CEO oder Data Protection Officer (DPO): Wer gewinnt das Machtspiel?
Inzwischen sind CEO und der Data Protection Officer (DPO) Kontrahenten. Mit der Verschärfung der Datenschutzbestimmungen brodelt ein Konflikt auf den Unternehmungsetagen. Wer entscheidet über welche wirtschaftlichen Interessen des Unternehmens? Der Geschäftsverantwortliche oder der Experte, der die Einhaltung des Datenschutzes überwacht? Die Antwort kennt Morten Brøgger, CEO von Wire.
Inzwischen sind CEO und der Data Protection Officer (DPO) Kontrahenten. Durch die Verschärfung der Datenschutzbestimmungen DSGVO im Mai 2018 ist dies sowieso gegeben. Diese verlangt die Benennung eines Data Protection Officers (dt.: Datenschutzbeauftragten) für Unternehmen mit mindestens zehn Mitarbeitern. Wenn dies Pflicht wird, steigt die Relevanz für einen sicheren Umgang mit Daten und Informationen.
Obwohl mehr als die Hälfte aller Unternehmen bislang keine Vollzeitstelle für Datenschutzexperten besetzt haben, ist das Thema endgültig in den Chefetagen angekommen. Trotzdem gibt es noch immer zahlreiche Unsicherheiten, auch was eine Funktion im Unternehmen angeht, die im Zeitalter der Privatsphäre stark an Relevanz gewonnen hat.
Der Data Protection Officer überwacht die Einhaltung der Datenschutzvorgaben und ist somit für die Privatsphäre von Mitarbeitern und Kunden verantwortlich. Weil dieser die Arbeitsabläufe und -kultur überwachen sowie hinterfragen soll, übernehmen diese Mitarbeiter eine herausragende und bedeutende Funktion im Unternehmen ein.
Eine neue Rolle
In der letzten Cyber-Sicherheitsumfrage des Bundesamtes für Sicherheit in der Informationstechnik waren 70 Prozent der Unternehmen in den Jahren 2016 und 2017 Opfer von Hackerangriffen. Viele Firmen sitzen auf einer tickenden Zeitbombe. Viele Unternehmen verfallen dem Trugschluss, sich auf externe Datenschutzexperten, die die Abläufe und Prozesse auf ihre IT-Sicherheit hin untersuchen oder vertrauen auf kostspielige Cyber-Versicherungen. Darin verbergen sich weitere Risiken.
Externe Anbieter könnten zwar Schutzmassnahmen und Verluste finanziell kompensieren, sie können jedoch meistens verlorene Daten nicht zurück bringen. Ist das gesamte IT-System eines Unternehmens betroffen, kann die Restaurierung je nach Unternehmensgrösse einige Millionen Euro kosten – die Verluste von Wettbewerbsvorteilen sowie die Kosten durch Umsatzeinbussen und dem Image-Schaden noch nicht miteingerechnet.
Selbst eine einzige gestohlene Datei, die über Kundendaten oder Passwörter gehackt wurde, richtet vielleicht bleibenden Schaden an.
Hier kommt der Data Protection Officer ins Spiel, der der Geschäftsleitung auf die Füsse treten muss.
Checkliste für werdende DPO
Zu den Aufgaben des Data Protection Officer gehört es, die Geschäftsleitung auf Datenschutzverstösse hinzuweisen und bei Bedarf auf umfangreiche Veränderungen zu bestehen. Unsichere Cloudspeicherlösungen oder die eigenen Kommunikationskanäle sind für Unternehmen „wunde Punkte“, die der Datenschutzexperte besonders im Auge behalten muss.
Generell muss der DPO beim Einsatz von Softwarelösungen folgende Eigenschaften prüfen und Fragen beantworten können:
- DSGVO-Konformität: Ob und wie personenbezogene Daten verarbeitet werden?
- Auditierte Software: Gibt es regelmässige unabhängige IT-Sicherheitsprüfungen?
- Open-Source-Verfügbarkeit: Gibt es im freiverfügbaren Quelltext kritische Sicherheitslücken oder potenzielle Hintertüren für Dritte?
- Server-Standort: Sind die Serverinnerhalb der EU verortet und gilt der vergleichsweise strenge Rechtsrahmen?
- Ende-zu-Ende-Verschlüsselung: Werden Datenübertragungen oder die gesamte Kommunikation Ende-zu-Ende-verschlüsselt, damit nur Sender und Empfänger Zugriff haben?
Im besten Fall etabliert der CEO zusammen mit dem Data Protection Officer eine interne Sicherheitskultur. Das bedeutet, dass sie sich dafür einsetzen, dass Mitarbeiter eine positive Einstellung gegenüber den notwendigen Richtlinien entwickeln, denn im schlimmsten Falle hängt ihr eigener Arbeitsplatz und das Wohl des Unternehmens von dem Funktionieren der IT-Sicherheitsmechanismen ab.
Kein Machtspiel, keine Verlierer
Der Data Protection Officer kann für den CEO sehr unbequeme Wahrheiten ans Licht bringen: er spricht Fehler und Verstösse offen an, fordert Reformen und hinterfragt bestehende Workflows. Trotzdem vertreten Geschäftsleitung und Datenschutzexperten grundsätzlich die gleichen Interessen. Am Ende ziehen alle Beteiligten aus einer engen Zusammenarbeit einen unschätzbaren Gewinn: Das Unternehmen ist besser vor Cyberbedrohungen geschützt, Mitarbeiter gehen umsichtiger mit sensiblen Informationen um, Kunden profitieren von einem verbesserten Datenschutz und das zahlt sich auch auf die eigene Seriosität aus.
Deshalb ist es wichtig das der DPO einen neuen Workflow implementiert, während er sichere Tools in die Arbeitsprozesse integriert. Letztere bieten zudem die Chance, die Produktivität des Unternehmens noch zu erhöhen und somit positiv auf die KPIs einzuwirken. Gewinner gibt es am Ende nur, wenn CEO und Datenschutzbeauftragter keinen Machtkampf austragen, sondern stattdessen an einem Strang ziehen.
Der Data Protection Officer ist in der Pflicht globalere Prozesse anzuleiten. Gemeinsam mit dem CEO werden so die Unternehmensinteressen nachhaltig gewahrt.
