
Interview: „ IT-Sicherheit kann man nicht kaufen, für die muss man sorgen.“
„Datenschutz mit Augenmaß“, so lautet das Motto der GDI mbH aus Hagen, mit dessen Geschäftsführer Olaf Tenti wir das folgende Interview geführt haben.
Anlass ist die Bestellung von Herrn Tenti zum Externen Datenschutzbeauftragten von Hülskötter & Partner, die zum 1. Januar 2014 in Kraft getreten ist. In diesem Gespräch skizziert Olaf Tenti den vorbereitenden Aufwand eines Datenschutzbeauftragten, beschreibt das erforderliche Know-how für das Einrichten aller sicherheitsrelevanter Maßnahmen und gibt Hinweise, was bei der eigenen IT-Infrastruktur unerlässlich ist.
Herr Tenti, wie kam es zu Ihrer Bestellung des Externen Datenschutzbeauftragten von Hülskötter & Partner?
Olaf Tenti: Ich habe bereits 2009 für Hülskötter & Partner zum ersten Mal gearbeitet, und zwar im Rahmen einer internen Datenschutzschulung, da die Geschäftsführung rund um Gerhard Hülskötter bereits zu diesem Zeitpunkt erkannt hat, wie wichtig das Thema Datenschutz ist. Im Laufe der folgenden Jahre wurde immer klarer: Ein interner Datenschutzbeauftragter kann das Thema nicht vernünftig behandeln, da sich der Datenschutz permanent ändert und den aktuellen Gegebenheiten angepasst wird. Somit hat mich Hülskötter & Partner Ende 2013 zum Externen Datenschutzbeauftragten bestellt und verpflichtet.
Was war Ihre erste „Amtshandlung“ als Datenschutzbeauftragter von Hülskötter & Partner?
Da Firmen, bei denen mehr als neun Anwender personenbezogene Daten verarbeiten, gesetzlich dazu verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, gehörte das Erstellen eines Verfahrensverzeichnisses zu einer meiner ersten Aufgaben. Darin wird akribisch festgehalten, an welcher Stelle des Unternehmens personenbezogene Daten verarbeitet und ob diese angemessen, sprich sicher behandelt werden.
Wie aufwändig war das Vorbereiten des Verfahrensverzeichnisses?
Das war im Grunde recht überschaubar: Wir haben gerade mal eineinhalb Arbeitstage in die Vorbereitung investiert, was vor allem dem Umstand geschuldet war, dass wir die Abläufe und Gegebenheiten bei Hülskötter & Partner schon sehr gut kannten. Das hat uns enorm geholfen. Hinzu kommt ein weiterer Arbeitstag beim Unternehmen selbst, an dem all die Maßnahmen umgesetzt werden, die wir für Hülskötter & Partner erarbeitet haben. Des weiteren sind sämtliche Datenverarbeitungsverträge zu überprüfen, die der Kunde mit den eigenen Kunden abgeschlossen hat, ob diese vollständig sind und sie eine bestmögliche Sicherheit garantieren. Dies muss selbstverständlich allen Kunden schriftlich mitgeteilt werden.
Wie muss man sich das Umsetzen des Verfahrensverzeichnisses vorstellen?
Davor haben zwar viele Kunden großen Respekt, was aber in den meisten Fällen unbegründet ist, da es sich lediglich um organisatorische Arbeiten handelt. Allerdings hält sich der Aufwand nur solange in Grenzen, solange die Vorab-Beratung lückenlos und auf profundem Wissen erfolgt. So kann man beispielsweise in Sachen Router-Sicherheit entweder einen neuen Router empfehlen (was vor allem kostenintensiv ist) oder die Sicherheitsmerkmale des vorhandenen Geräts überprüfen (was weniger aufwändig ist). Daher lautet unser Ratschlag: IT-Sicherheit lässt sich nicht kaufen, für die muss man sorgen bzw. sorgen lassen.
In welchen Abständen sind die datenschutz-relevanten Maßnahmen zu überprüfen?
Im Regelfall ist das nur einmal pro Jahr erforderlich. Sollten sich allerdings innerhalb der Firma oder der IT-Infrastruktur weitreichende Veränderungen ergeben, so werden wir normalerweise sofort aktiv, um beispielsweise die neue Hardware oder Software auf ihre Sicherheitsmerkmale hin zu überprüfen. Dabei verstehen wir uns eher als Berater denn als Kontrolleur.
Wo sehen Sie derzeit die größten IT-sicherheitsrelevanten Herausforderungen?
Die größte Herausforderung besteht aktuell darin, Unbefugte aus dem eigenen IT-Netzwerk fernzuhalten. Das betrifft vor allem viele mittelständische Unternehmen, die meist aus Kostengründen keine eigene Technikabteilung unterhalten. Die Folgen daraus sind oft nicht abschätzbar: Es wird in die falsche Infrastruktur investiert, da meist das Fachwissen fehlt, sich mit den zugehörigen Themen zu beschäftigen.
So zeigte das Beispiel der fehlerhaften Fritzboxen, dass vielerorts die Meinung vorherrscht, mit solch einem WLAN-Router habe man für die Sicherheit des eigenen Netzwerks gesorgt. Dass dem nicht so ist, erleben wird jeden Tag. Denn es wird immer einfacher, fremde Technik auszuhebeln und an relevante und hochsensible Daten heranzukommen. Auch damit verstößt man gegen das Datenschutzgesetz, ohne sich darüber im Klaren zu sein.
Wichtig ist aber auch ein weiterer Aspekt: Sämtliche Betroffenen sollten bestmöglich für das Thema Datenschutz sensibilisiert werden. Nur dann sind die getroffenen Sicherheitsmaßnahmen auch wirklich sinnvoll.
Wie sind diese Herausforderungen am besten zu meistern?
Das Wichtigste dabei: Kanzleien und anderen Firmen sollten sich auf jeden Fall professionell in Sachen IT-Sicherheit beraten lassen. Denn nichts ist gefährlicher als die Annahme, man könne als Anwalt oder Jurist sein Netzwerk „mal eben so“ selbst einrichten und pflegen. Dass dem nicht so ist, belegen viele uns bekannte Beispiele, in denen enorme Sicherheitsmängel auftraten. Darüber hinaus sollte man darauf achten, dass die Hard- und Software, die zum Einsatz kommen, den gängigen Sicherheitsstandards entsprechen. Damit betreibt man aktiven Datenschutz, in den man auf jeden Fall sinnvoll investieren sollte.
Darüber hinaus sollten vertrauliche Daten unbedingt verschlüsselt werden. Nur dann kann man auch sicherstellen, dass die Kommunikation mit anderen via Internet nicht mitgelesen werden kann. Das betrifft sowohl E-Mails als auch andere Kommunikationskanäle. Man sollte allerdings beachten, dass Verschlüsselung nicht immer sicher ist – selbst wenn dies vorgegaukelt wird.
Wie stellen Sie sicher, dass neben der technischen Umsetzung der datenschutz-relevanten Maßnahmen die juristische Beurteilung nicht zu kurz kommt?
Zu unserem Beratungsunternehmen gehören neben einer Vielzahl erfahrener Ingenieure und IT-Sicherheitsexperten auch zahlreiche Juristen und Anwälte, die wir unkompliziert und schnell in den jeweiligen Beratungsfall einbinden können. Hierfür stehen uns auch Kollegen innerhalb der Firma mit Rat und Tat zur Seite, die sehr erfahren sind, was den Datenschutz angeht.
Update 25.7.2018: Mittlerweile ist die europäische DSGVO (Datenschutzgrundverordnung) in Kraft getreten, die künftig alle datenschutzrelevanten Fragen regelt und beantwortet. Hierzu haben wir eine 10-teilige Videoserie mit den wichtigsten Fragen und Antworten rund um die DSGVO produziert. Und das passende Interview mit Olaf Tenti finden Sie ebenfalls auf dem Advoblog.