Wie stark sind kleine und mittelständische Unternehmen durch Bürokratie belastet? Welche Möglichkeiten gibt es für sie? Am Beispiel der Datenschutzgrundverordnung (DSGVO) wollten wir mehr zu diesem Thema erfahren und haben ein Interview geführt mit Christian Kress von der INOVASEC GmbH, einem Experten für Informationssicherheit, Datenschutz und IT-Compliance.
Herr Kress, wie stark belastet die 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) die Unternehmen heute?
Christian Kress: Die Anforderungen durch die DSGVO sind grundsätzlich ja nicht neu, es galt schon immer bestimmte Vorgaben zu erfüllen. Vor 2018 war es für viele Unternehmen schlicht wirtschaftlicher nichts zu tun und einen Verstoß – sofern dieser überhaupt öffentlich wurde – zu bezahlen. Mit der neuen Gesetzgebung wurden die Betroffenenrechte weiter verbessert und die möglichen Strafzahlungen deutlich angehoben. Gleichzeitig wurden die technischen Datenschutzanforderungen an die IT mit denen der Informationssicherheit harmonisiert. Auch die technisch-organisatorischen Anforderungen sind aus meiner Sicht jetzt nichts Neues, abgesehen davon, dass damit das Thema Daten stärker in den Vordergrund gestellt worden ist. Aber darauf sollte sich jedes Unternehmen aus eigenem Interesse einstellen.
Wie gehen Sie hier bei Ihren Kunden vor?
In meinem beruflichen Alltag weise ich auf sehr einfache 3 Faktoren hin: Daten, Prozesse und bewusste Entscheidungen. Um ein datenschutzkonformes Verfahrensverzeichnis zu erstellen, muss zu den Daten eine klare Verantwortlichkeit existieren. Viele Kunden sind im ersten Moment mit der Antwort auf die Frage, wem die Daten gehören, ein wenig überfordert. Sehr schnell wird deutlich: Nicht dem IT-Mitarbeiter, aber wem dann? An der Stelle kommen die Prozesse ins Spiel, um zu klären, warum es die Daten überhaupt gibt. Vereinfacht gesagt: Wer schreit am lautesten, wenn die Daten nicht mehr verfügbar sind. Die Antwort führt in der Regel zu den Fachverantwortlichen, die die Daten für die effiziente Abwicklung der Arbeitsabläufe benötigen. Ein Arbeitsablauf ist nichts anderes als ein Prozess und so lassen sich sehr einfach Prozess- und Datenverantwortliche ermitteln.
Wo stoßen Sie auf Schwierigkeiten?
Nicht im ersten Schritt, d.h. das Verfahrensverzeichnis ist relativ schnell erstellt. Interessant wird es, wenn den Verantwortlichen in den Fachbereichen die Konsequenzen ihrer Verantwortung bewusst werden. Daten existieren häufig nicht nur an einem Ort, sondern bewegen sich kontinuierlich durch das Unternehmen bzw. werden an verschiedenen Stellen benötigt. Ein Beispiel: Ein Unternehmen bekommt eine interessante Initialbewerbung und die Personalabteilung leitet die Bewerbung per E-Mail an vier mögliche Teamleiter weiter, die alle Bedarf angemeldet hatten. Das Datenschutzgesetzt sieht vor, dass die nicht mehr benötigen Daten, in diesem Fall die Bewerbung, gelöscht werden. Durch die weitergeleitete Mail existieren diese Daten jedoch in mindestens fünf Postfächern und müssten somit in allen Postfächern gelöscht werden. Das ist in der Praxis völlig unrealistisch.
Wie könnte eine Lösung aussehen?
Der erste Schritt ist für die Dateneigentümer ernüchternd: Sie sind nicht nur Dateneigentümer, sondern als Dateneigentümer auch Risikoeigentümer. Mit anderen Worten: Ein Verfahrensverzeichnis benennt Personen, die für den gesetzeskonformen Umgang mit den personenbezogenen Daten verantwortlich sind. Das sieht im ersten Schritt nach noch mehr Arbeit aus, obwohl der Schreibtisch bereits randvoll ist.
Die gute Nachricht: Ein Prozesseigentümer ist nicht nur verantwortlich, der Mitarbeiter hat auch Einfluss auf die von ihm verantworteten Prozesse. Im konkreten Fall wäre es eine Lösung, die Bewerbung an einer zentralen Stelle abzulegen, den Fachbereichen lesend zur Verfügung zu stellen und die Bewerbung automatisiert nach einer im Verfahrensverzeichnis dokumentierten Zeitspanne zu löschen. Damit sind nicht nur die einzelnen E-Mail-Postfächer weniger voll, sondern durch die Automatisierung wird die Arbeit nachweislich reduziert.
Eine Anpassung der Datenschutzprozesse ist für Ihre Kunden also keine große Hürde?
Natürlich freut sich niemand über neue Vorschriften und Anpassungen, aber: Eine Anpassung an einen neuen Soll-Zustand setzt ja voraus, den aktuellen Ist-Zustand zu überprüfen und daraufhin Prozesse effizienter zu gestalten. Insofern sollte man solche Vorgaben nicht nur als Hürde, sondern auch als Chance für den eigenen Selbsttest verstehen.
In der täglichen Praxis kann dies manchmal technisch kompliziert oder durch die vielen Beteiligten komplex werden. Hier hilft es, die Regeln der Technik und der Datenschutzgesetzgebung zu kennen und anzuwenden zu können.
Regeln kennen und anwenden ist ein gutes Stichwort: Sie arbeiten meist für mittelständische Unternehmen mit entsprechend sensibilisierten Managern. Wie ist es denn bei kleinen Unternehmen, beispielsweise kleinen Handwerksbetrieben, wo oft genug der Chef die ganze Verwaltung selbst macht und solche Regeln womöglich gar nicht auf dem Radar hat?
Das ist ein guter Punkt. Größeren Betrieben fällt es sicherlich leichter, Ressourcen zur Verfügung zu stellen, um sich auf Änderungen wie beispielsweise bei der Datenschutzgrundverordnung anzupassen. Im Vergleich dazu fällt es kleinen Betriebe tatsächlich schwer, die wachsende Zahl der Vorschriften und womöglich noch deren Aktualisierungen im Blick zu behalten und ihre Prozesse darauf anzupassen.
Was wäre aus Ihrer Sicht eine gute Lösung?
Aus meiner Sicht sollte der Gesetzgeber deutlich stärker die Fähigkeiten kleiner Betriebe berücksichtigen. Es wäre eine Lösung, wenn im Gesetzgebungsverfahren nicht nur größere Unternehmen über ihre Branchenvertreter involviert sind, sondern wenn die Interessen der kleineren Betriebe wie Handwerker oder Solo-Selbständige ebenso angehört und berücksichtigt würden. Aus meiner Sicht wäre denkbar, unterhalb einer bestimmten Unternehmensgröße bestimmte Ausnahmen zu ermöglichen, vorausgesetzt natürlich, es ist keine besonders sensible Branche. Alternativ wäre es eine sinnvolle Lösung, kleinere Betriebe gezielt zu fördern, um auch diesen Betrieben die notwendigen Anteile an Datenschutz und Informationssicherheit zu ermöglichen.
Dann wollen wir hoffen, dass die Politik künftig die knappen Ressourcen kleiner Unternehmen besser in den Blick nimmt. Vielen Dank für das Interview!
„Ich habe Spaß daran, die Komplexität der Informationssicherheit eines jeden mittelständischen Unternehmens in seiner Gesamtheit individuell zu erfassen und so aufzubereiten, dass es für alle betroffenen Mitarbeiter greifbar und vor allem leistbar wird. Mein Anspruch ist es, die einzelnen Schritte dann so zu begleiten, dass alle Verantwortlichen es als leicht empfinden. So leicht und natürlich wie die Bedienung des Sicherheitsgurtes in Ihrem Auto.“