Oliver Siernicki, Geschäftsführer der Deutsche Datenschutz Consult GmbH (DDSC) spricht über die aktuellen Herausforderungen von KMU im Hinblick auf den Datenschutz und wie DDSC bei deren Bewältigung unterstützt.
Die Deutsche Datenschutz Consult GmbH (DDSC) ist ursprünglich spezialisiert auf die Einhaltung von Datenschutzvorgaben in kleinen und mittleren Unternehmen. Mittlerweile stellen sich die Hamburger Experten jedoch durch ein deutlich erweitertes Portfolio jenen Problemen, mit denen KMU aktuell kämpfen. Welche das sind und wie DDSC dabei unterstützt, erläutert Geschäftsführer Oliver Siernicki im Gespräch.
Herr Siernicki, was sind im Jahr 2024 die dringlichsten Themen Ihrer Kunden?
Oliver Siernicki: Das sind insbesondere drei Komplexe: Seit 2018 müssen Firmen, die sogenannte „personenbezogene Daten“ verarbeiten, in aller Regel einen Datenschutzbeauftragten ernennen. Seit 2023 gilt in Deutschland außerdem das Hinweisgeberschutzgesetz, das „Whistleblower“ besser vor Repressalien schützen soll. Es sieht die Einrichtung einer „internen Meldestelle“ vor, an die sich Mitarbeiter anonym wenden können, sollten sie in ihrer Firma illegale Vorgänge entdecken oder vermuten. Ein Dauerbrenner sind jene generellen Gefahren, die durch die Arbeit mit digitalen Informationen entstehen. Cyberattacken, Erpressungen, Datenklau et cetera haben durch Remote-Arbeit mit schlecht gesicherten Endgeräten noch einmal zugenommen.
Diese drei Themen beschäftigen, anders als man vielleicht vermutet, eben keineswegs nur Konzerne und große Organisationen, sondern auch den Mittelstand und kleine beziehungsweise kleinste Firmen. Ein Datenschutzbeauftragter ist zum Beispiel bei einer Mitarbeiteranzahl ab 20 Personen „fällig“; eine interne Meldestelle ab 50 Mitarbeitern. Unser Fachteam für Informationssicherheit und Datenschutz ist seit langem spezialisiert auf die Bedürfnisse von KMU. Wir können der Kundengruppe also passgenaue Lösungen anbieten.
Wie sehen diese Lösungen aus?
Oliver Siernicki: Fangen wir beim Datenschutzbeauftragten an. Unternehmen mit einer zwanzigköpfigen Belegschaft – in bestimmten Branchen auch kleiner – müssen eine speziell ausgebildete Fachkraft benennen, sobald sie personenbezogene Daten verarbeiten. Die Fachkraft muss die Einhaltung der europäische Datenschutzgrundverordnung DSGVO und des Bundesdatenschutzgesetzes (BDSG) im Unternehmen überwachen. Das kann – Fortbildungsmaßnahmen und regelmäßige Informationsmeetings mit der Geschäftsführung eingeschlossen – ein Vollzeitjob sein.
Unser Angebot ist die Bereitstellung eines externen Datenschutzbeauftragten, der den internen Koordinator nach Kräften unterstützt. Dabei übernehmen wir die Qualifikation und Weiterschulung, Ressourcenplanung, Beratungs- und Überwachungsaufgaben und informieren über den neuesten Stand regulatorischer Vorgaben. Unterm Strich kommt das für KMU unkomplizierter und günstiger: Die Expertise, die sie sich aufwendig erarbeiten müssten, besitzen wir von Haus aus.
Eine „interne Meldestelle“ werden externe Berater jedoch kaum ersetzen?
Oliver Siernicki: Das ist falsch und leider ein Missverständnis, das wir häufig ausräumen müssen. Vielleicht kommt es durch eine semantische Doppeldeutigkeit zustande. „Intern“ bedeutet eben nicht, dass die Meldeinfrastruktur nicht ausgelagert werden dürfte. Hintergrund ist, dass die Verantwortung für die Meldestelle immer beim Unternehmen liegt, ob es sie nun im eigenen Haus betreibt oder delegiert.
Letzteres hat sogar Vorteile. Ich will das erläutern. Knackpunkt des 2023 in Kraft getretenen Hinweisgeberschutzgesetzes ist, dass Angestellte, die in ihrem Unternehmen Unregelmäßigkeiten aufdecken oder vermuten, ihrer Verantwortung gerecht werden und darüber Meldung machen können, ohne Nachteile zu befürchten. Hinweisgeber müssen also anonym bleiben können und dennoch sicher sein, dass ihrem Verdacht professionell nachgegangen wird. Unternehmen mit 50 oder mehr Beschäftigten müssen einen solchen Meldekanal einrichten. Um Anonymität zu gewährleisten, ist dafür eine IT-Infrastruktur notwendig, die unabhängig von der bereits vorhandenen arbeitet – ein ziemlicher Aufwand.
Ein anderes Beispiel: Wer als Angestellter in einer hauseigenen Meldestelle arbeitet, muss sehr gut geschult sein. Diese Mitarbeiter gehen Vertraulichkeitsverpflichtungen ein, für die sie gegebenenfalls persönlich haften. Und sie geraten schnell in Interessenkonflikte, etwa wenn sie Hinweise auf Vorgänge oder Abteilungen erhalten, in denen sie selbst involviert sind. Um solche Zwickmühlen zu vermeiden, müssen komplexe Zuweisungsmechanismen ausgetüftelt werden.
Übernimmt hingegen ein externer Dienstleister die Bereitstellung des Meldekanals, nutzt er seine eigene Software, es gibt also von vornherein keine Verbindung zur IT des Auftraggebers. Die Mitarbeiter agieren außerdem vollkommen unabhängig, Interessen- oder Loyalitätskonflikte lassen sich nur mit viel Fantasie herbeikonstruieren. Drittens obliegt die konstante Weiterqualifikation der Fachkräfte allein beim Dienstleister, das ist schließlich sein ureigenstes Interesse.
Wir bei DDSC zum Beispiel sind als zertifizierte Datenschutzbeauftragte den Umgang mit sensiblen Daten aus unserer alltäglichen Arbeit gewohnt und außerdem gesetzlich zur Vertraulichkeit verpflichtet. Von daher sind wir als „Externe“ geradezu prädestiniert, für KMU die Funktion der internen Meldestelle zu erfüllen, Hinweisen von Whistleblowern unabhängig und sorgfältig nachzugehen und gegebenenfalls die verantwortlichen Stellen im Unternehmen und bei den Behörden in Kenntnis zu setzen.
Kommen wir zum dritten Thema Cybersicherheit. Was tut sich an der Front, um es martialisch auszudrücken?
Oliver Siernicki: Dramatisches. Es wäre geradezu fahrlässig, das Thema abzutun als lediglich ein Problem von Konzernen oder großen Organisationen. Deutsche KMU sind in den Fokus von Cyberkriminellen geraten. Laut einer Erhebung der European Union Agency for Cybersecurity von 2024 entfallen rund 60 Prozent der Cyberangriffe in Deutschland auf den Mittelstand.
Das ist im doppelten Sinne fatal. Bei KMU führen Attacken mit Ransomware, Viren et cetera nicht selten zu existenzieller Not. Daten von Kunden und Partnern sowie sensible Firmeninterna werden abgegriffen, verändert, gelöscht, verschlüsselt oder auf inkriminierten Internetseiten veröffentlicht. Wiederholt nutzen Kriminelle die gestohlenen Daten für weitere Hackerangriffe und andere Straftaten. Der materielle und Rufschaden kann bis zur Insolvenz führen.
Zugleich fehlen vielen KMU die Ressourcen und das Know-how, um geeignete Abwehrmaßnahmen zu ergreifen. Sie können weder teure Sicherheitssysteme installieren noch ausreichend geschultes Personal für Cybersicherheit einstellen. Das Bewusstsein für die Gefahren bleibt in der Belegschaft damit unterbestimmt. Es werden weiterhin veraltete Software und schwache Passwörter genutzt, Sicherheitsupdates vernachlässigt. Für Kriminelle, die gar nicht gezielt vorgehen, sondern großflächig automatisierte Angriffe durchführen, sind solche Schwachstellen geradezu Einladungen.
Diese ungünstige Entwicklung wird noch beschleunigt durch den Trend zu Homeoffice und mobilem Arbeiten, mit unzureichend geschützten Endgeräten und ungenügend verschlüsseltem Datentransfer.
Und dagegen wird nichts unternommen?
Oliver Siernicki: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist sich der in der Tat dramatischen Lage bewusst. Als erste Unterstützung hat es in Kooperation mit dem Bundesministerium für Wirtschaft und Klimaschutz den sogenannte CyberRisikoCheck aufgesetzt. Das Verfahren ist nach DIN SPEC 27076 „IT-Sicherheitsberatung für kleine und Kleinstunternehmen“ spezifiziert und bietet KMU eine standardisierte Beratung durch einen IT-Dienstleister an, um das Informationssicherheitsrisiko zu überprüfen.
Auch wir bei DDSC bieten diese Beratung an. Konkret sieht sie so aus, dass wir Kunden in Form eines Interviews anhand von bis zu 54 Fragen aus sechs Themenbereichen durch den CyberRisikoCheck begleiten. Das dauert in der Regel nicht länger als ein Tag. Im Anschluss werten wir die Prüfung aus, empfehlen weiterführende Maßnahmen und welche staatlichen Fördermittel dafür beantragt werden können.
Einschränkend möchte ich allerdings betonen, dass ein bestandener CyberRisikoCheck lediglich bestätigt, dass eine Firma die Mindestanforderungen an Informationssicherheit erfüllt und somit die Voraussetzung, um diese weiter auszubauen.
Das alles sind komplexe Aufgaben. Wie hält DDSC die Kosten für KMU erschwinglich?
Oliver Siernicki: Wir haben eine eigene Datenschutz-Management-Plattform entwickelt. Nutzer des Portals werden zur Dokumentation ihrer Datenschutzmaßnahmen angeleitet, sie erhalten Vorlagen zur Erstellung von Dokumenten sowie Zugang zu Erklärvideos in einer Sprache, die auch Nicht-Juristen verstehen. In unserem E-Learning-Bereich stellen wir Onlinekurse zur Schulung von Mitarbeitern zur Verfügung.
Viele Dienstleistungen, für die sonst teure Berater ins Haus kommen müssten, werden bei uns also automatisiert, schnell und kostengünstig angeboten. Für jedwede Beratung steht unser Team aus Volljuristen, IT-Experten und Betriebswirten, die jeweils eine Zertifikation zum Datenschutzexperten durch den TÜV oder die DEKRA erworben haben, natürlich dennoch persönlich zur Verfügung.