„Mich ins System hacken? Eine Sache von Minuten.“
Benjamin Andersson ist Hacker. Allerdings ist er einer von den Guten. Im Auftrag von Unternehmen sucht er Schwachstellen in deren IT-Systemen. Jedes Mal, wirklich jedes Mal wird er fündig.
IT-Sicherheit? Rent your Datenschützer!
Die Vorschriften zum Datenschutz werden rigider. Gerade für kleinere Unternehmen wird es unverhältnismäßig aufwendig, dafür eigene Expertise aufzubauen. Sie outsourcen diese Aufgabe. Das Prinzip: Rent your Datenschützer!
Neunzehn Mitarbeiter arbeiten in der Personalabteilung. Falls ein zwanzigster Kollege hinzukommt, womit beschäftigt der sich? Mit Datenschutz. So will es das Gesetz: Hat ein Unternehmen mehr als neun Mitarbeiter, die sich mit der Verarbeitung personenbezogener Daten befassen, schreibt das Bundesdatenschutzgesetz einen Datenschutzbeauftragten vor.
Hinter dieser Vorgabe steckt staatliches Misstrauen. Manche Firmen könnten den Datenschutz auf die allzu leichte Schulter nehmen. Allerdings: Wo der Staat seine Finger drin hat, wird es bürokratisch. Was als „noch besser“ gedacht ist, kommt bei den Unternehmen als „noch komplizierter“ an. Die Vorschriften für den Datenschutz sind bereits komplex – Stichwort: DSGVO – und sie werden eher „noch besser“ als einfacher. Ein Beispiel dafür: Die Rechenschaftspflicht der DSGVO zwingt Unternehmen, jederzeit die Einhaltung datenschutzrechtlicher Regelungen nachzuweisen – mit entsprechend aufwendigen Dokumentationspflichten
Neunzehn Mitarbeiter arbeiten in der Personalabteilung. Falls ein zwanzigster Kollege hinzukommt, womit beschäftigt der sich? Mit Datenschutz. So will es das Gesetz: Hat ein Unternehmen mehr als neun Mitarbeiter, die sich mit der Verarbeitung personenbezogener Daten befassen, schreibt das Bundesdatenschutzgesetz einen Datenschutzbeauftragten vor.
Hinter dieser Vorgabe steckt staatliches Misstrauen. Manche Firmen könnten den Datenschutz auf die allzu leichte Schulter nehmen. Allerdings: Wo der Staat seine Finger drin hat, wird es bürokratisch. Was als „noch besser“ gedacht ist, kommt bei den Unternehmen als „noch komplizierter“ an. Die Vorschriften für den Datenschutz sind bereits komplex – Stichwort: DSGVO – und sie werden eher „noch besser“ als einfacher. Ein Beispiel dafür: Die Rechenschaftspflicht der DSGVO zwingt Unternehmen, jederzeit die Einhaltung datenschutzrechtlicher Regelungen nachzuweisen – mit entsprechend aufwendigen Dokumentationspflichten
Datenschutz in vier Schritten
Um DSGVO-Vorgaben umzusetzen, müssen Unternehmen ihre Mitarbeiter von anderen Aufgaben entbinden und zu Datenschutzbeauftragten ummodeln. Nicht wie bei Erste-Hilfe-Beauftragten eher nebenbei, sondern zusehends als Fulltime-Aufgabe. Aus dieser Zwickmühle gibt es einen einfachen Ausweg: den externen Datenschutzbeauftragten.
Diverse Anbieter haben diese Marktlücke entdeckt und schicken ihre zertifizierten Datenschutzbeauftragten in Unternehmen. Was die dort machen, entscheiden die Unternehmen selbst. Die Angebote sind modular aufgebaut, vom Grundschutz bis zum individuell zugeschnittenen Paket. Die externen Datenschützer gehen dabei in vier Schritten vor:
Diverse Anbieter haben diese Marktlücke entdeckt und schicken ihre zertifizierten Datenschutzbeauftragten in Unternehmen. Was die dort machen, entscheiden die Unternehmen selbst. Die Angebote sind modular aufgebaut, vom Grundschutz bis zum individuell zugeschnittenen Paket. Die externen Datenschützer gehen dabei in vier Schritten vor:
- Check-up: Analyse des vorhandenen Datenschutzes
- To-dos: Was muss getan werden, um den Anforderungen zu entsprechen?
- Auf Wunsch Umsetzung: Die Liste wird nach gesetzten Prioritäten abgearbeitet.
- Auf Wunsch Betreuung: Das Unternehmen wird kontinuierlich begleitet.
Mitunter ist die Aufgabe der externen Datenschützer bereits erledigt, wenn sie das Unternehmen geprüft haben und einen „Alles bestens“-Stempel auf ihren Report drücken. Häufig allerdings läuft einiges suboptimal. Dann stehen Unternehmen vor der Wahl, eigene Expertise aufzubauen oder eben auf das Know-how der Externen zuzugreifen.
Auf der sicheren Seite
Die Anbieter dieser Dienstleistungen argumentieren vor allem mit finanziellen Gründen: Wer auf die externe Lösung setzt, muss die eigenen Mitarbeiter nicht ständig schulen und kann sie für ihre eigentlichen Aufgaben einsetzen. Geld ist allerdings nicht das einzige Argument. Der Einsatz der externen Datenschützer lohnt sich auch mit Blick auf die Außenwirkung: Er zeigt, wie viel Wert das Unternehmen auf Up-to-date-Datenschutz legt. Das schafft Vertrauen, auch gegenüber den Aufsichtsbehörden.
Es gibt noch einen letzten Punkt, der für das Prinzip „Rent your Datenschützer“ spricht: Subjektiv als „nervig“ oder „unnötig“ empfundene neue Abläufe, die den Vorgaben der Datenschutz-Richtlinien entsprechen, werden bei den eigenen Mitarbeitern eher akzeptiert, wenn sie von externen Spezialisten kommen. So oder so: weniger Stress.
Es gibt noch einen letzten Punkt, der für das Prinzip „Rent your Datenschützer“ spricht: Subjektiv als „nervig“ oder „unnötig“ empfundene neue Abläufe, die den Vorgaben der Datenschutz-Richtlinien entsprechen, werden bei den eigenen Mitarbeitern eher akzeptiert, wenn sie von externen Spezialisten kommen. So oder so: weniger Stress.
Das könnte Sie auch interessieren:
Alle Systeme auf Check: der Schwachstellenscan
Ein Schwachstellenscan überprüft möglichst viele IT-Systeme möglichst schnell auf ihre Schwächen. Damit erhöhen Unternehmen fix und unaufwendig den Standard ihrer IT-Sicherheit.
