Digitales Know-How für Unternehmen

IT-Sicherheit und DSGVO: mit Workshops zum Erfolg
#IT-Sicherheit #Digitalisierung #Datenschutz #DSGVO

Die Digitalisierung ist im Mittelstand angekommen. Doch viele Unternehmen tun sich immer noch schwer, wenn es um kritische Themen wie Informations- und Datensicherheit geht. Durch Inkrafttreten der DSGVO ist der Handlungsbedarf in diesem Bereich sogar noch größer geworden. Timo Neumann, IT-Sicherheitsexperte der Bundesdruckerei, erklärt im Interview, wie gezielte Workshops helfen können, die neuen Herausforderungen der digitalen Welt zu meistern. 

Herr Neumann, Workshops sind bekanntlich ein ergebnisoffenes, partizipatives Format. Wie muss man sich das in Bezug auf digitale Kernthemen wie IT-Sicherheit und Datenschutz vorstellen?    

Mit unseren Digitalisierungs-Beratungsworkshops versuchen wir, unseren Kunden erst mal die richtigen Instrumente zu geben, um zu verstehen, was Digitalisierung überhaupt ausmacht. Digitalisierung ist ein fortwährender Verbesserungsprozess, bei dem es nötig ist, sich ständig selbst zu überprüfen, sich also zu fragen: „Wo stehe ich? Bin ich auf dem richtigen Weg?“ Deshalb machen wir in unseren Workshops zunächst eine sogenannte Reifegradanalyse: In Interviews erfassen und messen wir den Stand der Digitalisierung des Unternehmens. Darauf aufbauend erarbeiten wir Vorschläge, an welchen Stellen das Unternehmen konkret ansetzen kann. Dabei betrachten wir die Organisation, die etablierten Prozesse und eingesetzten Technologien. Denn Digitalisierung betrifft alle Bereiche eines Unternehmens.

Neben der Möglichkeit, durch Digitalisierung effizienter zu werden und sich als Unternehmen weiterzuentwickeln, ist das Thema IT-Sicherheit und Datenschutz regelmäßig ein zentraler Bestandteil der Diskussion. Deshalb bieten wir hier zwei spezielle Workshop-Module an. Das Erste beschäftigt sich mit der Verbesserung der Informationssicherheit insgesamt durch Einführung eines Informationssicherheits-Management-Systems. Hierzu werden die theoretischen Grundlagen vermittelt, konkrete Umsetzungsmaßnahmen im Gespräch erarbeitet und die zu erwartenden Kosten für unsere Kunden gemeinsam abgeschätzt. Das Zweite fokussiert die technische Informationssicherheit und analysiert konkret den Sicherheitsstand in der IT. 

Durch Inkrafttreten der DSGVO hat das Thema Informationssicherheit an Relevanz gewonnen. Doch wir befinden uns noch in einer Phase der Unsicherheit, weil die Umsetzung des neuen Regelwerks noch nicht ganz klar ist. Wie spiegelt sich das in Ihrem Angebot?

Wir befinden uns tatsächlich noch in einer Übergangsphase: Die DSGVO wird in einigen Bereichen noch weiterentwickelt, Auslegungen sind zum Teil noch offen. Trotzdem ist die DSGVO in Kraft – ein Abwarten ohne Handeln sollte für Unternehmen wegen der möglichen Strafen keine Option sein. Wir konzentrieren uns in unserer Unterstützung auf konkrete Hilfe bei der Umsetzung der Anforderungen und schaffen es hier, insbesondere für unsere mittelständischen Kunden praktikable Wege zu finden, die auf deren bisherigen Stand aufsetzen. 

Könnten Sie das genauer erklären?

Wir hatten vorher auch schon ein Datenschutzgesetz, und die DSGVO baut darauf auf. Das ist auch der Ausgangspunkt unserer Workshops: Manches von dem, was wir zeigen, sollte für Unternehmen eigentlich schon längst zur Normalität gehören. Firmen sollten die DSGVO als nützliches Regelwerk betrachten, das dabei hilft, interne Schritte, die man schon längst hätte gehen sollen, endlich umzusetzen. Genau das möchten wir in unseren Workshops zeigen: Dass Datenschutz und IT-Sicherheit eng verknüpfte Themen sind, die man als gesamtheitliche Aufgabe betrachten sollte – wird eines dieser Themen richtig angegangen, wirkt sich das auch auf das andere positiv aus. Umgekehrt gilt aber auch: Wird ein Bereich unterschätzt oder falsch behandelt, kann das gravierende Folgen für die gesamte Struktur haben. 

Gibt es einen Grundsatz, den ich als Unternehmer beachten sollte? 

Der wichtigste Grundsatz ist Dokumentation. Dokumentation schafft unter anderem Transparenz, Verständnis und Verlässlichkeit. Transparent dokumentierte Prozesse wirken sich dann nicht nur beim Umgang mit Daten positiv aus. Mit dem Grundsatz der Dokumentation kommt man der Einhaltung der Datenschutzregelungen einen großen Schritt näher – und schafft die Basis, um gleichzeitig interne Abläufe zu optimieren. 

Daten werden als das „neue Öl“ bezeichnet, als der Rohstoff, der die Digitalisierung antreibt. Wie lassen sich Datenschutz und datenbasierte Geschäftsmodelle in Einklang bringen?  

Das ist ein wesentlicher Punkt: Die Digitalisierung lebt davon, Daten zu erheben und auszuwerten. Gerade der Onlinehandel oder andere privatkundenbezogene Geschäfte sind darauf angewiesen, die Bedürfnisse, Erwartungen und Wünsche ihrer Kunden zu verstehen. Da kann die statistische Auswertung von großen Datenmengen sehr nützlich sein. Eine Anonymisierung kann helfen, geschäftsrelevante Informationen zu sammeln und auszuwerten, ohne dabei auf den Schutz persönlicher Daten zu verzichten.

In Fällen, in denen eine Anonymisierung nicht infrage kommt, können andere Maßnahmen eingesetzt werden, um diesen Schutz bestmöglich zu gewährleisten. Die DSGVO an sich verbietet keine datenbasierten Geschäftsmodelle, sie fordert aber einen sorgsamen Umgang mit personenbezogenen Daten und Transparenz gegenüber den betroffenen Personen.

Was bewegt Unternehmen dazu, an Workshops zum Datenschutz teilzunehmen? Spielt die DSGVO da eine wichtige Rolle?

Da gibt es tatsächlich einen starken Zusammenhang: Bei zahlreichen Unternehmen fehlt nach wie vor ein Verständnis darüber, was wie konkret umzusetzen ist. Wo bestimmte Problematiken erst spät erkannt wurden, können Workshops nach wie vor helfen, Lücken zu schließen. Aber auch Unternehmen, die bereits alle erforderlichen Maßnahmen umgesetzt haben, zeigen Interesse an den Workshops. Denn so können die bereits umgesetzten Schritte schnellstmöglich auf Effizienz und Praxistauglichkeit geprüft werden. 

Inwiefern sind die Workshops praxisorientiert?

Wir gehen in den Workshops stets auf die individuellen Bedürfnissen der Unternehmen ein, damit diese den größtmöglichen Nutzen erzielen. Wir arbeiten außerdem mit praktischen Beispielen aus den Unternehmen, damit ein greifbares Ergebnis bleibt. So erstellen unsere Experten im Rahmen des Datenschutz-Workshops mit dem Kunden einen Entwurf für ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten, wie es die DSGVO verlangt. Dieses kann nach dem Workshop weiterentwickelt und genutzt werden. Die maßgeschneiderte Entwicklung eines solchen Verzeichnisses ist einer der vielen Vorteile der Workshops und hat hohen Anwendungsnutzen. Wir erläutern darüber hinaus die Zusammenhänge der einzelnen Teile der DSGVO. Und die individuellen Fragen der Teilnehmer beantworten wir natürlich auch. Wir sind mit anderen Worten stets darauf bedacht, den Workshop-Teilnehmern möglichst viele Quick-Wins mit auf den Weg zu geben. Theorie sehen wir nie als Selbstzweck, sondern stets als Mittel zum Ziel – und das ist für mittelständische Unternehmen immer fest in der Praxis verortet.