»Von Paranoia bis zu totaler Ignoranz haben wir alles erlebt«

Im Gespräch mit CRN erklärt Jürgen Kolb, diplomierter Datenschutzberater und Geschäftsführer des österreichischen Systemhauses Antares-Netlogix, warum er die EU-Datenschutzgrundverordnung für eine riesige Chance hält, wie man das Thema am besten bei Kunden angeht und warum der Channel meist besser helfen kann als Anwälte.

CRN: Herr Kolb, was ist derzeit die größte Herausforderung bei der Umsetzung der DSGVO?

Jürgen Kolb: Die größte Herausforderung ist die fehlende Awareness bei den Verantwortlichen. Als Berater und Experten für IT-Sicherheit haben wir schon alles erlebt: von Paranoia bis hin zu totaler Ignoranz.

Viele Unternehmenschefs machen den Fehler, ihre Mitarbeiter nicht für das Thema zu sensibilisieren. Dann liegen Bewerbungsbögen im Kopierer oder sensible Daten werden unnötigerweise durch die Firma, oder schlimmer, sogar über die Grenzen der Firma hinweg gemailt. Auch wenn Mitarbeiter eigenverantwortlich Cloud-Speicherplatz für personenbezogene Daten in Übersee bestellen, ist dies für den Datenschutz relevant. Schwierig sind auch strukturelle Altlasten, denn das Thema zieht sich durch die gesamte Organisation: Es betrifft nicht nur Prozesse, sondern auch Vertragsgestaltungen, arbeitsrechtliche und Versicherungsfragen, IT-Sicherheit und viele weitere Aspekte.

CRN: Was kann man da als Systemhaus tun?

Kolb: Aufklären und die Angst nehmen. Wir sind selbst ein kleines Unternehmen mit rund 45 Mitarbeitern und gehen sehr kostensensibel vor. Aus meiner Sicht ist die EU-DSGVO eine riesige Chance – für uns als Dienstleister, aber auch für unsere Kunden. Es ist ein Wettbewerbsvorteil, bessere Prozesse und Mitarbeiter zu haben, die bewusst mit dem Thema umgehen. Wir bieten bereits seit zwei Jahren acht verschiedene Workshops zur Datenschutzgrundverordnung an – davon beschäftigt sich einer schwerpunktmäßig mit der Awareness der Mitarbeiter.

CRN: Wie weit denn die Unternehmen Ihrer Erfahrung nach mit der DSGVO?

Kolb: Je nach Branche ist dies sehr unterschiedlich. Nehmen wir beispielsweise das Gesundheitswesen: Ärzte ignorieren die DSGVO, weil sie sich eingeschränkt fühlen, in Krankenhäusern regiert der Rotstift, sodass kaum Handlungsmöglichkeiten bestehen. Anders sieht es bei etablierten Industriebetrieben aus, die sich ohnehin intensiv mit der Digitalisierung beschäftigen. Da wird die Sicherheit von IoT-Anwendungen derzeit grundsätzlich diskutiert und der Datenschutz sowie IT-Security generell bekommen mehr Aufmerksamkeit. Ebenfalls ein großes Interesse merken wir bei sozialen Einrichtungen und NGOs, die oft sehr sensible Daten speichern.

Bemerkenswert finde ich, dass sich Startups nicht dafür interessieren, vermutlich aus Kostengründen. Dabei ist gerade bei HR-Cloud-Lösungen oder Jobbörsen höchste Vorsicht geboten.

CRN: Was sind die ersten Schritte, die man dort einleiten sollte?

Kolb: Ein guter, unabdingbarer erster Schritt ist das Verfahrensverzeichnis, das alle Datenverarbeitungsprozesse im Unternehmen katalogisiert. Viele Unternehmen wissen nicht, welche Daten überhaupt vorhanden sind. Und natürlich gibt es brennende Fragen, die fast jedes Unternehmen lösen muss, beispielsweise den Umgang mit Bewerberdaten oder fremden Dienstleistern. Hier empfehlen wir Verträge mit den jeweiligen Drittfirmen. Auch Lieferantenaudits werden immer mehr nachgefragt: So wird die EU-DSGVO sehr schnell sehr konkret.

1. »Von Paranoia bis zu totaler Ignoranz haben wir alles erlebt«
2. »Bei Behörden sehe ich den größten Aufholbedarf«