Datenschutz ist ein Thema, das uns alle betrifft und in einer zunehmend digitalisierten Welt von großer Bedeutung ist. In diesem Interview sprechen wir mit Susanne Illge, Datenschutzbeauftragte bei FIO, über die Wichtigkeit des Datenschutzes sowie die Herausforderungen und blicken auf die aktuelle Situation.
Bei FIO sind Sie für den Datenschutz und das Vertragsmanagement zuständig. Was bringt Sie dazu, sich mit den Themen Datenschutz, Regularien und Gesetzen zu beschäftigen?
Der Datenschutz ist mir ein wichtiges Anliegen, das man aber nicht losgelöst für sich allein betrachten kann. Es spielen Rechtsnormen anderer Bereiche rein, und es sind unterschiedliche Interessen zu berücksichtigen. Meine Aufgabe besteht darin, vor dem Hintergrund der Gesetze für die berechtigten Interessen von Kunden, Betroffenen und dem Unternehmen rechtskonforme und praktikable Lösungen zu finden.
Vielleicht muss man dazu geboren sein, sich gern mit Gesetzestexten und Regularien auseinanderzusetzen. Ich kann nur sagen, ich mache das wirklich gern. Ich beschäftige mich gern mit komplexen Themen, und es fällt mir auch nicht schwer, das Wesentliche aus Texten zu ziehen, selbst wenn es nicht einfach formulierte Gesetzestexte sind. Was ebenso dazu beiträgt, dass ich viel Freude an meiner Arbeit habe, ist, dass wir im Team sehr gut zusammenarbeiten und auch viel lachen. Außerdem freue ich mich, wenn ich Kollegen oder Kunden mit meiner Arbeit unterstützen kann.
Die Vorschriften des Datenschutzes einzuhalten, sehen viele Unternehmen als sehr mühselig an. Doch warum ist der Datenschutz ein wichtiger Teil unserer Gesellschaft?
Natürlich kann es zusätzlichen Aufwand bedeuten, vor allem, wenn Vorschriften neu sind und erstmal in Unternehmensabläufe integriert werden müssen. Ich weiß noch, als die EU-DSGVO im Jahr 2018 in Kraft trat und wir alle unsere Auftragsverarbeitungsverträge neu erstellt und an alle Kunden versendet haben – das war kein Spaß, alle Verträge wieder unterschrieben zurückzubekommen. Und damit war es noch nicht getan! Doch inzwischen ist der Datenschutz in den meisten Unternehmen verankert und zur Normalität geworden. Dennoch kann es vor allem für kleinere Unternehmen oder Vereine eine große Anstrengung sein, sich mit Datenschutz zu beschäftigen. Ab einer bestimmten Größe ist man verpflichtet, dies zu tun.
Man sollte sich immer mal wieder bewusst machen, warum die DSGVO ins Leben gerufen wurde. Und zwar nur deshalb, um jeden Einzelnen von uns schützen in unserem Recht auf Privatsphäre und informationelle Selbstbestimmung. Ich würde sagen: Datenschutz ist der Schutzschild für unsere Privatsphäre in einer vernetzten Welt. Mit dem Datenschutz wird das Vertrauen in die digitale Gesellschaft erhalten. Der Perspektivwechsel macht den Unterschied: Als Unternehmen ist man vielleicht genervt über manche gesetzlichen Vorgaben, weil es zusätzlichen bürokratischen Aufwand bedeutet oder etwas reglementiert wird. Als Privatperson weiß man aber doch zu schätzen, dass persönliche Daten nicht unkontrolliert gesammelt, verwendet oder verbreitet werden dürfen und diese bestmöglich geschützt werden müssen, sodass sie nicht ohne Weiteres gehackt und kriminell verwendet werden können.
Für FIO ist der Datenschutz enorm wichtig. Wie äußert sich das im Unternehmen?
FIO entwickelt Softwarelösungen für die Finanz- und Immobilienwirtschaft, eine Branche, bei der sensible Daten und Prozesse und damit auch Datenschutz und IT-Sicherheit eine sehr große Rolle spielen. Bei FIO zeigt sich das u. a. in der grundlegenden Softwarearchitektur, geht mit bestimmten Datenschutzvoreinstellungen in den Softwarelösungen weiter und hört bei geregelten Arbeitsabläufen und Verantwortungsbereichen im Unternehmen noch nicht auf. Alle Mitarbeiter werden zu Beginn ihrer Tätigkeit über Hypoport geschult. Als Hypoport-Tochter sind wir in die Datenschutzorganisation des Konzerns eingebunden. Wir flankieren diese zusätzlich mit FIO-spezifischen Schulungen.
Wie stellt man fest, dass die Maßnahmen ausreichend sind?
Neben eigenen, internen Kontrollen lassen wir uns als Unternehmen und die einzelnen Softwarelösungen durch Dritte prüfen. Hierbei gibt es unterschiedliche Schwerpunkte: Im Bereich IT-Sicherheit beauftragen wir zum Beispiel Unternehmen, die sich auf das Hacking von Daten spezialisiert haben. Die beauftragten Hacker versuchen dann, unser Rechenzentrum anzugreifen, um mögliche Schwachstellen auszumachen. Erst vor kurzem haben wir so einen Test bestanden. Die engagierten Angreifer konnten nicht in unsere Systeme eindringen. Wir lassen aber auch unsere Arbeitsabläufe prüfen. Dann wird geschaut, ob die Prozessketten stimmig und in Form von Anleitungen und Mitarbeiteranweisungen dokumentiert sind. Ob die Produkte, also unsere Softwarelösungen, so funktionieren, wie sie sollen, lassen wir ebenfalls regelmäßig prüfen.
Zu den internen Kontrollen gehören zum Beispiel die Qualitätssicherungen der Produkte durch unsere QA-Abteilungen und das 4-Augen-Prinzip in vielen Bereichen. Unsere Admins, die für die Rechenzentren zuständig sind, führen aufgrund von vorher definierten Szenarien Notfallübungen durch und testen so, ob sie im Ernstfall angemessen reagieren könnten.
Welchen „sichtbaren“ Schutz betreibt FIO?
Wir stellen unseren Kunden Zertifikate und andere Nachweisdokumente zur Verfügung, die zeigen, dass wir bestimmte Datenschutzstandards erfüllen und effektive Datenschutzmaßnahmen implementiert haben. In Form von Datenschutzaudits können sich unsere Kunden nach Anmeldung auch persönlich von unseren Maßnahmen überzeugen.
Grundsätzlich passiert aber vieles im Hintergrund und ist nicht direkt sichtbar. Es gibt viele geschützte Bereiche mit reglementierten Zugangs- oder Zutrittsregelungen. Zunächst einmal können Gäste oder Fremde das Gelände und die Büros nicht einfach betreten. Man muss am Tor klingeln und wird hereingelassen. In bestimmten Büros laufen Überwachungsmonitore, aber auch die sind nur den dafür zuständigen Personen vorbehalten und vor den Augen von Dritten geschützt.
Unsere Softwarelösungen werden in einem modernen Hochsicherheitsrechenzentrum betrieben, welches 2020 gebaut wurde. Da sind die neuesten Erkenntnisse hinsichtlich des Schutzes von Daten in den Bau des Gebäudes mit eingeflossen. Auch dieses Gebäude kann man nicht einfach betreten. Selbst unsere dafür zuständigen Admins kommen nicht einfach so ohne Anmeldung und ohne Überprüfung der Personalien in das Gebäude.
Datenschutz ist eng mit dem Thema Vertrauen verbunden. Wie können Unternehmen das Vertrauen ihrer Kunden gewinnen und aufrechterhalten?
Transparenz trägt wesentlich dazu bei, Vertrauen zu schaffen. Auf Webseiten merkt man recht schnell, wie mit dem Thema umgegangen wird. Zusätzlich können Unternehmen ihre Produkte oder Services Datenschutzaudits oder ähnlichen Prüfungen unterziehen lassen und in Form von Jahresdatenschutzberichten über wesentliche Tätigkeiten und Ereignisse berichten. FIO veröffentlicht solche Jahresdatenschutzberichte und hält darüber hinaus für jede Softwarelösung ein eigenes IT-Sicherheitskonzept vor. Außerdem bieten wir unseren Kunden einen Updateservice an. Registrierte Kunden erhalten dann eine Nachricht per E-Mail, sobald neue Dokumente im Bereich Datenschutz und IT-Sicherheit zur Verfügung stehen, und können sich diese dann über eine sichere Plattform, die FIO-Box, für die eigenen Unterlagen downloaden. Unsere Kunden im Banken- und Sparkassenbereich nehmen diesen Service besonders gern an, da sie enorm viel dokumentieren, kontrollieren und nachweisen müssen, wenn sie externe Dienstleister einsetzen.
Insbesondere bei der Verwendung US-amerikanischer Software gab es in der Vergangenheit Probleme. Können diese auch bald wieder vertrauensvoll eingesetzt werden?
Das Datenschutzabkommen mit den USA wird gerade neu verhandelt, um eine stabilere rechtliche Grundlage für den Datenaustausch mit den USA zu schaffen. Wenn dieses verabschiedet ist, wird es hoffentlich einfacher, US-amerikanische Software datenschutzkonform einzusetzen, denn viele US-amerikanische Softwarelösungen sind vom Handling und den Einsatzmöglichkeiten konkurrenzlos. Die größeren US-amerikanischen Unternehmen wissen auch, welche Relevanz der Datenschutz in Europa hat, und kommen den europäischen Kunden entgegen. So kann man beispielsweise vereinbaren, dass die Rechenzentren zur Datenverarbeitung in Europa stehen, und man kann in Produkten datenschutzfreundliche Voreinstellungen wählen. Man kann aber nicht zu 100 % ausschließen, dass Daten in die USA gehen. Der Datenschutz in den USA ist mit dem in Europa nicht vergleichbar.
Künstliche Intelligenzen sind in aller Munde. Wie gehen KIs, die ja Daten brauchen, um zu lernen, mit dem Datenschutz konform?
Künstliche Intelligenzen erleichtern schon jetzt in vielen Bereich Alltag und Arbeit. Sie benötigen in den überwiegenden Fällen keine personenbezogenen Daten, um zu lernen, das geht auch mit anonymisierten oder pseudonymisierten Daten. KI entwickelt sich unheimlich schnell und die Einsatzbereiche werden immer breiter. Deshalb ist es sehr wichtig, den Datenschutz von vorneherein mitzudenken und auch frühzeitig Regelungen zu treffen.
Es ging gerade ein Beispiel durch die Medien, an dem wir sehen, dass es Grenzen braucht:
Eine Bank musste wegen mangelnder Transparenz bei einer automatisierten Entscheidung ein Bußgeld in Höhe von 300.000 Euro zahlen. Was war passiert? Es hatte jemand eine neue Kreditkarte bei der Bank beantragt. Zur Bearbeitung wurde von der Bank ein Algorithmus eingesetzt, der verschiedene Angaben des Antragstellers und Daten aus weiteren Quellen verarbeitete. Der Algorithmus lehnte den Antrag des Kunden ungerechtfertigt ab. Die Nachfragen des Kunden wurden nur oberflächlich beantwortet. Automatisierte Entscheidungen verbunden mit mangelnder Transparenz wie in dem vorliegenden Fall sind gemäß DSGVO unzulässig. Die Entscheidungsfindung, wie damit umzugehen ist, war durch die DSGVO abgedeckt.
Jetzt in den Zeiten der Digitalisierung und der eben erwähnten KIs werden immer mehr Daten gesammelt. Glauben Sie, dass in der Zukunft ein Umdenken zum Thema Datenschutz nötig wird?
Das ist schwierig zu beantworten, inwieweit ein Umdenken notwendig wird. Der Fortschritt von KI ist unaufhaltsam und deshalb ist es sehr wichtig, dass dies unter bestimmten Voraussetzungen geschieht. Wie viele Bereiche, muss sich auch der Datenschutz den sich ändernden Rahmenbedingungen anpassen. Dabei muss man viele Ansatzpunkte und Szenarien im Blick haben und die Interessen vieler Parteien in Einklang bringen. Das ist und wird nicht einfach.
Zum Abschluss haben wir noch 5 Phrasen zum Thema Datenschutz mitgebracht und sind gespannt auf Ihre Antwort.
„Datenschutz ist für mich nicht wichtig, denn ich habe ja nichts zu verbergen.“
Natürlich entscheidet jeder selbst, wie viel er von sich preisgeben möchte. Das Internet vergisst aber nicht. Wir haben alle schon von Fällen gehört, in denen Partyfotos beim Arbeitgeber landeten. Auch in Anbetracht von immer besser auswertbaren Datenquellen oder Cyberkriminalität sollte man sich überlegen, was man alles von sich preisgibt. Deshalb finde ich wichtig, dass andere nicht uneingeschränkt Informationen einholen dürfen. Wenn man einen Newsletter abonnieren möchte, wozu benötigt der Anbieter zum Beispiel die Wohnanschrift oder das Geburtsdatum? Es gab Zeiten, da konnte alles per Pflichtfeld abgefragt werden, auch wenn es für den Zweck nicht relevant war.
„Das geht nicht wegen Datenschutz.“
Der Datenschutz wird immer gerne vorgeschoben, um sich nicht mit einem Thema auseinander setzen zu müssen. Manchmal sind Unternehmen in der Umsetzung der DSGVO aber auch etwas übereifrig. Es braucht nicht für jeden Vorgang eine Checkbox zur Bestätigung, und es ist nicht immer alles verboten. Daher kommt vielleicht dieser Unmut, weil man sich nicht genügend mit dem Thema auseinandergesetzt hat oder vielleicht zu viel macht oder gar nichts macht, weil man nichts verkehrt machen möchte. Und die Angst, nichts verkehrt machen zu wollen, kann ich durchaus nachvollziehen, denn ein Datenschutzverstoß kann echt richtig teuer werden, sowohl finanziell als auch im Hinblick auf den Imageschaden. Doch umso tiefer man sich damit beschäftigt, desto sicherer wird man im Umgang.
Was ich richtig schade finde, ist, dass sich sogenannte Abmahn-Anwälte darauf spezialisiert haben, Schwachstellen auf Webseiten ausfindig zu machen und Unternehmen abzumahnen. Das hat dann mit Datenschutz nichts mehr zu tun.
„Datenschutz ist schuld an der schleppenden Digitalisierung.“
Auch hier wird der Datenschutz immer wieder gerne vorgeschoben. Doch hier sage ich ebenfalls: Wenn man sich mit dem Datenschutz beschäftigt, stellt man fest, dass dieser im Allgemeinen nicht überreglementiert. Die langsame Digitalisierung liegt wohl eher an schleppender Politik und unbesetzten Stellen.
„Mit Datenschutz können wir gar keine Werbung mehr machen.“
Das ist eine Frage der Umsetzung. Wenn man da ordentlich beraten wird, wie man datenschutzkonform Werbung macht, geht auch das.
Hier kommt zudem das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) ins Spiel, dass den Einsatz von Cookiebannern regelt. Das ist zum Beispiel etwas, das mich als Person manchmal nervt, obwohl ich weiß, wofür das Cookiebanner gut ist.
„Andere tun das doch auch.“
Das erinnert mich an den Satz, den Eltern gerne sagen: „Wenn andere von der Brücke springen, machst du das dann auch?“ Ich kann mich nicht darauf berufen, dass die anderen das auch tun. Wer wegen Fehlverhalten ins Visier kommt, kann mit dieser Ausrede leider nicht punkten.
Susanne Illge, interne Datenschutzbeauftragte (TÜV) / Referentin des Vorstands für Vertragsmanagement
Seit 2008 arbeitet Susanne Illge bereits für FIO, zunächst im Bereich der FIO Vermarktungslösungen, anschließend war sie 10 Jahre als Assistentin des Vorstands und als Leiterin Marketing im Unternehmen tätig. Seit 2021 ist sie in der Abteilung Vertragsmanagement und hat im Jahr 2022 zusätzlich die Aufgaben der internen Datenschutzbeauftragten bei FIO übernommen.