zahlt sich auch auf die eigene Seriosität aus.
Als Basis etabliert der Data Protection Officer neue Workflows und implementiert zu diesem Zwecke sichere Tools in die Arbeitsprozesse. Letztere bieten zudem die Chance, die Produktivität des Unternehmens noch zu erhöhen und somit positiv auf die KPIs einzuwirken. Gewinner gibt es am Ende nur, wenn CEO und Datenschutzbeauftragter keinen Machtkampf austragen, sondern stattdessen an einem Strang ziehen. Sicherheit ist kein Projekt, sondern ein Prozess. Der Data Protection Officer ist in der Pflicht diesen anzuleiten und so die Unternehmensinteressen nachhaltig zu wahren.
