Stephan Hansen-Oest

Digitalisierung des Mittelstandes

IT-Know-how für Datenschutz in Unternehmen – Ein Experten-Interview

Nach einer 2015 erschienenen Studie von Ernst & Young stieg innerhalb von zwei Jahren die Zahl der von Spionageattacken betroffenen Unternehmen in Deutschland um das Doppelte an. Das Gefahrenbewusstsein dagegen ist gleichbleibend niedrig. "Die anhaltende Sorglosigkeit vieler Unternehmen überrascht", sagt Bodo Meseke, Leiter der Forensic Technology & Discovery Services bei Ernst & Young. Wir haben mit Stephan Hansen-Oest gesprochen. Er ist Fachanwalt für IT-Recht und weiß, wo in Deutschland die eigentlichen Probleme in Sachen Datenschutz liegen. 

Herr Hansen-Oest, Datenschutz in Unternehmen ist ein kompliziertes Feld. Kann jeder in einem Unternehmen seinen Beitrag leisten?

Stephan Hansen-Oest: Das Thema Datenschutz und vor allem Datenschutzrecht ist schon recht komplex. Sicher kann jeder im Unternehmen dazu beitragen, dass das Thema Datenschutz besser gehandhabt wird. Der erste Schritt ist es, die eigenen Mitarbeiter auf die Problematik Datenschutz aufmerksam zu machen und dafür zu sensibilisieren. 

Welchen Anteil haben Unternehmensorganisation und Mitarbeiterverhalten am Schutz elektronischer Daten?

Tatsächlich haben die einen sehr großen Anteil! Hacker-Angriffe von außen sind gar nicht mal das größte Problem. Die größte Schwachstelle beim Datenschutz und bei der Datensicherheit ist immer der Faktor Mensch, also der Mitarbeiter. Geschultes und informiertes Personal ist ein elementarer Faktor, ganz gleich, welche Größe die Firma hat. Oft liegt das mangelnde Interesse für diese Thematik aber auch an staubtrockenen Schulungen. Viele Mitarbeiter kommen tatsächlich frustriert aus Datenschutzschulungen. Das liegt sehr häufig an schlechter Vermittlung sowie mangelnder Verständlichkeit und fehlendem Unterhaltungswert von Schulungen. Hier ist deutlich Luft nach oben. 

Ab welcher Firmengröße empfehlen Sie ein eigenes IT-Sicherheitskonzept?

Der Begriff des IT-Sicherheitskonzepts ist nicht fest definiert. Abhängig von der Größe des Unternehmens kann das also einen sehr unterschiedlichen Umfang haben. Ab einer Anzahl von zehn Mitarbeitern würde ich jedoch empfehlen, mir darüber Gedanken zu machen, wie ich eine sichere Informationstechnik gewährleisten kann. Zumindest in einer Branche, die mehr in der Informationsverarbeitung und weniger im produzierenden Gewerbe wie zum Beispiel im Handwerk beheimatet ist. 

Welche Voraussetzungen müssen Datenschutzbeauftragte Ihrer Einschätzung nach erfüllen?

Neben einer klaren datenschutzrechtlichen Expertise sollten Datenschutzbeauftragte vor allem über technisches Know-how und – ganz wesentlich – über Kommunikations- und Präsentationsfähigkeiten verfügen. Das Thema Datenschutz hat aufgrund seiner Komplexität immer mehr mit Kommunikation und Wissensvermittlung zu tun. Ein Datenschutzbeauftragter sollte also vor allem zwischen den verschiedenen Wissensdisziplinen vermitteln können. Datenschutzrecht basiert immerhin auf einer bestimmten "Denke". Das darf und soll auch gerne für Personen aus anderen Fachgebieten "übersetzt" werden. 

Gibt es Betrugsmaschen oder Angriffsmuster, vor denen Sie besonders warnen würden? Wie können sich Unternehmen speziell darauf einstellen?

Das ist eher eine Frage der Informationssicherheit. Hier tun sich in der Praxis die meisten Baustellen auf. Wie auch beim Datenschutz ist hier die größte Gefahr der Mensch selbst. Unternehmen sollten schon aus Gründen der Haftungsminimierung unbedingt ein sogenanntes Informationssicherheits-Managementsystem (ISMS) implementieren, zum Beispiel auf Basis oder in Anlehnung an die ISO 27001

Gibt es bestimmte Sicherheitsmängel, die leicht zu vermeiden wären, die Sie aber immer wieder bei Unternehmen vorfinden?

Unverschlüsselte externe Speichermedien sind immer noch in vielen Unternehmen gängig. Gleiches gilt für die Nutzung von fremden, offenen WLAN-Zugängen ohne Verwendung einer Verschlüsselung, zum Beispiel über einen VPN-Client. 

Sehen Sie Risiken in der zunehmenden Nutzung von Cloud Services? Denken Sie, dass Datenschutz dadurch erschwert wird?

Es gibt Risiken, aber auch Chancen. Die Nutzung von Cloud Services geht in aller Regel mit einem Verlust der Datenhoheit einher. Das sollte den Unternehmen bewusst sein. Dabei geht es nicht darum, dass die Cloud Service-Anbieter die Daten etwa bewusst an Dritte weitergeben würden. Es geht vielmehr darum, dass eine effektive Kontrolle über die Daten nicht mehr oder nur eingeschränkt in einer anderen Weise möglich ist.

Cloud Services bieten aber auch Chancen. Wenn wir uns die IT-Landschaft in vielen Unternehmen ansehen, dann wäre ich schon froh, wenn einiger dieser Unternehmen ihre Daten in die Cloud migrieren würden, weil sie dort unterm Strich sicherer aufgehoben sind. Viele IT-Abteilungen sind mit den Anforderungen einer sicheren Informationstechnik fachlich und häufig auch finanziell überfordert. Da macht die Nutzung eines professionellen Anbieters definitiv Sinn. 

Angenommen, ein Unternehmen stellt fest, dass Unbefugte Zugriff auf interne Daten erlangt haben. Können Sie einen kurzen Maßnahmenplan schildern, was zu tun ist?

Eine schnelle Sachverhaltsaufklärung steht hier an erster Stelle. Mit Inkrafttreten der Datenschutz-Grundverordnung der Europäischen Union (DS-GVO) im Frühjahr 2018 müssen Vorfälle binnen 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Aber auch heute gibt es für bestimmte Datenarten wie zum Beispiel Konto- oder Gesundheitsdaten Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen, die unverzüglich erfüllt werden müssen. Im Rahmen des Notfallplans sind daher zwingend auch Datenschutzbeauftragte beziehungsweise Anwälte so früh wie möglich hinzuziehen. Denn eine Verletzung der Informationspflicht kann aktuell mit bis zu 300.000 Euro geahndet werden. 

Wenn in einem Unternehmen immer mehr Anwendungen laufen und Informationen über verschiedenste Schnittstellen ausgetauscht werden – kann man da Sicherheit überhaupt noch gewährleisten? Was, wenn nur ein Anbieter eine Sicherheitslücke hat?

Eine hundertprozentige Sicherheit gibt es natürlich nicht. Das dürften wir heute wissen. Aber das Risiko kann gut minimiert werden. Und genau darum geht es heute im Wesentlichen: Risikominimierung. Es sollten also Prozesse technischer und organisatorischer Art in den Unternehmen umgesetzt sein, die sicherstellen, dass Schwachstellen erkannt und behoben werden. Mit wachsendem Schutzbedarf von Daten muss ein Mehr an Sicherheitsmaßnahmen getroffen werden. In jedem Fall sollte regelmäßig eine Risiko- und Schwachstellenanalyse im Unternehmen durchgeführt werden. Vor allem, weil IT-Sicherheit nicht stillsteht. Es ist ein laufender Prozess. 

Was sind aus Ihrer Sicht die größten IT-Risiken, die in Zeiten von Digitalisierung, Internet der Dinge und Industrie 4.0 auf Deutschland und die Welt zukommen?

Ich denke, dass das Problem darin liegt, dass durch so viele Teilsysteme mehr Sicherheitsrisiken entstehen. Die IT-Sicherheit ist immer nur so stark wie das schwächste Glied in der Kette. Und das kann auch nur einmal ein vernetztes Heizkörperthermostat sein, das für eine Sicherheitslücke sorgt. Hier den Überblick über die Systeme und die Risiken zu behalten, stellt eine immense Aufgabe für Unternehmen dar. Verlässliche Lösungen hierfür gibt es meines Erachtens derzeit leider noch nicht. Da hilft es nur, an jeder Stelle aufmerksam zu sein. 

Herr Hansen-Oest, vielen Dank für das Interview.

Stephan Hansen-Oest

Stephan Hansen-Oest

Stephan Hansen-Oest nennt seine Kanzlei datenschutzfreundlich. Als Fachanwalt für IT-Recht ist er anerkannter Sachverständiger für IT-Produkte beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein und bietet außer seiner Expertise im Datenschutzrecht Schulungen an, die nicht denen eines " typischen Anwalts" entsprechen.

 Zurück zur Übersicht