Interview über die Beratungserfordernisse bei der Datensicherheit

Permanenter Beratungsbedarf

26. Juli 2017
von Börsenblatt
Was die Buchbranche über IT-Sicherheit wissen muss. Ratschläge des Datenschutzexperten Niels Lepperhoff.

Was müssen Unternehmen aus der Buchbranche bei Datenschutz und Datensicherheit beachten?
Zunächst muss man die beiden Begriffe voneinander abgrenzen. Datenschutz ist die Frage, was bei der Verarbeitung personenbezogener Daten zulässig ist. Bei der Datensicherheit geht es darum, wie ein Unternehmen die Integrität, Verfügbarkeit und Vertraulichkeit seiner Daten gewährleistet, seien es personenbezogene Daten oder elektronische Werte, wie E-Books und dergleichen. Bei der Datensicherheit gilt es, diverse Szenarien zu antizipieren: Was bedroht mich? Wie groß ist das Risiko? Das muss nicht immer ein Hacker-Angriff, sondern kann auch ein Strom- oder Serverausfall sein, aufgrund dessen meine Kunden auf einmal keine E-Books mehr lesen können.

Wo stehen Verlage und Buchhändler?
Die Standards beim Thema Datenschutz und Datensicherheit hängen von den finanziellen Ressourcen ab und davon, wie stark das Thema die Geschäftsführung interessiert. Teuer ist nicht immer gleichzusetzen mit gut, es ist vielmehr eine Frage des Konzepts und wie gut ein Unternehmen beraten ist, egal ob intern oder extern. Die ersten Fragen, die sich die zuständigen Personen stellen sollten: Wen kaufe ich ein? Beziehungsweise: Wen bilde ich aus?

Welchen Weg empfehlen Sie?
Ich rate, mit Anwälten und Datenschutzbeauftragten zusammenzuarbeiten. Internes Know-how aufzubauen, rechnet sich meist auch für mittelgroße Unternehmen nicht. In vielen Unternehmen kümmern sich ohnehin nur ein, zwei Menschen um das Thema, und das meist nebenbei. Natürlich kann man Fachliteratur lesen und hochwertige Newsletter wie etwa von "Trusted Shops" oder vom Bundesamt für Sicherheit in der Informations­technik (BSI) abonnieren. Da bekommt man einen guten Überblick. Trotzdem wäre es in dieser Konstellation einfach unmöglich, laufend alle Gesetze, Urteile und Änderungen auf dem Kasten zu haben.

Wo lauern die größten Gefahren?
In den bereits erwähnten Sicherheits­lücken. Die weitverbreitete, aber falsche Logik ist oft: "Mich greift keiner an, ich bin klein." Irrtum. Die Täter suchen sich alle Opfer mit einer Lücke X. Es ist ihnen völlig egal, um wen es sich handelt, sofern keine gezielte Erpressung oder Sabotage eines Konkurrenten vorliegt. Man muss das jeweilige "Geschäftsmodell" der Angreifer definieren. Jede Kombination aus E-Mail-Adresse und Passwort bringt heute auf dem Schwarzmarkt ein paar Euro. Wenn ein Kunde dann dasselbe Passwort auch bei anderen Diensten verwendet, werden mit einem Schlag viele Anbieter kompromittiert, selbst wenn nur einer betroffen war.

Wie gravierend wird die EU-Datenschutz-Grundverordnung im kommenden Jahr das Geschäft verändern?
Die Datenschutz-Grundverordnung ist ein spannendes Experiment – zum ersten Mal wird ein komplexes Querschnittsthema, der Datenschutz, in allen EU-Ländern gleich behandelt. Das ist durchaus wünschenswert. Andererseits müssen wir ab Mai 2018 leider vieles, was wir bislang an Erfahrungswerten gesammelt haben, kritisch hinterfragen. Nur ein Beispiel: Durch die neue Rechenschaftspflicht – umgangssprachlich Beweislastumkehr – muss ein Unternehmen nachweisen, dass es immer korrekt gehandelt hat. Da braucht sich nur ein Kunde zu beschweren. weil er einen Newsletter erhalten hat, den er angeblich nicht bestellt hat. In Zukunft können solche Beschwerden und Anfragen aus ganz Europa kommen.

Wie können sich Verlage auf die neuen Gesetze vorbereiten?
Mein Rat ist, die neuen Regelungen ernst zu nehmen und schnell zu handeln. Die Komplexität kann man nicht unterschätzen. Die verbleibenden zehn Monate Umstellungszeit sind knapp, am 25. Mai 2018 beginnt ein neues Recht, und es gibt keine Übergangsfristen. Im Prinzip muss ein Unternehmen bis dahin Verträge mit Dienstleistern und alle internen Abläufe überprüfen sowie die notwendige Dokumentation aufbauen – das ist eine Heidenarbeit.


Niels Lepperhoff ist Geschäftsführer des Datenschutz-Beratungsunternehmens Xamit Bewertungsgesellschaft mbH