Corona – Digitalisierung, DSGVO, Kritis und Co
„Oh Herrgott, hilf!“ – so mag mancher dieser Tage ausrufen. Fragen, die Unternehmern und Selbstständigen derzeit schlaflose Nächte bescheren: Wie bekomme ich mein Unternehmen nur durch diese Krise? Wie sichere ich die Produktion? Wie bewältige ich all die Auflagen des Gesundheitsamtes, die sich auch noch von Tag zu Tag ändern? Und wie komme ich denn nun an die Fördergelder, die es doch geben soll?
Wären diese Aufgaben eigentlich nicht schon genug, gibt es da ja auch noch die Compliance – also die Auflagen im Umfeld des Datenschutzes, der Systemrelevanz, von Kritis, Cloud und Weiteren. Braucht man das in diesen Zeiten wirklich? Denn es ist doch jetzt Krise, und Krise bedeutet, unnützen Ballast über Bord zu werfen.
Ja, es ist jetzt Krise, und in der Krise ist es auch an der Zeit, alte Zöpfe abzuschneiden und unnützen Ballast über Bord zu werfen. Dabei gilt es aber dennoch aufzupassen, dass man nicht das Kind mit dem Bade ausschüttet und beispielsweise gute Mitarbeiter entlässt, nur um anschließend festzustellen, dass ohne sie nichts mehr zu funktionieren scheint.
Die Krise ist also auch die Zeit, um innezuhalten, die bisherige Strategie zu hinterfragen, Kurskorrekturen vorzunehmen und sich anschließend an den Wiederaufstieg zu machen. In diesem Zusammenhang sind Unternehmer aktuell gut beraten, die Entschleunigung durch Corona zu nutzen, um sich die folgenden Fragen zu stellen:
- Warum bestellen eigentlich so viele Menschen bei Amazon? Die Menschen bestellen bei Amazon, weil es bequem ist, die georderte Ware zeitnah beim Kunden ankommt und die persönlichen Daten dort sicher gespeichert sind. Zudem werden Mails an den Kundendienst auch samstagabends nach 22 Uhr bereits nach wenigen Minuten beantwortet.
Insbesondere die Datensicherheit ist dabei ein Thema, das Unternehmer seit Längerem in Atem hält. In puncto Sicherheit personenbezogener Daten haben sich nämlich viele schon vor der Krise die Frage nach der Sinnhaftigkeit der DSGVO und all ihren Auflagen gestellt. Doch was verlangt dieses Werk denn nun wirklich?
Die DSGVO fordert, dass so wenig Daten wie möglich gespeichert und so wenig Daten wie möglich gesammelt werden – und dass der Endkunde darüber informiert wird, wenn es dann doch zu einem Sicherheitsvorfall kommen sollte. Was das im Einzelfall für die Praxis heißt, ist nicht immer leicht zu definieren, vor allem wenn es um die Verarbeitung personenbezogener Daten geht.
Befindet sich ein Mitarbeiter beispielsweise auf einem Messestand und bekommt dort die Visitenkarte eines Interessenten, damit dieser nach der Messe für weitere Gespräche kontaktiert werden kann, hat er damit die Zustimmung zur Verarbeitung der Kontaktdaten erhalten. Wer ein neues Konto bei einer Bank eröffnen möchte, muss wissen, dass das nur funktioniert, wenn seine Daten auch abgespeichert werden. Diese Daten sind sinnvoll und notwendig. Was nicht notwendig ist: wenn jemand seine Mutter zum fünften Mal innerhalb eines Jahres in ein- und dasselbe Krankenhaus bringt und dort wiederholt aufgefordert wird, sechs mehrseitige Formulare zu unterschreiben, die es dem Krankenhaus gestatten, einen Bericht über den Aufenthalt an den Hausarzt der Mutter zu senden. Dies hat mit der DSGVO nichts zu tun, schafft keine Datensicherheit, sondern verursacht nur unnötige Kosten. Daten sammeln kostet Geld, Daten eingeben kostet Geld, der Betrieb der Datenbanken kostet sehr viel Geld. Sind die Daten dann aufgrund von Stammdatenfehlern auch noch unbrauchbar, ist das Geschäft schnell gefährdet.
Es empfiehlt sich daher, insbesondere in Krisenzeiten, eine Überarbeitung und Säuberung des eigenen Datenbestands. Dabei werden nicht nur Datenbestände auf den aktuellen Stand gebracht, sondern auch nicht mehr benötigte Datenbanken konsequent gelöscht und die dazugehörigen Datenbank-Lizenzen an die Lieferanten zurückgegeben. Kaum ein Unternehmer ist sich bewusst, wie massiv auf diese Weise Kosten reduziert werden können.
- Wie ist die Digitalisierung im eigenen Unternehmen konkret anzugehen? Müssen beispielsweise die Daten dafür nicht alle in die Cloud?
Nein, das müssen sie nicht. Insbesondere dann nicht, wenn der betreffende Cloud-Anbieter, der den potenziellen Kunden übertrieben detailliert vorrechnet, wie viel Geld sie sparen können, noch nie etwas vom Auftragsdatenverarbeitungsgesetz gehört hat. Cloud bedeutet immer, dass Daten in ein Rechenzentrum außerhalb des eigenen Firmensitzes geraten, die Verantwortung für deren Sicherheit aber weiter beim jeweiligen Unternehmen bleibt. Zudem ist zu beachten, dass die Mietangebote mit ihren künstlich heruntergerechneten Basispreisen auf den ersten Blick immer verlockend wirken. Was dabei aber oft vergessen wird, ist, dass diese Angebote auch ein konsequentes Management der eingekauften IT-Dienstleistungen erfordern. So muss z. B. eine für Zeiten des erhöhten Bedarfs kurzfristig angemietete Mehrkapazität auch konsequent wieder gekündigt werden. Andernfalls laufen hier die Kosten, wie bei der AWS Cloud, mit einem Verzug von sieben bis acht Wochen nach dem Sonderbedarf, aus dem Ruder. Mitunter ist es also ratsam, der IT doch die neuen Server zu genehmigen, die bereits vor einiger Zeit angefragt wurden. Das ist langfristig oft billiger als eine vermeintlich günstige Cloud-Lösung.
- Kritis & Systemrelevanz – was hat das denn mit dem eigenen Unternehmen zu tun? Warum sollte man interne Fehler, zu denen es in der Verwaltung oder im Betrieb gekommen ist, öffentlich bekannt machen?
Der Hintergrund: Im Jahr 2017 veranlassten diverse Virenattacken und sog. Cyber-Security-Vorfälle, die bedeutende Schäden in deutschen Unternehmen angerichtet haben, den Bund, Richtlinien zum Schutz von systemrelevanten Bereichen und Infrastrukturen voranzutreiben. Insgesamt gibt es hier neun Wirtschaftssektoren, die von dieser Gesetzgebung betroffen sind:
- Energie: Elektrizität, Gas, Mineralöl (§ 2 BSI-KritisV)
- Wasser: Wasserversorgung, Abwasserbeseitigung (§ 3 BSI-KritisV)
- Ernährung: Ernährungswirtschaft, Lebensmittelhandel (§ 4 BSI-KritisV)
- Informationstechnik und Telekommunikation (§ 5 BSI-KritisV)
- Gesundheit: medizinische Versorgung, Arzneimittel, Labore (§ 6 BSI-KritisV)
- Finanz- und Versicherungswesen: Banken, Versicherungen (§ 7 BSI-KritisV)
- Transport und Verkehr: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik (§ 8 BSI-KritisV)
- Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/Katastrophenschutz
- Medien und Kultur: Fernsehen, Radio und Presse
Wer sich und sein Unternehmen in einem dieser Sektoren wiederfindet, der sollte sich zunächst einige der Vorteile vor Augen führen:
- Für die Kinder der Mitarbeiter gibt es aktuell einen Notbetrieb in den Kindertagesstätten.
- Fällt Strom und/oder Internet großflächig aus, kommt der Entstördienst zuerst zu den systemrelevanten Betrieben, nicht zum lokalen Ableger des großen, internationalen Chemie-Konzerns auf der anderen Straßenseite.
Im Umkehrschluss verlangt die Kritis-Gesetzgebung jedoch, dass die jeweiligen Unternehmen über ein angemessenes Sicherheitskonzept in der IT verfügen und immer wissen, was in ihrem lokalen Datennetz gerade passiert – eine Herausforderung, der nicht jede firmeninterne IT-Abteilung gewachsen ist und die dann mit entsprechend fachkundiger Hilfe von außen bewältigt werden muss.
Langfristig wird es im Zeitalter der Digitalisierung eine Zweiklassengesellschaft geben, gespalten in die Systemrelevanten und die Systemirrelevanten. Jedes Unternehmen, das sich zukunftssicher am Markt platzieren will, muss daher zusehen, sich bei Ersteren einzureihen.
Buchtipp: „Digital Insights – Digitalisierung: 7 Sichtweisen aus der Praxis“
Weiterführende Informationen zum Thema und zum Autor Ludger Wiedemeier finden sich im Buch „Digital Insights – Digitalisierung: 7 Sichtweisen aus der Praxis“, in dem sieben erfolgreiche Interim Manager direkt aus der Praxis berichten und Megatrends, technische Innovationen sowie unternehmerische, prozessuale, ethische, gesellschaftliche und globale Fragen beleuchten. „Digital Insights – Digitalisierung: 7 Sichtweisen aus der Praxis“ ist im Best Practice Verlag erschienen und kostet 39,90 Euro. Weitere Informationen: https://bestpractice-media.de/digital-insights-digitalisierung-7-sichtweisen-aus-der-praxis
Ludger Wiedemeier
Ludger Wiedemeier ist IT-Allrounder, der als Interim Manager oder IT-Projektleiter immer dann gerufen wird, wenn IT-Probleme drohen, Millionenschäden zu verursachen. Kaum eine Software, die er nicht kennt, kaum eine Zertifizierung, die er nicht vorweisen kann. Er gilt branchenübergreifend als IT-Krisen-Manager. Er leitet Projekte in KMU und internationalen Konzernen rund um IT-Infrastruktur, IT-Sicherheit und IT-Governance. Risiken abzuschätzen, sichere Schnittstellen zu schaffen und IT-Anwendungen so zu gestalten, dass sie beherrschbar bleiben, ist seine Passion.