Interview: „ IT-Sicherheit kann man nicht kaufen, für die muss man sorgen.“

Interview: „ IT-Sicherheit kann man nicht kaufen, für die muss man sorgen.“

Olaf Tenti ist externerDatenschutzbeauftragter von Hülskötter & Partner„Datenschutz mit Augenmaß“, so lautet das Motto der GDI mbH aus Hagen, mit dessen Geschäftsführer Olaf Tenti wir das folgende Interview geführt haben.
Anlass ist die Bestellung von Herrn Tenti zum Externen Datenschutzbeauftragten von Hülskötter & Partner, die zum 1. Januar 2014 in Kraft getreten ist. In diesem Gespräch skizziert Olaf Tenti den vorbereitenden Aufwand eines Datenschutzbeauftragten, beschreibt das erforderliche Know-how für das Einrichten aller sicherheitsrelevanter Maßnahmen und gibt Hinweise, was bei der eigenen IT-Infrastruktur unerlässlich ist.

Herr Tenti, wie kam es zu Ihrer Bestellung des Externen Datenschutzbeauftragten von Hülskötter & Partner?

Olaf Tenti: Ich habe bereits 2009 für Hülskötter & Partner zum ersten Mal gearbeitet, und zwar im Rahmen einer internen Datenschutzschulung, da die Geschäftsführung rund um Gerhard Hülskötter bereits zu diesem Zeitpunkt erkannt hat, wie wichtig das Thema Datenschutz ist. Im Laufe der folgenden Jahre wurde immer klarer: Ein interner Datenschutzbeauftragter kann das Thema nicht vernünftig behandeln, da sich der Datenschutz permanent ändert und den aktuellen Gegebenheiten angepasst wird. Somit hat mich Hülskötter & Partner Ende 2013 zum Externen Datenschutzbeauftragten bestellt und verpflichtet.

Was war Ihre erste „Amtshandlung“ als Datenschutzbeauftragter von Hülskötter & Partner?

Da Firmen, bei denen mehr als neun Anwender personenbezogene Daten verarbeiten, gesetzlich dazu verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, gehörte das Erstellen eines Verfahrensverzeichnisses zu einer meiner ersten Aufgaben. Darin wird akribisch festgehalten, an welcher Stelle des Unternehmens personenbezogene Daten verarbeitet und ob diese angemessen, sprich sicher behandelt werden.

Wie aufwändig war das Vorbereiten des Verfahrensverzeichnisses?

Das war im Grunde recht überschaubar: Wir haben gerade mal eineinhalb Arbeitstage in die Vorbereitung investiert, was vor allem dem Umstand geschuldet war, dass wir die Abläufe und Gegebenheiten bei Hülskötter & Partner schon sehr gut kannten. Das hat uns enorm geholfen. Hinzu kommt ein weiterer Arbeitstag beim Unternehmen selbst, an dem all die Maßnahmen umgesetzt werden, die wir für Hülskötter & Partner erarbeitet haben. Des weiteren sind sämtliche Datenverarbeitungsverträge zu überprüfen, die der Kunde mit den eigenen Kunden abgeschlossen hat, ob diese vollständig sind und sie eine bestmögliche Sicherheit garantieren. Dies muss selbstverständlich allen Kunden schriftlich mitgeteilt werden.

Wie muss man sich das Umsetzen des Verfahrensverzeichnisses vorstellen?

Davor haben zwar viele Kunden großen Respekt, was aber in den meisten Fällen unbegründet ist, da es sich lediglich um organisatorische Arbeiten handelt. Allerdings hält sich der Aufwand nur solange in Grenzen, solange die Vorab-Beratung lückenlos und auf profundem Wissen erfolgt. So kann man beispielsweise in Sachen Router-Sicherheit entweder einen neuen Router empfehlen (was vor allem kostenintensiv ist) oder die Sicherheitsmerkmale des vorhandenen Geräts überprüfen (was weniger aufwändig ist). Daher lautet unser Ratschlag: IT-Sicherheit lässt sich nicht kaufen, für die muss man sorgen bzw. sorgen lassen.

In welchen Abständen sind die datenschutz-relevanten Maßnahmen zu überprüfen?

Im Regelfall ist das nur einmal pro Jahr erforderlich. Sollten sich allerdings innerhalb der Firma oder der IT-Infrastruktur weitreichende Veränderungen ergeben, so werden wir normalerweise sofort aktiv, um beispielsweise die neue Hardware oder Software auf ihre Sicherheitsmerkmale hin zu überprüfen. Dabei verstehen wir uns eher als Berater denn als Kontrolleur.

Wo sehen Sie derzeit die größten IT-sicherheitsrelevanten Herausforderungen?

Die größte Herausforderung besteht aktuell darin, Unbefugte aus dem eigenen IT-Netzwerk fernzuhalten. Das betrifft vor allem viele mittelständische Unternehmen, die meist aus Kostengründen keine eigene Technikabteilung unterhalten. Die Folgen daraus sind oft nicht abschätzbar: Es wird in die falsche Infrastruktur investiert, da meist das Fachwissen fehlt, sich mit den zugehörigen Themen zu beschäftigen.
So zeigte das Beispiel der fehlerhaften Fritzboxen, dass vielerorts die Meinung vorherrscht, mit solch einem WLAN-Router habe man für die Sicherheit des eigenen Netzwerks gesorgt. Dass dem nicht so ist, erleben wird jeden Tag. Denn es wird immer einfacher, fremde Technik auszuhebeln und an relevante und hochsensible Daten heranzukommen. Auch damit verstößt man gegen das Datenschutzgesetz, ohne sich darüber im Klaren zu sein.
Wichtig ist aber auch ein weiterer Aspekt: Sämtliche Betroffenen sollten bestmöglich für das Thema Datenschutz sensibilisiert werden. Nur dann sind die getroffenen Sicherheitsmaßnahmen auch wirklich sinnvoll.

Wie sind diese Herausforderungen am besten zu meistern?

Das Wichtigste dabei: Kanzleien und anderen Firmen sollten sich auf jeden Fall professionell in Sachen IT-Sicherheit beraten lassen. Denn nichts ist gefährlicher als die Annahme, man könne als Anwalt oder Jurist sein Netzwerk „mal eben so“ selbst einrichten und pflegen. Dass dem nicht so ist, belegen viele uns bekannte Beispiele, in denen enorme Sicherheitsmängel auftraten. Darüber hinaus sollte man darauf achten, dass die Hard- und Software, die zum Einsatz kommen, den gängigen Sicherheitsstandards entsprechen. Damit betreibt man aktiven Datenschutz, in den man auf jeden Fall sinnvoll investieren sollte.
Darüber hinaus sollten vertrauliche Daten unbedingt verschlüsselt werden. Nur dann kann man auch sicherstellen, dass die Kommunikation mit anderen via Internet nicht mitgelesen werden kann. Das betrifft sowohl E-Mails als auch andere Kommunikationskanäle. Man sollte allerdings beachten, dass Verschlüsselung nicht immer sicher ist – selbst wenn dies vorgegaukelt wird.

Wie stellen Sie sicher, dass neben der technischen Umsetzung der datenschutz-relevanten Maßnahmen die juristische Beurteilung nicht zu kurz kommt?

Zu unserem Beratungsunternehmen gehören neben einer Vielzahl erfahrener Ingenieure und IT-Sicherheitsexperten auch zahlreiche Juristen und Anwälte, die wir unkompliziert und schnell in den jeweiligen Beratungsfall einbinden können. Hierfür stehen uns auch Kollegen innerhalb der Firma mit Rat und Tat zur Seite, die sehr erfahren sind, was den Datenschutz angeht.
Update 25.7.2018: Mittlerweile ist die europäische DSGVO (Datenschutzgrundverordnung) in Kraft getreten, die künftig alle datenschutzrelevanten Fragen regelt und beantwortet. Hierzu haben wir eine 10-teilige Videoserie mit den wichtigsten Fragen und Antworten rund um die DSGVO produziert. Und das passende Interview mit Olaf Tenti finden Sie ebenfalls auf dem Advoblog.

Interview: "Wir nehmen das Thema Datenschutz sehr, sehr ernst!"

Interview: "Wir nehmen das Thema Datenschutz sehr, sehr ernst!"

Gerhard Hülskötter von Hülskötter & PartnerHülskötter & Partner nimmt das Thema Datenschutz schon seit langem sehr ernst, und das nicht nur bei seinen Kunden, wie das Angebot an weiterführenden Webinaren belegt, sondern auch im eigenen Hause.
Aus diesem Grund hat die Firma aus Nordwalde seit kurzem einen externen Datenschutzbeauftragten, der sich um sämtliche Belange rund um den Datenschutz kümmert.
In diesem Zusammenhang hat das Advoblog mit Gerhard Hülskötter, einem der beiden Geschäftsführer von Hülskötter & Partner, ein Interview geführt, in dem er darüber spricht, warum sich sein Unternehmen einen externen Datenschutzbeauftragten bestellt hat, warum sich diese Investition auf Dauer auf jeden Fall auszahlt und dass er die gesamte Belegschaft für das Thema Datenschutz sensibilisieren will.

Herr Hülskötter, warum haben Sie mit Olaf Tenti einen sehr erfahrenen Datenschutzbeauftragten engagiert?

Gerhard Hülskötter: Wenn man die aktuelle Nachrichtenlage genauer verfolgt, fällt vor allem auf, dass viele Firmen äußert unvorsichtig mit ihren Daten umgehen. Da sind wir schon einen ganzen Schritt weiter, daher haben wir Olaf Tenti mit dem Auftrag betraut, uns bei der Umsetzung unserer datenschutzrechtlichen Ziele bestmöglich zu unterstützen. Wir sehen das als freiwillige Außenkontrolle, die wir uns mit Herrn Tenti ins Haus geholt haben.

Mit welcher Hauptaufgabe haben Sie Herrn Tenti betreut?

Herr Tenti hat für uns vor allem ein komplettes Verfahrensverzeichnis erstellt, in dem sämtliche relevanten Arbeitsprozesse und -schritte feinsäuberlich festgehalten wurden. Dieses Verzeichnis ist die Grundlage für seine datenschutzrechtlichen Überprüfungen, die er regelmäßig in unserem Haus durchführt.

Welche Aufgaben gehören zu diesen Überprüfungen?

Nun, dazu zählen ganz vielfältige Aufgaben. So kontrolliert er zum Beispiel, ob sämtliche Mitarbeiter gute, also möglichst sichere Kennwörter verwenden. Das ist immer dann wichtig, wenn man den Arbeitsplatz verlässt und der Rechner für diese Zeit mittels Bildschirmschoner oder einem anderen Mechanismus gesperrt wird. Dazu gehört aber auch eine stichprobenartige Überprüfung der Tastatur oder der Schreibtischunterlage, ob sich darunter Zugangscodes befinden, mit denen der Rechner problemlos entriegelt werden kann.
Darüber hinaus ist der Serverraum für einen Datenschutzbeauftragten ein ideales Betätigungsfeld. Dort überprüft er beispielsweise, wie leicht man in den Serverraum hineinkommt (Stichwort: Zugangskontrolle) und wie sicher die Daten dort aufbewahrt werden.

Warum haben Sie sich für Olaf Tenti enschieden?

Mit Olaf Tenti haben wir einen sehr erfahrenen und renommierten Datenschützer beauftragt, der neben seiner eigentlichen Tätigkeit auch als Dozent an der Fachhochschule Südwestfalen sein fundiertes Wissen weitergibt. Zudem ist er ein Experte in Sachen IT-Schutz und Datensicherheit, was unter anderem mit seiner beruflichen Vergangenheit zu tun hat, da er in diversen Großrechenzentren gearbeitet hat. Das hilft ihm bei einer praxisnahen Einschätzung und Beratung hinsichtlich notwendiger Maßnahmen in Sachen Datenschutz.

Es war also die richtige Entscheidung, Herrn Tenti als Datenschutzbeauftragten zu engagieren?

Ja, unbedingt. Außerdem möchte ich damit erreichen, dass unsere gesamte Belegschaft noch sensibler mit dem Thema Datenschutz umgeht. Schließlich jonglieren wir täglich mit zahlreichen Daten, die auf keinen Fall in die falschen Hände gelangen dürfen. Hierfür wurde bereits vor rund zwei Jahren ein Großteil unserer Mitarbeiter zu internen Datenschutzexperten ausgebildet, und zwar mit Zertifikat. Damit können und wollen wir sicherstellen, dass alle Kolleginnen und Kollegen sämtliche Belange des Datenschutzes kennen und berücksichtigen. Unter diesen Aspekten ist der externe Datenschutzbeauftragte nur ein weiterer Schritt in die richtige Richtung.
Update 25.7.2018: Spätestens seit Inkrafttreten der Europäische Datenschutzgrundverordnung (DSGVO) ist es immer wichtiger, sich mit dem Thema Datenschutz ernsthaft auseinanderzusetzen. Und das sowohl aus Image- als auch monetären Gründen.