Die Datenschutzgrundverordnung (DSGVO) ist scharf geschaltet und seit dem 25.05.2018 anzuwenden. Schon? Schon. Zu diesem und anderen Themen rund um die Datensicherheit nimmt Karl Heinz Mosbach, Geschäftsführer der ELO Digital Office GmbH, Stellung.
Herr Mosbach, gehen wir gleich in die Vollen. Die Schonfrist ist vorüber. Die DSGVO ist in Kraft. Sind die deutschen Unternehmen vorbereitet?
Die einen mehr, die anderen weniger. Prinzipiell ist vieles, was die DSGVO nun EU-weit regelt, für die Unternehmen nicht völlig neu. Auch schon früher haben das Bundesdatenschutzgesetz oder das Gesetz gegen unlauteren Wettbewerb sehr klare Vorgaben gemacht, was beim Umgang mit personenbezogenen Daten zu beachten ist – zum Beispiel bei Einverständniserklärungen. Mit der DSGVO wurden die Anforderungen noch einmal erheblich erhöht und die Rechte gestärkt. Unternehmen müssen künftig binnen vier Wochen Auskunft darüber geben, welche personenbezogenen Daten sie gespeichert haben und diese dann exportieren oder zur Verfügung stellen können. Gleichzeitig müssen sie ein fristgerechtes Löschen der Daten sicherstellen. Das sind doch einige Herausforderungen, denen sich die interne IT nun gegenübergestellt sieht.
Überprüft die Datenschutzbehörde ein Unternehmen, muss dieses nachweisen können, dass es personenbezogene Daten ordnungsgemäß und sicher verarbeitet. Die DSGVO schreibt hierzu eine bestimmte Dokumentation vor, etwa eine Liste der Verarbeitungstätigkeiten aus der hervorgeht, wo im Unternehmen von wem diese Daten verarbeitet wurden. Auch Sicherheitsmaßnahmen zum Schutz der Daten sind zu ergreifen. Da werden Firewalls benötigt und man sollte unter anderem auch für Berechtigungsschutz, Zugangskontrolle und Verschlüsselung sorgen.
Leider wurde im Bereich Datensicherheit oft eher nachlässig gearbeitet. Das kommt allerdings nicht von ungefähr. Hatten Datenpannen doch überschaubare Auswirkungen, da Bußgelder – wenn sie überhaupt erhoben wurden – relativ gering ausfielen. Das hat sich nun komplett geändert. Und um auf die Frage zurückzukommen: Ich sehe bei vielen Unternehmen noch erheblichen Handlungsbedarf.
Wenden Sie die angesprochene Verschlüsselung in Ihren ECM-Systemen schon an?
Datensicherheit war bei unseren Systemlösungen schon immer ein großes Thema. Unsere Lösungen werden heute von Banken, in Krankenhäusern und im Polizeidienst eingesetzt. Dort sind eine hohe Datensicherheit sowie die Verschlüsselung der Daten im Standard geradezu Pflicht. Hierzu zählt auch die permanente Risikoeinschätzung und Schwachstellenanalyse und die Berücksichtigung entsprechender Vorkehrungen und Maßnahmen. In vielen Installationen werden dazu regelmäßig Audits durchgeführt.
Droht den Unternehmern in Europa nun eine Bußgeldwelle?
Bei amerikanischen Unternehmen, die in Europa aktiv sind, ist eine gewisse Hysterie zu spüren, die setzen sich richtig mit der DSGVO auseinander. Vor allem die hohen Bußgeldzahlungen, die theoretisch möglich sind, sorgen für Unruhe. Aber ich glaube, niemand erwartet von Beginn an Perfektion. Wenn allerdings Unternehmen, ob groß oder klein, fahrlässig mit ihren Daten umgehen und es passiert dann tatsächlich etwas, bleibt den Aufsichtsbehörden nach dem 25. Mai keine andere Wahl, als ein Bußgeld mit Tragweite zu verhängen.
Was raten Sie einem hilfesuchenden Unternehmer?
Wenn er noch kein Kunde ist, könnte er mit der kostengünstigen ELO E-Mail-Archivierung starten, die automatisch personenbezogene Daten entsprechend kennzeichnet. In der neuesten ELO ECM Suite kennzeichnet das System ebenfalls automatisch personenbezogene Daten und merkt beispielsweise auch dazu an, ob es eine gesetzliche Löschfrist gibt wie etwa bei Bewerbungsunterlagen oder Abmahnungen. Die müssen nämlich ohne dokumentierte Einverständniserklärung des Betreffenden nach einer Frist gelöscht werden. Die Version 11 bringt eigentlich alle Kernthemen, die die DSGVO fordert, bereits im Standard mit. Setzt man auch unsere digitale Personalakte ein, lässt sich eine automatische Verschlüsselung dieser sensiblen Daten aktivieren.
Wir wollen auf jeden Fall den einzelnen Anwender oder das Unternehmen davon entlasten, zeitaufwändig neue Prozesse aufzusetzen, zu analysieren und zu dokumentieren. Bisher gab es kein System, das markierte »Ich bin ein personenbezogener Datensatz«, denn da sind die Daten zerstreut in E-Mail-Postfächern, verschiedenen Laufwerken und persönlichen Verzeichnissen. Da ist es nahezu unmöglich, bei einer Anfrage, welche Daten man vom Fragesteller gespeichert hat, eine korrekte Auskunft zu geben. Die DSGVO fordert das aber. Und sie fordert, im Unternehmen die entsprechenden Systeme einzurichten und das zu dokumentieren. Diese Werkzeuge haben wir. Sie können auf Knopfdruck mit Data Analytics einen solchen Report erstellen und dokumentieren.
Der Datenschutz wird also in Ihr Enterprise Content Management integriert?
Der Datenschutz und die Datensicherheit sind in unseren Komponenten ein ganz wichtiger Bestandteil. Unsere Systeme werden heute bei Banken und Behörden eingesetzt. Dazu gehört etwa die kommunale Verwaltung der Stadt Zürich mit 30.000 Arbeitsplätzen einschließlich der Polizei. Auch im Gesundheitsbereich sind wir stark, da nenne ich mal die Uniklinik Freiburg als Referenz. Wir verfügen schon über eine hohe Branchenvielfalt. Allein in Deutschland haben wir 8.000 kleine, mittlere und große Kunden, die von den über 260 Systemhäusern unseres Partnernetzwerks auch mit ausgesprochenen Branchenspezialisten betreut werden.
Ich habe den Anspruch, dass ich jedem Kunden ein ELO-System liefere, mit dem er über einen extrem hohen Schutz seiner Daten verfügt. Das wollen wir auch ständig überprüfen und zertifizieren lassen. Schon jetzt gibt es zahlreiche Audits, ich denke da an ein Sicherheitsaudit des Landes Moldawien, dessen sämtliche Ministerien mit unseren Systemen arbeiten. Dort sollten Spezialisten unsere Systeme hacken und auf Schwachstellen überprüfen. Sie sehen, das Thema Sicherheit wird bei uns keineswegs stiefmütterlich behandelt. Wir arbeiten ständig daran.
Welche anderen Themen sind bei ELO gerade wichtig?
Zum Beispiel das Thema Data Analytics. Dabei geht es um die Fähigkeit, alle vorhandenen Daten, egal ob sie in Dokumenten oder Prozessen stecken, sammeln und analysieren zu können. So lässt sich etwa feststellen, wie es in der Produktion eines Unternehmens zu Lieferschwierigkeiten kommt: Gibt es Stillstände? Gibt es lange Reparaturzeiten? Stimmen die Ausschussmengen? Das konnte man früher zwar auch alles analysieren, aber das dauerte seine Zeit. Mit Data Analytics in der neuen Version unserer ECM-Suite geht das auf Knopfdruck.
Die fortschreitende Digitalisierung wird aber auch zu völlig neuen Bedienkonzepten führen, etwa die Steuerung von Maschinen und Systemen über Sprache statt über Tastaturen. Auch der Einsatz künstlicher Intelligenz, also intelligenter Programmeinheiten, wird zunehmen. Was vorher Menschen etwa bezüglich Analyse und solchen Dingen erledigten, wird künftig von Softwarekomponenten durchgeführt. Unabhängig davon, dass solche Schritte auch Gefahren mit sich bringen. Die Entwicklung von Technologie ist einfach nicht aufhaltbar. So war es früher zu Beginn der Industrialisierung auch: Das stinkende Ungeheuer Auto hat man verteufelt und konnte es dennoch nicht aufhalten. So geht es mit der Digitalisierung auch. Wir müssen nur darauf achten, dass sie für den Menschen gemacht wird. Darum muss sich jeder aktiv einbringen und nicht nur abwarten, was da kommt. Die digitale Zukunft müssen wir alle aktiv gestalten.
Haben Sie da besondere Strategien?
Wir stellen zum Beispiel Lösungen sehr stark in den Vordergrund. Früher hat man gesagt, Information und Daten-Handling sind das wichtige, Informationen von A nach B bringen und digital Dokumente anschauen und speichern können. Heute wollen wir den Menschen intelligente Wissenslösungen, Lösungen mit Business-Intelligenz an die Hand geben, damit sie ihr Geschäft erfolgreicher machen können. Die Lösungen sollen den Menschen unterstützen und entlasten, egal ob er im Pflegedienst oder in der Produktion arbeitet.
Informationen über Wissen verfügbar zu machen, ist so ein wichtiges Thema, an dem wir arbeiten. Wir haben die Business Solution ELO Knowledge entwickelt, eine Lösung für Wissensmanagement, die das Sammeln und Bereitstellen von Wissen organisiert. Häufig heißt es: Warum soll ich mein Wissen preisgeben, das ist doch meins, nachher sammelt noch jemand damit meine Lorbeeren ein. Also braucht es intelligente Konzepte, die es ermöglichen, solches Wissen zu teilen und verfügbar zu machen. Das ist dadurch möglich, dass derjenige, der Wissen einbringt, dafür auch belohnt wird. So einen Mechanismus hat unsere neue Wissensmanagement-Lösung. Sie promotet Personen und bewertet Qualität und Quantität der Informationen derjenigen, die Wissen teilen und ins Unternehmen hineintragen.
Es ist unsere Absicht, bei unseren Kunden die Bereiche, in denen Menschen sitzen, die ihren Job erledigen müssen, bestmöglich zu unterstützen. Es ist die Zielsetzung unseres ECM-Portfolios, nicht nur Informationsverwaltung und -speicherung zu liefern, sondern tatsächlich Business Intelligence: Lösungen, die durch Erfahrungen mit der Zeit wachsen und deren Business-Logik immer intelligenter wird. Und immer sicherer.
Herr Mosbach, vielen Dank für das Gespräch.
Das Gespräch führte Volker Vorburg.
www.elo.com
Illustration: © Greens87/shutterstock.com
DSGVO: Fünf Punkte, die Unternehmen jetzt beim Datentransfer in Drittstaaten beachten müssen
DSGVO und »Privacy by Design«: Privatsphäre im Netz muss endlich selbstverständlich werden
DSGVO-konform mit datenzentrierter Strategie – Dreigeteilter Ansatz zur Erfüllung der DSGVO
Die DSGVO als Chance zur Verbesserung von Datenschutz und Sicherheit