Schritt für Schritt besser
Carsten Maßloff: verantwortet seit 2016 als Geschäftsführer für die Ceyoniq Technology GmbH das Consulting und den Vertrieb in der DACH-Region (Foto: PR)
Es reicht nicht, nur am EU-DSGVO-Stichtag „sauber“ gewesen zu sein, mahnt Carsten Maßloff an. Unternehmen müssen ihr Datenmanagement kontinuierlich verbessern, erklärt der Datenschutzexperte.
Carsten Maßloff: Als Softwarehersteller sind wir uns unserer besonderen Verantwortung bewusst. Der Umgang mit sensiblen Daten – und dazu gehören die personenbezogenen Daten, die dem Datenschutz unterliegen – gehört seit jeher zu unserem Kerngeschäft. Mit unserer Software können Unternehmen diese Daten archivieren, verwalten und den entsprechenden Prozessen zuordnen. Das bedeutet, dass zum Beispiel ein Zwischenzeugnis für einen Mitarbeiter eindeutig einer Personalakte zugeordnet wird. Die darin verwalteten Daten unterliegen bestimmten Regularien und diese werden mittels unserer Software „nscale“ unterstützt. Ein Missbrauch dieser Daten wird durch technische aber auch durch organisatorische Maßnahmen verhindert. Die Software muss den neuen Anforderungen gewachsen sein. Doch die Einhaltung der gesetzlichen Anforderungen erfolgt maßgeblich durch die Etablierung von organisatorischen Maßnahmen im Unternehmen.
Maßloff: Unternehmen gehen überwiegend sorgsam mit zu schützenden Daten um. Das sehen wir in unseren vielfältigen Projekten, und zwar nicht erst seit Bekanntwerden zu erwartender hoher Strafen. Beim Verhalten der Endverbraucher kann ich keine Veränderung feststellen. Im Gegenteil: Die Verbreitung von privaten, teilweise intimen Informationen auf Facebook & Co. gehört zum Alltag vieler Generationen. Natürlich ist es vorteilhaft, Restaurantkritiken online zu lesen. Aber wenn auf den Fotos Menschen abgebildet sind, die einer Online-Veröffentlichung nicht zugestimmt haben, kann das eine Verletzung des Datenschutzes sein. Ein ausreichendes Bewusstsein dafür nehme ich nur selten wahr.
Maßloff: Datenschutz ist keine Erfindung der letzten zehn Jahre. Bereits in den 1960er-Jahren begann man sich um den Schutz von personenbezogenen Daten zu sorgen. Vorreiter war die US-Regierung unter J.F. Kennedy. Bereits 1977 trat das erste Bundesdatenschutzgesetz in Deutschland in Kraft. Die EU-Datenschutz-Grundverordnung trat vor zwei Jahren in Kraft, jetzt endete die Übergangsfrist. In vielen Gesprächen mit Partnern, Analysten, Marktbegleitern und Kunden stellen wir fest, dass es noch immer große Unsicherheiten hinsichtlich der Inhalte und der Sinnhaftigkeit dieser Verordnung gibt. Viele Unternehmen haben zudem erst vor wenigen Wochen angefangen, sich über die EU-DSGVO zu informieren. Insbesondere Mittelständler sind bisher oft wenig oder gar nicht aktiv geworden. „Das betrifft uns nicht“, hören wir häufig. Dies dürfte jedoch nur für wenige Unternehmen zutreffen. Bei der tatsächlichen Umsetzung geht es nicht darum, die Flut an Anforderungen auf einmal zu erfüllen. Die EU-DSGVO sollte man als Projekt angehen: mit einem Projektleiter, dem betrieblichen Datenschutzbeauftragten, Teilprojektleitern mit entsprechenden Befugnissen, ausreichenden Ressourcen und einem Projektplan. Externe Experten sollten unbedingt partiell hinzugezogen werden. Diese haben jedoch angesichts des aktuellen Runs Kapazitätsprobleme.
Schritt für Schritt besser
Kontinuierlich weitergehen: Carsten Maßloff rät zur langfristigen Planung von Datenschutzmaßnahmen (Foto: Getty Images/WangAnQi)
Maßloff: Eine spannende Frage. Eines der größten Themen ist das Recht auf Vergessen für Verbraucher. Vor einigen Jahren war Big Data eines der Schlagworte, das uns als Verbraucher große Sorgen machte. Mit der neuen Verordnung ist es nun möglich, dass ich beispielsweise als ehemaliger Kunde einer Versicherung, in der ich auf Grund von nicht selbst verschuldeten Kfz-Unfällen eventuell als Risikokunde eingestuft wurde, dort nach einigen Jahren als Neukunde die gleichen Voraussetzungen genießen darf wie jeder andere neue Versicherungsnehmer. Auch die manchmal nervigen Anrufe von Call-Center-Mitarbeitern bedürfen der vorherigen Zustimmung. Nur weil ich auf einer Messe war, darf der Veranstalter nicht ohne meine explizite Zustimmung meine Kontaktdaten an Dritte weitergeben. Unternehmen müssen diese Regeln jetzt auch tatsächlich umsetzen. Das bedeutet: Prozesse überdenken und anpassen, um Risiken zu vermeiden. Konkret gilt es jetzt, die Datenstände zu bereinigen und Zustimmungen einzuholen.
Maßloff: Die Einhaltung der gesetzlichen Anforderungen ist gegebenenfalls mit hohem Aufwand für die Unternehmen verbunden. Hier galt es nicht nur, zum Stichtag 25.05.2018 „sauber“ zu sein. Die Etablierung eines kontinuierlichen Verbesserungsprozesses ist hilfreich und unterstützt zum Beispiel bei der Einführung neuer Prozesse beziehungsweise Geschäftsfelder. Wir erwarten, dass in absehbarer Zukunft eine standardisierte Datenschutznorm veröffentlicht wird, nach der man sich zertifizieren kann. Dies würde vieles vereinfachen und im Markt auch die notwendige Transparenz schaffen. Zukünftig wird uns die enge Verzahnung von Datenschutz – dem Schutz der personenbezogenen Daten – mit IT-Sicherheit – dem Schutz der IT-Systeme – und Informationssicherheit – also Schutz von unternehmensrelevanten Informationen und Daten – vor weitere Herausforderungen stellen. Jeder Hackerangriff auf IT-Systeme ist verbunden mit dem Angriff auf personen- und unternehmensrelevante Daten. Ein Hackerangriff auf ein Unternehmen in der heutigen Zeit ist eine sehr komplexe und straff organisierte kriminelle Handlung. Alle zuständigen Akteure des betroffenen Unternehmens müssen miteinander arbeiten und solchen Angriffen entgegenwirken.
Maßloff: Die Umsetzung der aktuellen Anforderungen sehen wir als ein Projekt, das die heutigen Anforderungen berücksichtigt und zukünftige Anforderungen bereits im Blick hat. Ein kontinuierlicher Verbesserungsprozess ist hierbei unabdingbar. Die verantwortlichen Mitarbeiter müssen ausgebildet und qualifiziert sein, sie müssen aber auch vom Unternehmen mit ausreichend Befugnissen und Verantwortung ausgestattet werden. Hier sehen wir ein großes Risiko und versuchen frühzeitig unsere Kunden dahingehend zu sensibilisieren.
Schritt für Schritt besser
Maßloff: Das ist schwer vorauszusehen. Großes Augenmerk legen wir als Softwarehersteller auf Künstliche Intelligenz. Nehmen wir die Automobilindustrie: Neben den unzähligen Assistenzsystemen testen die Hersteller bereits seit Monaten selbstfahrende Fahrzeuge im öffentlichen Verkehrsraum. Die Unmengen an Daten, die bei diesen Prozessen gesammelt werden, müssen erfasst, ausgewertet und genutzt werden. Und jetzt reden wir davon, wie diese Daten anschließend weiterverarbeitet werden. Denn natürlich werden Umgebungsdaten erfasst: Kennzeichen von anderen Verkehrsteilnehmern, Bilder von Personen und Vorgängen. Eine enge Zusammenarbeit von Unternehmen und Gesetzgeber muss von Anfang an erfolgen.
Maßloff:Ein sehr schwieriges Thema, das im Moment fast alle Unternehmen betrifft. Die Ceyoniq Technology setzt neben einem gezielten Recruiting auf interne Förderungsmaßnahmen, um Talente frühzeitig zu erkennen und zu entwickeln. Der Staat kann nur die Rahmenbedingungen schaffen und in Schulen und Ausbildungsprogramme investieren. Jeder Unternehmer muss einen Weg für sich finden, um sich den Herausforderungen des Marktes zu stellen. Da gibt es neben den bereits genannten viele weitere Möglichkeiten, damit die deutschen Unternehmen den Anschluss an die Weltspitze in der Informationstechnologie nicht verlieren. Ceyoniq ist jedenfalls stolz darauf, dass unser Produkt nscale „made in Germany“ ist.
Mit dem Themennewsletter der Deutschen Unternehmerbörse erhalten Sie alle wichtigen Informationen aus der Welt der Unternehmensnachfolge regelmäßig per E-Mail. Einmal pro Monat senden wir Ihnen Fachbeiträge, Informationen zu aktuellen Veranstaltungen sowie ausgewählte Verkaufs- und Franchiseangebote.
© DUB.de Deutsche Unternehmerbörse GmbH
