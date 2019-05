Anzeige

Interview Datenschutz spielt kontrollierende Rolle Dr. Thomas Nowey, CISO und Konzerndatenschutzbeauftragter Krones Group, Syskron Security spricht über Datenschutz in Firmen.

Von Robert Torunsky, Wirtschaftszeitung

Regensburg.Herr Dr. Nowey, die Regelungen der EU-DSGVO gelten seit einem Jahr verbindlich. Wie sind Ihre Erfahrungen?

Dr. Thomas Nowey: Ich habe vor zwei Jahren einen Vortrag an der Techbase über die DSGVO gehalten und damals eher kritische Töne angeschlagen: Die vielen Schlagworte, das Fehlen von klaren Auslegungen und die große Ungewissheit haben mich zu einer gewissen Skepsis veranlasst. Nachdem ich mich mittlerweile zwei Jahre mit der DSGVO auseinandergesetzt habe, bin ich deutlich positiver eingestellt. Als Datenschutzbeauftragter begrüße ich es natürlich auch, dass der Datenschutz mehr ins Bewusstsein gerückt ist.

Wie hat es die Krones Group geschafft, dass die Mitarbeiter entsprechend sensibilisiert wurden?

Wir haben ein bereichsübergreifendes Kernprojektteam gegründet, dessen Mitglieder aus den Bereichen Datenschutz, IT, Human Ressources und Compliance stammten. Darüber hinaus haben wir in jedem Bereich und jeder Tochtergesellschaft einen Datenschutzkoordinator benannt, der als unmittelbarer Ansprechpartner vor Ort fungiert.

Welcher zeitliche Rahmen war vorgesehen?

Wir haben das Projekt so getimt, dass es zum Zeitpunkt der Verbindlichkeit der DSGVO fertig sein sollte, es dann aber um ein Jahr verlängert, um die angestoßenen Prozesse besser begleiten zu können. Datenschutz im Unternehmen hat eher eine beratende als eine kontrollierende Rolle. Meiner Ansicht nach muss viel über Datenschutz gesprochen werden, die Bewusstseinsbildung ist sehr wichtig.

„Ein einheitlicher Rechtsrahmen in der Europäischen Union strahlt in die ganze Welt aus. Das hat eine ganz andere Wirkung, als wenn nur Deutschland neue Datenschutzregelungen eingeführt hätte.“ Dr. Thomas Nowey



Ein wichtiger Aspekt der Bewusstseinsbildung ist ja auch die Privatnutzung von Firmenrechnern und -smartphones.

Absolut. Ich rate hier zu klaren Regelungen, beispielsweise im Zuge einer Betriebsvereinbarung. Ich empfehle, auf „Bring your own Device“-Ansätze zu verzichten, da sie noch wesentlich umfangreichere Regelwerke erfordern, und stattdessen auf betriebliches Equipment zu setzen. Bei der Krones Group nutzen wir ein Mobile-Device-Management, eine Container-Lösung, die betriebliche von privaten Apps trennt. Wichtig dabei ist, die Daten getrennt zu halten und beispielsweise den betrieblichen E-Mail-Account nicht privat zu nutzen. Durch die getrennte Datenspeicherung kann der Mitarbeiter bei einem Jobwechsel die privaten Daten behalten. Aus Unternehmenssicht ist dieser Ansatz von der Informationssicherheit getrieben, hat aber auch datenschutzrechtliche Aspekte.

In einem international tätigen Konzern wie Krones hat die DSGVO auch große Auswirkungen auf die Kommunikation. Gibt es durch die neuen Regelungen auch positive Auswirkungen?

Durchaus. Ein einheitlicher Rechtsrahmen in der Europäischen Union strahlt in die ganze Welt aus. Das hat eine ganz andere Wirkung, als wenn nur Deutschland neue Datenschutzregelungen eingeführt hätte. In einigen US-Bundesstaaten finden sich mittlerweile gewisse Strukturen, wie wir sie aus Europa kennen.

Wo sehen Sie Anpassungsbedarf bei der DSGVO?

Einige Richtlinien halte ich für zu komplex. Man sollte sich auf den Kern verständigen, damit die Intention klar ist. So werden lange Prüf- und Abstimmungsschleifen vermieden. Einige Bereiche der DSGVO sollten auf den Prüfstand gestellt werden, um Abläufe wieder zu vereinfachen. Ein Beispiel: Die Prüfung der entsprechenden Vertragswerke mit Cloud-Anbietern bedeutet auch für einen Konzern wie Krones Aufwand – für kleine und mittlere Unternehmen ist das fast unmöglich.

