Im Interview mit Dr. Ralf W. Schadowski, Vorstand im Bundesfachverband der IT-Sachverständigen BISG e.V. und aktives Mitglied in der Gesellschaft für Datenschutz und Datensicherheit GDD e.V.
Dr. Ralf W. Schadowski ist eine herausragende Persönlichkeit im Bereich Datenschutz und Informationssicherheit, bringt dazu eine wirklich beeindruckende Palette von Qualifikationen und Erfahrungen mit und zeichnet als Geschäftsführer für die datenschutz- wie IT-sicherheitsrelevante Leitung und strategische Ausrichtung von Unternehmen verantwortlich. Er ist ein ISO/IEC 17024 zertifizierter und überwachter europäischer Datenschutzbeauftragter, was seine hohe Fachkompetenz in Datenschutzfragen unterstreicht. Zudem besitzt er die Zertifizierungen als ISO/IEC 27001 zertifizierter Lead Auditor und Implementer sowie als ISO/IEC 27701 zertifizierter Lead Implementer. Dies demonstriert seine Fähigkeit zur Implementierung von Informationssicherheits- und Datenschutz-Managementsystemen auf höchstem Niveau.
Dr. Schadowski ist nicht nur im Rahmen von Zertifizierungen und Audits aktiv, sondern auch als Fachgruppenleiter für Datenschutz und Vorstandsmitglied im renommierten Bundesfachverband der IT-Sachverständigen BISG e.V. Hier setzt er sich für die Förderung von IT-Sicherheits- sowie Datenschutz-Fachwissen und dementsprechenden bewährten Praktiken ein. Darüber hinaus engagiert sich der Experte in der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., einer angesehenen Datenschutz- und Datensicherheits-Organisation, wo er sein Wissen mit anderen Spezialisten teilt und in die Gestaltung von Datenschutzrichtlinien und -praktiken einbringt. Durch seine umfangreichen Kompetenzen ist Dr. Schadowski Schlüsselfigur sowie Meinungsbildner in puncto Datenschutz und IT-Sicherheit in Deutschland. Und damit für uns der ideale Gesprächspartner, um zu erfahren, ob Datenschutz im kommenden Jahr insbesondere für den Mittelstand businessfördernd oder -hemmend wird.
DIGITAL FUTUREmag: Herr Schadowski, mit der Einführung der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union wurde der Datenschutz in Deutschland sowie international weiter harmonisiert und gestärkt. Soweit die Theorie.Hat die DSGVO ihre Ziele erreicht?
Dr. Ralf W. Schadowski: Die DSGVO hat erreicht, dass viele Organisationen endlich mit der Umsetzung der Datenschutzanforderung begonnen, eine ganze Menge aber noch nicht einmal die grundlegenden Dinge im Datenschutz angepackt haben. Die Daten gehören dem Betroffenen, und die Einhaltung deren Grundrechte muss jede Organisation nachweisen können. Es ist unfassbar, was wir in den letzten 1.000 Audits teilweise feststellen mussten. Es wird Zeit, dass Verantwortliche bei Fahrlässigkeit endlich in die persönliche Haftung gehen müssen. Dann bewegt sich das auch. Auf der anderen Seite wird die DSGVO teils zu scharf umgesetzt und führt zur Innovationsbremse. Hier braucht es Augenmaß!
DIGITAL FUTUREmag: Wie kann der Datenschutz in Unternehmen effektiv in die Planung und Umsetzung digitaler Transformationsprojekte integriert werden, um Risiken zu minimieren?
Dr. Ralf W. Schadowski: Am Ende des Tages geht es doch um Kontrolle über Daten. Keine Organisation will Daten verlieren und an einen Pranger kommen. Die Anforderungen der DSGVO sollten verantwortliche Geschäftsführer und Vorstände als Leitplanken verstehen, nicht als Bürde. Dann hilft Datenschutz nicht nur personenbezogene, sondern jegliche Daten unter Kontrolle zu halten.
DIGITAL FUTUREmag: Welche bewährten Praktiken und Strategien empfehlen Sie Firmen, um die Datenschutzanforderungen in einer sich ständig verändernden digitalen Umgebung zu erfüllen?
Dr. Ralf W. Schadowski: Die Datenschützer haben Werkzeuge wie zum Beispiel die Verfahrensverzeichnisse nach Artikel 30 DSGVO, in der Organisationen nicht nur datenschutzrechtliche Pflichtdokumentation führen, sondern eine wertvolle Prozessdokumentation darstellen und jede Organisation stabilisieren. Bei Veränderungen, etwa bei der Einführung von Cloud-Technologien oder durch Systemveränderungen, ist so ein geordneter Ablauf zu Gunsten der Organisation sichergestellt.
DIGITAL FUTUREmag: Wie schaffen es Verantwortliche, dass sie die geltenden Datenschutzvorschriften in verschiedenen Ländern und Regionen einhalten, insbesondere in Anbetracht der globalen Reichweite digitaler Geschäftsmodelle?
Dr. Ralf W. Schadowski: Oft fehlt es an einer IT-Prozess- und System-Dokumentation, weil interne Abteilungen überlastet sind und das nicht auch noch nebenher erledigen können. Hat man das “Bild der Prozess- und Systemlandschaft” einmal erstellt, ist es ein Leichtes, den Überblick zu behalten, bei jedem Verarbeitungsort und -weg die richtigen Maßnahmen einzuleiten sowie bei Änderungen anzupassen. Ordnung ist das halbe Leben. International treffen wir auf zahlreiche abweichende Regelungen und Normen, die über eine Matrix-Bewertung zu einem akzeptierten Unternehmens-Standard führen. So können globale Datenströme rechtskonform stattfinden.
DIGITAL FUTUREmag: Inwiefern kann Datenschutz als Wettbewerbsvorteil und Wegbereiter für innovative Geschäftsmodelle dienen, anstatt als Hindernis?
Dr. Ralf W. Schadowski: Wir bedienen aktuell 400 Organisationen in nahezu allen Branchen, regional bis global. Querbeet erhalten die Organisationen “Lieferantenaudits”, man spricht von Supply Chain, ob nun DSGVO, NIS2, DORA, CER, et cetera. Besteht die Organisation das Audit nicht, verliert sie unmittelbar den Auftrag, Geld, Jobs und so weiter. Die Anforderungen sind nicht kompliziert, es fehlt an Aufmerksamkeit und Interesse, grundlegende Anforderungen an Datensicherheit umzusetzen. Einmal durchgeführt, sollten Organisationen den Reifegrad nach außen zeigen.
DIGITAL FUTUREmag: Wie kann eine proaktive Datenschutzstrategie dazu beitragen, das Risiko von Daten- und Datenschutzverletzungen zu minimieren sowie gleichzeitig das Vertrauen der Kunden zu erhöhen?
Dr. Ralf W. Schadowski: Organisationen sollten einen einfachen, leistbaren Implementierungs- und Auditplan erstellen und verwirklichen. Die Ergebnisse sollten den Geschäftspartnern unaufgefordert mitgeteilt werden. Das stärkt in heutigen Zeiten das Vertrauen nicht nur in Geschäftsbeziehungen, sondern auch in den Arbeitgeber!
DIGITAL FUTUREmag: Welche erfolgreichen Unternehmen gibt es, die den Datenschutz als integralen Strategiebestandteil nutzen, um das Customer Trust zu stärken und ihre Marktposition zu optimieren?
Dr. Ralf W. Schadowski: Ich darf keine Namen nennen. Es gibt zahlreiche Veröffentlichungen, die zeigen, welche Unternehmen Daten verloren, erpresst wurden oder auch Ordnungsgelder erhielten. Jeder hat Zugriff. Lernen wir aus den Fehlern, die dort gemacht wurden und sorgen dafür, dass sich genau das nicht wiederholen kann. Mit einfachen Mitteln und gesundem Menschenverstand wären diese Organisationen nicht in die Schlagzeilen geraten.
DIGITAL FUTUREmag: Welche Tools und Technologien stehen Firmen zur Verfügung, um Datenschutz-Compliance zu erleichtern und gleichzeitig Geschäftswachstum zu fördern?
Dr. Ralf W. Schadowski: Je nach Branche und Größe einer Organisation können erfahrene Datenschutzbeauftragte mit Bordmitteln ein funktionierendes DSMS, also Datenschutz-Managementsystem, aufbauen und betreiben. Der Aufwand ist übersichtlich und stabilisiert die Resilienz der Abläufe. Fertige DSMS Tools in der Cloud geben Einsteigern eine Orientierung, aber benötigen zusätzliches Budget und führen zu Abhängigkeiten.
DIGITAL FUTUREmag: Wie können Entscheider sicherstellen, dass die ISO 27.001-Zertifizierung nicht nur ein bürokratischer Prozess ist, sondern tatsächlich dazu führt, die Informationssicherheit zu verbessern?
Dr. Ralf W. Schadowski: Als erfahrener ISO 27001 Senior Implementer und Auditor stelle ich fest, dass die meisten Organisationen im Rahmen der ISO 27001 erstmals systematisch über Risiko-Management und fundamentale IT-Sicherheitsprinzipien nachdenken. Das ist der eigentliche Gewinn für jede Organisation, die eine Zertifizierung anstrebt. Die nachfolgenden „internen Auditierungen“ helfen ihr, Bedrohungen aufmerksam wahrzunehmen und widerstandsfähiger zu sein.
DIGITAL FUTUREmag: Die Künstliche Intelligenz ist weltweit auf dem Vormarsch. Welche Rolle spielen neue Technologien wie diese oder das Internet der Dinge bei der Erhöhung der Datenschutzanforderungen?
Dr. Ralf W. Schadowski: Die Einbindung von KI in tägliche Aufgaben ist faszinierend und beschleunigt richtig eingesetzt die Arbeit enorm. IT-affines Personal muss von der Geschäftsleitung in Delegation sensibilisiert werden für die richtige Anwendung, um den Verlust von geistigem Eigentum zu vermeiden. Unternehmen, die KI nicht evaluieren, werden ins Hintertreffen geraten.
DIGITAL FUTUREmag: Ich bin sicher, auf diese Frage haben Sie gewartet: Wie würden Sie insgesamt das Thema Datenschutz in Bezug auf Digitalisierung und die Entwicklung unserer Wirtschaft beurteilen – als Lokomotive oder als Bremsklotz?
Dr. Ralf W. Schadowski: Im Gegensatz zu vielen medialen Darstellungen ermöglicht ein mit Augenmaß angewendeter Datenschutz globale IT-Strategien unter Berücksichtigung unserer informationellen Selbstbestimmung. Das geht einfacher, als Nicht-Datenschützer sich das vorstellen können und wir seit langem beweisen. Datenschutz ist ein Werkzeug und keine Wissenschaft.
DIGITAL FUTUREmag: Ganz herzlichen Dank für Ihre Zeit und insbesondere auch für den Einblick in Ihre wichtigen Service-Angebote.