#8 ⁠ ⁠⁠Bremsklotz adé: so wird Datenschutz zum Booster für ihr Unternehmen – Praxistalk mit Datenschützer Thorsten Dampf

00:00:00: Guten Morgen Jens.

00:00:02: Deine heutige Mission Digitale

00:00:04: Souveränität

00:00:05: aktivieren.

00:00:07: Willkommen bei Rhetis Reset, dem Podcast für den digitalen Neustart.

00:00:12: Hier spricht Jens Blust, IT-Unternehmer, Digitalstrategie und der Mann, der den Knopf zum Netzwerk Reset drückt.

00:00:19: Digital Souverän statt digital abhängig.

00:00:22: Der erste Schritt beginnt heute.

00:00:25: Herzlich willkommen zu Retis Reset.

00:00:27: Ich bin Jessica Sander und bei mir sitzt natürlich der Mann, der den Reset-Knopf bei Unternehmen drückt.

00:00:32: Hallo Jens, ich grüße dich.

00:00:34: Morgen, Jessica.

00:00:35: Und heute haben wir eine Premiere.

00:00:36: Wir haben unseren allerersten Gast.

00:00:38: Er ist Datenschützer, Praktiker und Geschäftsführer der Dampfkonsult in GmbH.

00:00:44: Mit seinem Team begleitet er Unternehmen und Kommunen in Deutschland und in Österreich.

00:00:48: Bei Datenschutz und Hinweisgeberschutz.

00:00:51: Besonders arbeitet er mit IT-M Systemhäusern und Verwaltungen zusammen.

00:00:55: Er hat unseren Podcast gehört und brennt seitdem besonders für digitale Souveränität.

00:01:00: Und mit ihm schauen wir heute auf die Frage, wie sieht der Datenschutz digitale Souveränität?

00:01:05: Und wie bringen wir beides in Unternehmen auf die Straße?

00:01:08: Ich freue mich sehr, dass er da ist.

00:01:09: Herzlich willkommen Thorsten Dampf.

00:01:11: Hallo.

00:01:12: Guten Morgen.

00:01:12: Schön, dass ich bei euch sein darf.

00:01:14: Ja, was Besonderes.

00:01:15: Unser erster Gast Jens.

00:01:16: Absolut.

00:01:16: Ich bin total geflasht.

00:01:19: Sehr gut.

00:01:19: Ja, ich freue mich, hier zu sein.

00:01:20: Sehr

00:01:20: schön.

00:01:20: Wir wollen gleich starten.

00:01:21: Und zwar, du hast wirklich den Podcast von unserem lieben Jens hier gehört und dann sozusagen das für das, konntest du dich für das Thema digitale Souveränität begeistert und dann noch mehr begeistern.

00:01:32: Was war denn der Moment, wo es Klick gemacht hat?

00:01:35: Jens und ich, wir kennen uns schon seit über zehn Jahren, wir haben uns immer schon sehr intensiv ausgetauscht, wie wir IT verstehen, wie wir IT betreiben, wie wir gute IT machen wollen.

00:01:44: und ich habe dann irgendwann angefangen, habe mich auf die Datenschutzberatung spezialisiert und

00:01:50: es

00:01:51: waren in den letzten Monaten, gab es immer wieder mal so Situationen, wo ich mich einfach gefragt habe, was ist denn mein Selbstverständnis als Datenschützer?

00:01:58: oder wie will ich das Datenschutz funktioniert, wie soll guter Datenschutz aussehen?

00:02:04: Und das ist ja oft so im Leben, dass du dann Dinge hörst, die findest du auch interessant, aber irgendwann passt es halt einfach auch gerade zu der Situation.

00:02:11: In so einem Moment hatte ich, als ich gesehen habe, oh Jens macht jetzt den Podcast.

00:02:16: Habe ich echt gedacht, jawohl, ich habe mir den angehört und hab gedacht, Wahnsinn, das passt gerade wie die Faust aufs Auge.

00:02:21: Das Thema ist gerade so heiß, das ist sensationell.

00:02:25: Also... Ein Beispiel, was ich erzählen kann, wir haben ein IT System aus als Kunde, für die ich auch der externe Datenschutzbeauftragte bin.

00:02:32: Und die hatten vor einigen Monaten die Anfrage von einem Kunden, wo der Kunde Bedenken geäußert hat und gesagt hat, ich möchte... Ich muss mit dem E-Mail-System müssen wir was machen, aber ich möchte nicht in die Microsoft Cloud.

00:02:44: Da habe ich ernsthafte Bedenken und wir haben natürlich mit unserem System aus Kunden irgendwie versucht, die Bedenken zu zerstreuen.

00:02:52: Ja, das können wir datenschutzkonform umsetzen, was ja grundsätzlich auch geht.

00:02:56: Ich habe mir aber trotzdem die Frage gestellt, wenn der Kunde schon kommt und förmlich nach einer Alternative schreit, ist das dann der richtige Weg Ihnen quasi mit aller Gewalt trotzdem?

00:03:08: in die Microsoft Cloud schieben zu wollen?

00:03:12: ja und das sind so.

00:03:13: das war so einer der.

00:03:15: Momente oder ein zweiter.

00:03:16: ich sitze bei einer Stadtverwaltung und wir kommen aus ins Gespräch.

00:03:19: die Stadtverwaltung machen sich Gedanken wie können Alternativen zu Microsoft drei fünfundsechzig aussehen?

00:03:24: und im Zuge des Gesprächs unterhalten wir zu über Passwort Management.

00:03:29: Sag ich kein Problem kann ich euch ein zwei Tools empfehlen und dann überlege ich okay welche Tools sind das denn.

00:03:34: Und dann fallen mir spontan auch die zwei großen US-Unternehmen ein, die zwar ihre europäischen Rechenzentren betreiben.

00:03:42: Aber wo ich mir dann auch die Frage gestellt habe, jetzt macht er sich auf der einen Seite Gedanken weg von Microsoft und ich komme und sage, ja super, hier habe ich gleich den nächsten US-Anbieter für euch.

00:03:52: Das passt irgendwie alles nicht zusammen.

00:03:54: Ist das gerade in den Startlöchern.

00:03:55: oder fühlst du, dass jetzt mehr diesem Weg der Alternativen gehen wollen?

00:04:00: Ja, also Startlöcher ja, aber ich merke auch, dass so ein Bewusstsein entsteht, also gerade auch so im kommunalen Bereich und man liest das ja auch immer wieder, dass es jetzt zu Alternativen gibt oder Initiativen gibt, die Alternativen ausprobieren und ich merke, dass das so ein bisschen mehr in der Breite ankommt.

00:04:19: Jens, ihr seid dann ja noch, also ihr seid ja schon lange im Gespräch, wenn ihr euch schon so lange kennt, aber dann natürlich noch mal zum Thema Digitale Souveränität.

00:04:26: über deinem Podcast seid ihr dann ins Gespräch gekommen.

00:04:29: Was ist denn daraus entstanden?

00:04:32: Naja, wir haben ähnliche Themen.

00:04:34: Also ich hab den, also ich hab vom Thorsten Anruf oder eine WhatsApp bekommen.

00:04:41: dass er den Podcast gesehen hat oder gehört hat.

00:04:42: Und wir haben ganz schnell gemerkt, ja, das sind unterschiedliche Sichtweisen auf diese Thematik.

00:04:49: Und seine Perspektive als Datenschützer war für mich dann in meiner Souveränitätswelt geht es ja auch immer um die Frage der Umsetzungsmöglichkeiten.

00:04:57: Was ist denn möglich?

00:04:58: Was können wir denn in Europa machen?

00:05:00: Und da ist halt nun mal der Datenschutz und die ganze rechtlichen Grundlagen und sowas setzen halt immer wieder auch Grenzen.

00:05:06: Und dieses Thema mit den US-Clouds, was Wir gerade im letzten Podcast mit dem internationalen Strafgerichtshof ausführlich diskutiert haben, wo Abhängigkeiten bestehen.

00:05:16: Was für Möglichkeiten gibt es noch?

00:05:18: Argumentativ einfach, jemanden tatsächlich dazu zu bringen, drüber nachzudenken, gehe ich jetzt den einfachsten Weg der in die Microsoft Cloud, wo halt alles der rote Teppich ist ausgerollt und es ist ganz, ganz, ganz einfach und viele andere machen es ja auch.

00:05:33: Oder investiere ich in diesen Wechsel oder in diesen Mut überhaupt was anderes machen zu können.

00:05:43: Und dazu ist es einfach gut, wenn man dann sagen kann, okay, aus verschiedenen Perspektiven hast du Vorteile und eine Perspektive ist natürlich auch der Datenschutz.

00:05:52: Was anderes Schönes, was dann war, ist, wenn man sich dann diese Alternativen anschaut, so hässlich sind die gar nicht.

00:06:00: Nur die Systemhäuser, also die Systemhäuser beraten in der Regel den Mittelstand oder die Kommunen oder im Einsatz der Produkte.

00:06:07: und welche Produkte es gibt.

00:06:09: Und ich stelle einfach immer wieder fest, ja, jeder kennt die Microsoft Cloud oder jeder kennt die Google Cloud, aber diese ganzen anderen Produkte rechts und links, die sind weitgehend unbekannt.

00:06:21: Und auch die Systemhäuser müssten, wenn ein Kunde nachfragt, erstmal investieren in Know-how, in Zertifizierungen, in Support.

00:06:30: Und das ist auch für die Systemhäuser nicht einfach.

00:06:32: Und deswegen war das eigentlich eine ganz interessante Erfahrung, dass Thorsten, du hast in dem Moment ja nach einem CRM Ausschau gehalten, hast gesagt, okay, das hat mir den Horizont erweitert.

00:06:42: Ich habe jetzt angefangen, mal mit einer ganz anderen Perspektive Software zu suchen und nicht eben nur das Standard-SAS-Modell vom größtmöglichen Anbieter.

00:06:55: Richtig, ja.

00:06:57: Thorsten, du stehst ja für so viel Datenschutz wie nötig, so wenig Bürokratie wie möglich.

00:07:02: Wie setzt du das in den Projekten?

00:07:04: ganz konkret und praktisch um.

00:07:05: Und was bedeutet das am Alltag wirklich?

00:07:07: Ja, also erst mal, ich sehe den Datenschutz nicht als Selbstzweck.

00:07:11: Also wir machen nicht Datenschutz um das Datenschutzwillens, sondern Datenschutz ist ein Baustein oder eine Anforderung, die wir erfüllen müssen.

00:07:19: Aber ihr habt das ja auch schon öfter thematisiert.

00:07:21: Erst mal das Unternehmen oder die Verwaltung, die muss erst mal arbeits- und handlungsfähig sein.

00:07:27: Und dann sehen wir zu, dass wir das auch alles im Rahmen der geltenden Datenschutzgesetze machen.

00:07:33: Mein Ansatz oder unser Ansatz ist immer, ich sag immer so schön, die GM-Methode gesunder Menschenverstand.

00:07:38: Also ich versuche immer dem Kunden, oder ich versuche niemals zu sagen, nie geht nicht.

00:07:44: Weil er kennt das alles aus den Medien, was alles angeblich wegen Datenschutz nicht möglich ist oder der Datenschutz hat verhindert.

00:07:52: Nein, sondern der Datenschutz ist das Werkzeug.

00:07:55: Du guckst dir an, welche Prozesse hast du, welche Strukturen hast du, welche Datenflüsse hast du und darüber wird dir klar, wie mein Unternehmen, meine Verwaltung funktioniert.

00:08:07: und dann ist es manchmal oder meistens gar nicht so schwierig, das alles irgendwie datenschutzkonform hinzukriegen.

00:08:15: Weil der Vorteil, den wir speziell in Deutschland haben, ich glaube wir haben schon ein sehr gutes Grundverständnis dafür, also wir alle wissen doch schon fühlt sich da jetzt irgendwas komisch an, weil einer was macht oder haben wir von vornherein irgendwie schon ein Störgefühl und das sage ich auch den Kunden, wenn ihr dabei ein Störgefühl habt oder wenn ihr umgekehrt euer Kunde wert und das fühlte sich komisch für euch an.

00:08:36: Dann merkt ihr schon, okay, da ist irgendwas nicht ganz sauber, da müssen wir mal genauer hingucken.

00:08:41: Gut, und man darf natürlich auch nicht vergessen, dass Deutschland sehr sensibel im Datenschutz ist.

00:08:46: Also andere Länder nehmen viele Dinge viel, viel einfacher und viel leichter auf die Schulter.

00:08:52: In Deutschland haben wir eine hohe Sensibilität.

00:08:55: Die Leute wollen wissen, was mit ihren Daten passiert, wo die verarbeitet werden.

00:09:00: Die Angst davor, dass die Daten zu anderen Zwecken verarbeitet werden, als sie eigentlich zur Verfügung gestellt worden sind.

00:09:07: Ja, beim Schuhmacher gebe ich meine Schuhgröße an und ich komme nicht auf die Idee, dass der irgendwas anderes macht als Schuhe.

00:09:14: Aber vielleicht hat er doch im Hintergrund dann ein Werbevertrag und gibt die Daten an irgendjemandem weiter, der mir andere Dinge in meiner Schuhgröße verkaufen möchte.

00:09:22: Und das ist einfach so eine Angst, wo ich spüre, dass die in Deutschland und damit nicht nur in den Köpfen der normalen Menschen, sondern eben auch in den Unternehmensführungen, die verwurzelt ist.

00:09:35: Trotzdem wird ganz oft gesagt, naja, die anderen machen es doch auch, dann wird es ja ganz in Ordnung sein.

00:09:42: und am Ende des Tages hat man dann mit einem Mausklick einen Nutzungsvertrag ab.

00:09:48: gesegnet der mehrere DINA IV-Seiten oder mehrere hundert DINA IV-Seiten langes, in dem alle möglichen Rechte an den eigenen Daten eingeräumt werden.

00:09:56: Und ich finde es wichtig, dass wir hier in Deutschland eine Kultur finden von, wir müssen mit den Daten arbeiten, damit wir überhaupt wirtschaftlich überlebensfähig sind, aber eben nur in dem Rahmen, in dem zugestimmt wurde und die Zustimmung bewusst erteilt wurde.

00:10:11: Das ist, denke ich, ein ganz, ganz wichtiger Punkt, um dieser gesunde Menschenverstand.

00:10:17: Der ist so wichtig.

00:10:18: Ich übernehme das.

00:10:19: Ich übernehme das GM.

00:10:20: Ja, habe ich auch kein Copyright drauf.

00:10:23: Wir haben so oft, wir haben so oft auch den übertriebenen Datenschutz, wo dann plötzlich aus Prinzip alle möglichen Dinge nicht möglich gemacht werden, die aber vielleicht, wenn man in die Zukunft denkt für das Unternehmen irgendwann mal überlebensnotwendig werden, nicht, dass das Unternehmen unbedingt Daten verkaufen muss, sondern das einfach... grundsätzlich pauschal gesagt wird, dass und dass und das können wir gar nicht benutzen.

00:10:48: Ich bin mit meinem Souveränitätsansatz ja nicht an dem Punkt, dass ich sage, wir verbieten alle US-Clouds.

00:10:53: Nein.

00:10:53: Aber man muss überlegen, welche Datenspeicher ich da rein und warum speichere ich die da rein und wie kann ich sie auch wieder austauschen?

00:11:01: Und der Datenschutz sagt halt auch das Gleiche.

00:11:04: Welche Datenspeicher ich da rein?

00:11:06: Exakt.

00:11:07: Genau, und das ist auch das, was ich den Kunden immer sage, lasst uns vorher überlegen,

00:11:11: weil

00:11:11: so eine Microsoft-Instanz einzurichten, das ist erst mal relativ einfach, wenn ich ein gewisses IT Know-how mitbringe, dann kriege ich das relativ einfach hin.

00:11:20: Dann sind aber auch erstmal alle Dienste aktiv, die ich in meiner Lizenz gebucht habe.

00:11:25: Und dass man aber dann vielleicht hingucken muss, will ich die Office-Dienste nutzen, will ich E-Mail machen, will ich Notizen oder Teams-Meetings darüber machen und mir dann eben pro Anwendung entscheiden muss.

00:11:37: Was will ich damit machen?

00:11:38: Welche Daten will ich da reinpacken?

00:11:40: Wo liegen diese Daten für diese eine Anwendung?

00:11:43: Das kann nämlich auch durchaus unterschiedlich sein, dass einige Dienste in Europa oder in Deutschland gerostet sind, aber andere eben noch in Übersee.

00:11:50: Und das ist eben auch das, was ich immer propagiere, sage, lasst uns vorher kurz überlegen.

00:11:55: Es ist nicht per se böse.

00:11:58: Blöd wird's, wenn ich das mit drei Klicks einfach selbst aufsetze und meine, dann lass mal halt mal so laufen.

00:12:04: Welche Prozesse schaust du dir dann zuerst an, wenn du Souveränität und Datenschutz um mich zusammenbringen willst?

00:12:10: Ja, die Datenflüsse als allererstes oder das, was ich gerade schon so angerissen habe, mir erstmal zu überlegen, welche Anwendung will ich nutzen und was will ich damit eigentlich machen?

00:12:18: Also welchen Prozess will ich abbilden?

00:12:20: Welche Daten fließen?

00:12:22: Also ich stelle mich... durchaus auch mit den Kunden schon mal ans Weitbord und skizziere dann irgendwie so ein Ablauf.

00:12:28: und dann stellen wir nämlich plötzlich fest, ah ja Moment, in dem Prozess Schritt haben wir ja noch den externen Berater dabei und dem schicken wir ja dann regelmäßig noch die Exelisten rüber und der gibt die dann in sein Planungstool ein und dann stellen wir die Freie ja okay und was ist das denn für ein Planungstool?

00:12:44: Ja das wissen wir gar nicht so genau.

00:12:46: Ja und wo läuft das?

00:12:47: Ja das wissen wir auch nicht so genau.

00:12:48: Ist glaube ich eine Online-Lösung, weil wir könnten uns da auch einloggen.

00:12:53: und da einfach mal hinzugucken.

00:12:55: Das muss ja nicht pauschal alles schlecht sein, aber das, ich glaube, das deckt sich mit diesem Begriff der Souveränität nämlich ganz gut, einfach zu wissen, was habe ich wo und zu wissen, okay, ich habe da vielleicht eine Schwachstelle, was mache ich denn, wenn mir mein externes Beratungsbüro nicht mehr zur Verfügung steht?

00:13:13: Und jetzt gehen wir noch einen Schritt weiter.

00:13:14: Ich meine, wenn... Wenn ich jetzt sage, naja gut, ich hab die Daten in der Cloud und ich hab dann jemand externes weitergegeben und er benutzt auch eine Cloud, solange die genau umrissen ist, ist ja alles relativ einfach.

00:13:25: Aber wie oft sehen wir das gerade in der heutigen Zeit, mal schnell eine KI ran geklatscht wird, ob das jetzt ein JetGPT ist oder irgendeine andere Instanz und oft dort nicht drauf geachtet wird, ob der Haken bei der Datenschutzoption, nämlich dass das Modell nicht mit den Daten trainiert werden darf.

00:13:44: aktiv ist oder nicht.

00:13:45: Ich sehe es sehr häufig, gerade bei den eher kreativen, dass diese Haken nicht drin ist, dass oft das Modell der großen Instanz trainiert wird mit den Daten, die reingeladen werden.

00:13:58: Und da werden unglaubliche Daten reingeladen und man kann nicht verhindern, dass Teile dieser Daten auch wieder irgendwo rauskommen.

00:14:04: Ja.

00:14:05: Ist es das, wo sich Praxis und Datenschutz dann an meisten beißen oder wo es so ein meisten Problem kommt?

00:14:11: Ich glaube nicht, dass die sich beißen, sondern Was ich schon gesagt habe, einfach genau hingucken.

00:14:16: Ich kann noch ein Beispiel geben.

00:14:17: Die Kommunen sind momentan alle dran.

00:14:20: Die müssen per Gesetz Klimaschutzkonzepte machen.

00:14:22: Also wie ist meine Altersstruktur in meiner Kommune?

00:14:27: Wo habe ich Hitze, Hotspots und so was?

00:14:29: Und da arbeiten die zum Teil eben auch mit externen Beratern zusammen.

00:14:34: Und zum Teil gibt es dann auch so Umfragen, dass wo würden die Bürger sich irgendwie... oder wo sind die Bürger der Meinung, wo irgendwelche Hitzeprobleme entstehen können und solche Sachen?

00:14:44: und da hatten wir kürzlich den Fall.

00:14:46: Da schickt mir die Mitarbeiterin der Stadtverwaltung.

00:14:49: Ja, wir haben hier von unserem Planungsbüro, die haben uns hier diesen Link auf die Online-Umfrage geschickt mit QR-Code.

00:14:56: Versehen schauen Sie doch mal bitte drüber, ob die Fragen, die wir da stellen, ob die alle datenschutzkonform sind.

00:15:01: Also da war die Mitarbeiterin schon gut sensibilisiert, das war auch alles super.

00:15:06: Und dann stellt sich aber raus, wer betreibt denn dieses?

00:15:09: das war nämlich ein Microsoft Formular und das die wiederum lief in der Microsoft Instanz des Planungs Büros.

00:15:17: und plötzlich müssen wir dann gucken ja was habt ihr denn mit dem Planungs Büro vereinbart?

00:15:22: wie löschen die denn die Daten?

00:15:24: oder wie stellen die euch denn die Daten zur Verfügung?

00:15:26: da kommt hinterher eine Excel Liste bei raus.

00:15:28: ja die schicken die uns per Mail.

00:15:30: also wir müssen uns einfach das ist alles nicht schlimm das tut doch alles nicht weh.

00:15:34: Wechselliste kann ich ganz einfach mit einem Passwort Schutz versehen, dann kann ich die auch bedenkenlos per Mail verschicken.

00:15:39: Aber da muss ich einfach kurz hingucken, zwei, drei Fragen stellen.

00:15:43: Die Mitarbeiterin war total happy, hat gesagt, ist überhaupt kein Problem.

00:15:45: Ich habe dann auch noch kurz mit dem Planungsbüro telefoniert und dann war das, in einer halben Stunde war das Thema erledigt.

00:15:52: Und das ist überhaupt kein Widerspruch.

00:15:55: Und plötzlich haben wir eine Lösung, die datenschutzkonform funktioniert und alle sind fein.

00:16:00: Man darf auch nicht vergessen, dass die Ansprechpartner einfach eine große Rolle spielen, gerade wenn man mit einem IT-ler spricht.

00:16:07: Ich habe die Erfahrung gemacht, dass viele IT-ler gerne, wenn sie was löschen sollen, zuerst nochmal eine Kopie davon machen, um dann das Original zu löschen.

00:16:14: Aber gerade der Datenschutz sieht ja tatsächlich ein Löschen vor.

00:16:19: Also wenn das Planungsbüro diese Umfrage gemacht hat und ausgewertet hat und die Daten an die Stadt geschickt hat, dann gibt es ja keinen Grund mehr, das weiter zu speichern.

00:16:28: Genau, die Daten sind zweckgebunden und in dem Moment, wo der Zweck entfällt, hast du sie zu löschen, ganz einfach.

00:16:34: Genau,

00:16:34: und oft wird eben in den Clouds dann doch noch dauer gespeichert, weil der Speicherplatz ist ja da oder in Chat GPT, wenn man nicht aufpasst, dass das Modell die Daten mitspeichert bzw.

00:16:48: wir haben ja gerade die Diskussion, kam gerade heute Morgen ein Artikel ob ChatGPT tatsächlich speichert oder nur über die Parameter das Ding wieder abrufbar macht die Daten.

00:17:01: Da gibt es jetzt in der Zwischenzeit erste Urteile und unterschiedliche Interpretationen.

00:17:08: Ob das was die KI da abspeichert, jetzt tatsächlich die Originaldaten sind oder nur eine Interpretation dessen.

00:17:15: Ja und ich erlebe auch ganz oft die Leute sind Sehr dankbar, wenn wir da eine Rückmeldung gibt, also wenn wir Datenschutz nach der GM-Methode machen, dann die Dame von dem Planungsbüro, die war total happy, die sagt, Mensch, super, da habe ich noch gar nicht drüber nachgedacht, aber wir arbeiten jetzt gerade mit so vielen Kommunen zusammen.

00:17:33: Super, das nehme ich gerade in mein Standardformular mit auf und kann das für alle Kommunen nutzen, die Erkenntnis.

00:17:41: Die ist auch dankbar darüber, wenn ich gesagt habe, wenn sie die Daten ausgewertet haben, dann löschen sie die bitte.

00:17:46: Ja super, weil wenn ich die Daten nicht habe, brauche ich mich auch nicht mehr drum kümmern.

00:17:49: Dann kann mir auch keiner mehr irgendwas wollen, weil ich habe die Daten tatsächlich gelöscht.

00:17:54: Also das tut überhaupt nicht weh, das beißt sich nicht.

00:17:58: Aber ist das immer noch die Ausnahme, dass du so eine dankbare, kompetente Dame auf der anderen Seite hast, die das so offen annimmt?

00:18:04: Ja, natürlich.

00:18:05: Also du hast auch welche, die etwas überspitzt gesagt, direkt wieder auflegen, wenn du dich meldest und sagst, hallo, ich bin der externe Datenschutzbeauftragte.

00:18:16: Aber wenn du, wie gesagt, damit Augenmaß rangehst und den Leuten auch auf Augenhöhe begegnest und denen nicht sagst, ich will euch jetzt belehren, sondern ich will euch helfen, wie ihr es vernünftig machen könnt.

00:18:28: Und ich will auch nicht verhindern, dass ihr diese Onlineabfrage da macht, weil Datenschutz ist ein Aspekt.

00:18:35: Umgekehrt gibt es Gesetze, die sagen, ihr müsst diese Klimaplanung, diese Vorsorge machen.

00:18:41: Steht in Gesetzen ganz klar so drin.

00:18:43: Und der Mensch, da kann ich mich nicht als Datenschützer aufschwingen und sagen, ja, mein Gesetz ist aber das wertvollere.

00:18:49: Klar, Datenschutz, wir reden schon über Grundrechtsbezug.

00:18:52: Also immerhin steht Datenschutz auch in der Genfer Menschenrechtskonvention und sowas drin.

00:18:57: Aber erst mal, wir quatschen, Menschenrechtskonvention, EU Grundrechtsgekater, die ist es.

00:19:08: Das ist kein Widerspruch, sondern wir kommen dennoch zum Ziel und das vernünftig, wenn wir es mit Augenmaß und Verstand angehen.

00:19:17: Ganz einfach.

00:19:18: Genau, und das ist auch nicht, dass es europaweit geregelt ist.

00:19:21: Denn damit haben wir einfach so ein bisschen einen Raum, wo ein gewisses Rechtsverständnis und Rechtssicherheit gleich am Maßen herrscht.

00:19:28: Und ich glaube, das ist dann auch eine Chance, weil, also auch für die Souveränität, weil... um einfach dann nochmal den Bogen zurückzuholen.

00:19:35: Wir haben ja die US Clouds oft deswegen, weil sie einfach Dinge zur Verfügung stellen, die wir in Deutschland nicht haben, in Europa maximal in bunten Auswertigungen manchmal haben, die nicht einsatzfähig sind.

00:19:51: Und eine US Cloud kann es und macht es und tut es.

00:19:54: Wie siehst du als Datenschützer das Thema, wenn wir als Europäer jetzt in der Größenordnung die US-Clouds nutzen?

00:20:03: Das sehe ich tatsächlich sehr, sehr, sehr, sehr kritisch.

00:20:06: Also, dass wir uns als komplette staatliche Verwaltung oder als komplett Europa mit unseren Betriebssystemen, da sind wir wieder bei Windows versus Linux oder sowas, dass wir uns da komplett in die Abhängigkeit von US-Konzern begeben haben, aber der Fehler ist ja schon vor Jahrzehnten passiert.

00:20:25: Und das können wir auch als Kleine nicht lösen.

00:20:29: Und das ist auch so ein bisschen der, ja, die EU hat doch jetzt gesagt, wir können doch jetzt M-Dreifemundsechzig Datenschutzkonform nutzen oder es ist Datenschutzkonform.

00:20:37: Oder umgekehrt, wenn man hinguckt, was muss ich machen, um... Microsoft-Datenschutzkonform zu nutzen, dann kommst du möglicherweise an den Punkt.

00:20:46: oder da gibt es dann die entsprechenden Empfehlungen, die dann heißen, ja du musst mit Microsoft eine Zusatzvereinbarung schließen.

00:20:53: Ja, Jens grinst

00:20:54: schon.

00:20:55: Versuch doch mal als mittelständisches Unternehmen mit fünfzig, hundert oder auch fünfhundert Beschäftigten bei Microsoft anzuklopfen und zu sagen, wir müssen jetzt bitte zu eurem Datenschutzvertrag noch anhangen, individuell schließen, da lachen die sich kaputt.

00:21:10: Das heißt,

00:21:10: das gibt es nicht standardmäßig, dass einem das zur Verfügung gestellt wird, wenn man eh so ein Paket abschließt, dass man das noch zusätzlich machen kann, automatisiert.

00:21:16: Es gibt die entsprechenden Verträge von Microsoft, aber... Die Dinge, diese kleinen Stellschrauben, die immer noch im Raum stehen, die sagen, ja, es ist eben doch nicht hundert Prozent datenschutzkonform nutzbar.

00:21:28: Da kann es je nach Einsatzzweck eben erforderlich sein, dass du sagst, du musst noch eine Zusatzvereinbarung schließen.

00:21:35: Oder das, was durch die Presse ging, war es die EU-Kommission.

00:21:37: Irgendjemand nutzt jetzt die Microsoft Cloud und weil das ist jetzt datenschutzkonform nutzbar.

00:21:42: Ja, die haben aber halt auch einen individuellen Vertrag mit Microsoft geschlossen.

00:21:46: Das kannst du nicht so ohne Weiteres runterbrechen auf das... Unternehmen mit fünfzig Beschäftigen, das funktioniert halt so nicht.

00:21:53: Ich bin ja, also ob das jetzt datenschutzkonform ist oder nicht, ich denke, das kriegt man dann juristisch irgendwie hin.

00:22:00: Da wird Microsoft in der Regel irgendwie in der Lage sein, eine juristische Zusatzklausel irgendwo zu formulieren, dass es dann eben Gesetzeskonform ist.

00:22:08: Aber wo ich das große Problem sehe, ist nach wie vor diese Durchgriffsmöglichkeit, beispielsweise der US-Regierung, was man jetzt beim Internationalen Strafgerichtshof in Mai gesehen hat.

00:22:19: hat, dass die Microsoft gar keine andere Wahl hatte, als einen Account oder mehrere Accounts einer europäischen Institution zu sperren, auf Druck der US-Regierung hin.

00:22:33: Das sind Themen, da sagt mein GM, mein gesunder Menschenverstand, in solche Abhängigkeiten will ich mich gar nicht bewegen, selbst wenn Datenschutz rechtlich alles top ist und auch als Land, als Regierung, als ... Ja, das zwei ist das Volk des Souverän, aber am Ende des Tages haben wir eine Regierung gewählt und die muss irgendwie handlungsfähig bleiben.

00:22:55: Und ich kann nur schwer verstehen, wie eine bayerische Landesregierung jetzt tatsächlich all in geht mit Microsoft.

00:23:02: Also ganz klar sagt, ja, wir gehen diesen Weg konsequent und werden in den nächsten Jahren alles in diese Richtung in umstellen.

00:23:09: und sich damit eben in diese Abhängigkeiten begibt.

00:23:12: Und jetzt muss man auch mal einen Schritt weitergehen, was für unglaubliche Datenmengen und Datenschätze wird die Bayerische Landesregierung über das Land Bayern und darüber hinaus in diese Cloud laden.

00:23:23: Und gehen wir noch einen Schritt weiter.

00:23:25: Microsoft versucht überall und das werfe ich Ihnen überhaupt nicht vor, das macht jeder andere auch.

00:23:30: AI, also KI Assistenten dort zu platzieren.

00:23:34: Das heißt, es wird eine Frage der Zeit sein, bis die Microsoft KI angefangen hat, zu lernen und die Entscheidungswege, die Art der Verarbeitung und auch die Daten zu assimilieren und zu interpretieren.

00:23:51: Und da haben wir ja das Thema, dass wir bis heute nicht wissen, wie sich die Clouds im Learning weiterentwickeln werden.

00:23:57: Die Clouds neigen dazu, immer etwas extremer zu werden.

00:24:00: Also die schießen sich irgendwann mal auf was ein.

00:24:03: Das ist auch diese berühmte Echo Bubble.

00:24:06: Und wenn man dann nicht gegensteuert, dann wird die auch automatisch immer mehr in diese Richtung Dinge vorschlagen.

00:24:13: Und ich sehe da eine große Gefahr, weit über den Datenschutz hinausgehend für die Bevölkerung, wenn plötzlich Entscheidungen, Prozesswege, Informationen, wie oft wird eine Cloud, eine KI benutzt, um eine Zusammenfassung zu erstellen.

00:24:30: Fass mir mal das zusammen und sag mir die drei wichtigsten Punkte, aber das wird dann ... aus der KI Perspektive entwickelt und dadurch kann man tatsächlich im Großen, nicht in der einzelnen Entscheidung, aber im Großen kann man dadurch steuern.

00:24:44: Ja,

00:24:44: da bin ich absolut bei dir, kann ich auch überhaupt nicht nachvollziehen die Entscheidung.

00:24:49: und wenn ich das richtig mitbekommen habe, dann soll das ja auch soweit gehen, dass über irgendwelche Rahmenverträge auch wirklich die kleinen Kommunen dann vergünstigt ihre Lizenzen beziehen können.

00:24:57: und jetzt weiß ich aus meiner Praxis, auch wie IT in kleinsten und kleinen Kommunen mittlerweile immer noch funktioniert.

00:25:05: Also da hast du durchaus Verwaltung der Arbeiten acht oder zwölf oder vierzehn Leute.

00:25:09: Da gibt es einen, der sich so ein bisschen mit IT beschäftigt.

00:25:12: Das heißt, das war sicher.

00:25:14: eben schon mal skizziert habe, gewisse Dienste abschalten oder nur die Dienste freischalten, die ich brauche.

00:25:19: Da sehe ich eine ganz massive Gefahr, dass da einfach erstmal alles aktiviert ist und wir kennen es aus dem Office-Paket.

00:25:24: Da poppt dann oben der KI-Assistent auf und sagt, soll ich dir mal eben die Ex-Liste zusammenfassen oder sowas.

00:25:31: oder soll ich dir mal schnell eine Auswertung erstellen?

00:25:33: und genau die Gefahr sehe ich.

00:25:37: finde ich sehr, sehr dramatisch und das hat halt auch mit dazu beigetragen, da haben wir mal Gedanken darüber zu machen.

00:25:44: Wie definiert denn ein Datenschützer digitale Souveränität außer GM?

00:25:51: Ja,

00:25:52: ich fand das toll.

00:25:53: Das ist eine gute Frage.

00:25:54: Gibt es denn noch was außer GM?

00:25:56: Nein.

00:25:57: Ja, die Fähigkeit einfach meine Daten, meine Datenflüsse und das alles selbst zu kontrollieren.

00:26:04: Also, um immer wieder, wie meinen wir?

00:26:07: Es entsteht schon der Eindruck, das hier wäre der Microsoft Bashing.

00:26:12: Nein, weiß ich doch.

00:26:14: Ist auch überhaupt nicht meinen Ansinn.

00:26:15: Aber an dem Beispiel kann man es halt schön deutlich machen, da kann sich jeder was darunter vorstellen.

00:26:20: Weil, wie wir schon gesagt haben, was nützt mir denn meine Souveränität?

00:26:23: Oder jetzt habe ich meine Exit-Strategie, ich weiß, wie ich meine Emails exportiert.

00:26:27: bekommen oder meine Daten.

00:26:29: Was nützt mir das denn aber, wenn morgen aus irgendeinem Grund die Login Server nicht mehr zur Verfügung stehen?

00:26:34: Ich kann mich nicht mal mehr anmelden an meinen Systemen.

00:26:37: Ja, jetzt habe ich das vielleicht irgendwie noch offline auf mein PC synchronisiert, dann kann ich es mir da vielleicht noch weg kopieren, aber je nach Datenstand oder je nachdem, was eben alles online ist.

00:26:47: Und wenn es nur das das einfache Formular ist, ja die Daten rufe ich eben online im Browser ab, wenn ich sie brauche.

00:26:53: Was ist denn mir das morgen früh nicht mehr zur Verfügung steht?

00:26:56: Genau, da haben wir ja auch die Verfügbarkeit.

00:26:59: Und das ist ja auch eine der Grundforderungen des Datenschutzes oder der DSGVO.

00:27:03: Meine Daten müssen verfügbar sein.

00:27:07: Und jetzt kann ich darüber diskutieren, wie lange dürfen sie nicht verfügbar sein, wie lange darf ein Ausfall dauern.

00:27:12: Aber wenn das aus irgendeinem Grund politisch gewollt ist, dass die Systeme abgeschaltet werden, dann habe ich ein echtes Problem.

00:27:21: Da sollte ich mir einfach ein paar Gedanken darüber machen.

00:27:24: Das ist ja auch das was ihr immer wieder oder du Jens immer wieder propagierst und das definiere ich als Souveränität und dann gegebenenfalls auch zu sagen naja gut da in dem Formular ja da liegen noch ein paar alte Auswertungen.

00:27:36: wenn die weg sind wäre es nicht so schlimm wobei die sind ja nicht weg die liegen ja immer noch bei dem Anbieter.

00:27:41: also auch dann sie nicht mehr löschen zu können ist datenschutzrechtlich ein echtes Problem.

00:27:46: ihr habt ihr kennt das den Begriff recht auch vergessen werden.

00:27:49: nach der DSGVO, nach den Datenschutzgesetzen, habt ihr einen Anspruch darauf, dass eure Daten gelöscht werden.

00:27:55: Wenn ich sage, sorry, ich kann sie nicht löschen, weil ich komme an meine Cloud nicht mehr ran, dann wird's blöd.

00:28:01: Die

00:28:01: Frage wollte ich vorhin grad stellen, ist man dann eigentlich in der Haftung?

00:28:04: Also

00:28:04: selbstverständlich.

00:28:06: Oh, okay.

00:28:07: Und das sind dann wieder diese Bußgeldsummen, die da so durch den Raum schwören, vier Prozent des weltweiten Vorjahresumsatzes, zwanzig Millionen Euro Höchstgrenze und so.

00:28:17: Also das kann weh tun.

00:28:19: Was sind denn jetzt ganz praktisch die wichtigsten Settings, Bedingungen, wenn ich die Cloud nutze, was muss erfüllt werden, damit ich als Unternehmen trotzdem souveränen bleibe?

00:28:40: dass ich weiß, wo die Daten sind, wie sie gespeichert sind und dass ich auch Möglichkeiten habe, die auch wieder rauszubekommen.

00:28:45: Gerade wenn ich jetzt zum Beispiel merke, wir hatten ja jetzt einfach zwanzig Jahre lang dieses Thema nicht.

00:28:50: Man musste keine Angst haben, dass eine Microsoft Cloud abgeschaltet wird.

00:28:54: Das heißt, es ist ein Thema, das ja jetzt erst neu kommt und so wie der Datenschützer gerade die Datenflüsse und angesprochen hat, als wichtiges Kriterium sieht es, die Souveränität genauso.

00:29:06: In dem Moment, wo wir standardisierte Schnittstellen haben, die dokumentiert sind, wo es die Möglichkeit gibt, andocken zu können, die Daten auch wieder rauszuziehen, dann habe ich die Möglichkeit, da wieder Souverän zu sein.

00:29:18: Nur am Ende des Tages sind wir da jetzt bei dem Thema Identitätsmanagement.

00:29:23: Ein Unternehmen sollte, hat ja bestimmte Daten, die nicht so wichtig sind, sage ich jetzt mal ganz, ganz vorsichtig, also die Strichliste, wer gerade ein Wasser getrunken hat, das war Datenschutz relevant, aber jetzt, ich sag mal für das Unternehmen nicht so wahnsinnig wichtig, aber zum Beispiel gerade diese Login Server, du hast gerade vorhin von diesen Login Servern gesprochen.

00:29:44: Wer verwaltet denn die Identität, also diese Identität, mit der ich mich anmelde, an der meine Zugriffsrechte hängen, die steuert, auf welche Daten ich zugreifen kann?

00:29:54: Meiner Meinung nach muss das immer das Unternehmen sein, das Unternehmen selber, das die Identitäten verwaltet.

00:30:00: Man kann sich natürlich ein Dienstleister holen, der einem dabei unterstützt, aber der Schlüssel dazu, der Hauptschlüssel dazu, muss immer in Unternehmenshand bleiben.

00:30:09: Und gerade in den Clouds, ob das jetzt Microsoft oder Google ist, hat man das oft aus der Hand gegeben, weil man plötzlich in Gehostet des AD hat, wo man zwar selbst in der Lage ist, zu administrieren und Administrator-Accounts selber erstellen kann und auch die ganzen Benutzer-Accounts.

00:30:27: Aber man kann nicht ausschließen, dass von oben herab doch noch ein Schlüssel existiert, mit dem ich da drin verwalten kann.

00:30:36: Und dummerweise sind Microsoft diese Schlüssel ab handengekommen.

00:30:41: Ein kleiner Disclaimer.

00:30:42: Unsere Hörer kennen das.

00:30:43: Ich sage es in fast jeder Folge.

00:30:44: Wenn wir hier Microsoft nennen, dann ist es sehr exemplarisch und steht... für viele US-Anbieter.

00:30:51: Wir haben kein Interesse daran, Microsoft gezielt in irgendeiner Art und Weise zu baschen, aber es dadurch, dass Microsoft zu bekannt ist und jeder mit Microsoft-Produkten irgendwie zu tun hat oder zu tun hatte, ist es sehr, sehr nachvollziehbar, wenn wir das anhand von Microsoft-Beispielen zeigen.

00:31:07: Deswegen nochmal ganz klar der Hinweis, wir haben nichts gegen Microsoft.

00:31:12: Im Gegenteil, setzt man es richtig ein, sind auch die Microsoft-Dienste sehr, sehr, sehr wertvoll.

00:31:19: Wir sagen einem nur, man muss genau hinschauen.

00:31:22: Ja,

00:31:22: absolut.

00:31:23: Sie nutzt die Microsoft-Dienste in unserem Unternehmen genauso.

00:31:26: Wir kennen sie halt alle, deswegen nehmen wir sie als Beispiel.

00:31:29: Jeder kennt irgendwie WordXL Outlook und die meisten arbeiten auch damit.

00:31:33: Also deswegen ist das einfach das Beispiel, unter dem sich jeder was vorstellen kann.

00:31:38: Wir haben ja auch diese wunderbaren Rubriken.

00:31:40: Und zwar... Die Frage geht an Thorsten.

00:31:44: Nicht an Jens, du kannst dich entspannen.

00:31:45: Drücklegen.

00:31:47: Torsten, was ist dein AHA-Satz für unsere Hörer und Hörerinnen?

00:31:51: Wie kann Datenschutz-Souveränität beschleunigen statt bremsen?

00:31:56: Ja, ich habe mir als AHA-Moment notiert.

00:32:00: Als Notizdatenschutz zwingt dich zur Transparenz.

00:32:03: Also das, was ich schon gesagt habe, du musst dir Gedanken machen über deine Datenflüsse.

00:32:09: Du machst dir Gedanken, wie kritisch sind meine Systeme?

00:32:14: Auf welches System?

00:32:15: kann ich vielleicht ein bisschen länger verzichten, auf welches System kann ich ein bisschen weniger gut verzichten?

00:32:21: und du machst dir im Idealfall vorher auch schon Gedanken über Exit-Szenarien.

00:32:28: oder wie kriege ich das System offline wieder lauffähig oder irgendwie sowas.

00:32:34: Also als einfacher Satz, Datenschutz, zwingt dich zur Transparenz und zwingt dich dazu, dass du dir über deine Strukturen ein paar Gedanken machst.

00:32:44: Das war kurz und knapp.

00:32:45: Ja, absolut.

00:32:46: Thorsten, aber ich habe auch noch eine Frage.

00:32:50: Thorsten, welche Fehleinschätzung in Bezug auf Datenschutz hörst du am häufigsten und hast du dann auch eine klare und einfache Arzt zu entkräften?

00:33:00: Absolut.

00:33:01: Also Fehleinschätzung ganz klar, Datenschutz ist kompliziert oder Datenschutz ist der Verhinderer.

00:33:07: Der Datenschutz hat ein Imageproblem und der Datenschutz ist häufig schlecht erklärt.

00:33:13: Auch in anderen Bereichen, wir kennen es alle.

00:33:15: Die schlechten Botschaften auf den Zeitungen in großen Buchstaben, die verkaufen sich besser als die positiven Botschaften.

00:33:22: Und ihr erinnert euch vielleicht noch, im Jahr zwei tausend achtzehn, als es dann mit der DSGVO so richtig ins Rollen kam, irgendwelche lustigen Bildchen, die verbreitet wurden.

00:33:30: Du darfst beim Bäcker nicht mehr aufgerufen werden namentlich.

00:33:33: oder wer im Wartezimmer beim Arzt nicht mehr mit Namen aufgerufen werden will, der klebt sich bitte den roten Punkt auf die Stirn oder solche Sachen.

00:33:41: Also,

00:33:41: das sieht den roten Helm an.

00:33:43: Ja, genau.

00:33:44: zwar im ersten moment alles irgendwie ganz witzig hat aber der sache nicht geholfen.

00:33:49: so und das ist halt das und da bin ich wirklich ein vehementer verfechter und vehementer gestreiter und kämpfer dafür wenn man es vernünftig erklärt und den leuten vernünftig erzählt warum das so sein soll und dass es am ende sogar was nutzen kann.

00:34:06: weil wenn ich meine datenschutzprozesse im griff habe und habe meine dokumentation gemacht dann habe ich auf einmal ein viel besseres Verständnis über meine Abläufe im Unternehmen.

00:34:17: Also das greift alles eins ins andere.

00:34:20: Das Beispiel, was ich brachte mit Prozesse am Whiteboard skizzieren und plötzlich merke ich auch, da ist ja der externe Berater noch mit drin.

00:34:27: Ja, dem schicken wir ja schon immer die Listen rüber.

00:34:31: Das wird mir auf einmal klar und ich kann entsprechend im Sinne der Risikobetrachtung wie auch immer damit umgehen einfach.

00:34:39: Im Augenblick haben wir ja auch die große Sicherheitsdiskussion überall und ich habe auch schon festgestellt, es sind immer die gleichen Daten über Prozesse, die wir zusammen tragen, ob jetzt im Informationssicherheitsbereich, im Datenschutzbereich oder eben auch in unserem Fragebogen über Souveränität.

00:34:55: Es sind immer die gleichen Fragen, die gestellt werden und immer die gleichen Antworten, die ein Unternehmen gibt.

00:35:00: Das heißt, die Arbeit mache ich ja im Optimalfall nur einmal.

00:35:03: Genau.

00:35:04: Richtig und Datenschutz ist ein Thema, was sehr stark auch über Technik funktioniert.

00:35:09: Und dann sind wir wieder in dem IT-Bereich, nicht nur in der Souveränität, sondern auch was den IT-Betrieb und die IT-Dokumentation angeht, weil dann machst du dir plötzlich nochmal Gedanken, ist mein Backup so, wie es gerade läuft, funktioniert das noch oder kann ich da vielleicht irgendwas verbessern?

00:35:26: Also das greift alles ineinander und das kann eine echte Hilfe sein.

00:35:33: Das sage ich jetzt nicht, weil ich meine Leistung gern anpreisen möchte oder sowas.

00:35:38: Es ist aber wirklich so, ich merke das bei unseren Kunden, natürlich gibt es da auch welche, die sagen Naja Datenschutz läuft irgendwie so nebenher, aber eigentlich habe ich da nicht so wirklich Bock drauf.

00:35:47: und es gibt welche, die das wirklich ernst nehmen, die uns auch immer wieder kontaktieren und die uns.

00:35:53: mit auch kleine Dinge einfach rüberschicken.

00:35:55: Hier schaut da mal drüber oder so.

00:35:57: Bei denen läuft es aber auch am allerbesten.

00:35:59: Das sind alle Beschäftigten sensibilisiert.

00:36:01: Da weiß jeder sofort als klar, jetzt habe ich hier irgendwas Neues.

00:36:04: Ich frage einfach mal kurz nach, ob die noch irgendeine Idee haben, ob wir noch irgendwas beachten müssen oder sowas.

00:36:10: Und das macht erstens in der Arbeit am meisten Spaß.

00:36:14: Und zweitens haben alle was davon, weil es einfach am saubersten funktioniert.

00:36:19: Datenschutz

00:36:20: als Führungsthema.

00:36:21: Ach, was eigentlich schon so ein schöner Abschluss, aber ich habe ja noch zwei Abschlussfragen für euch erst mal an Thorsten.

00:36:27: Lieber Thorsten, eine Entscheidung heute.

00:36:29: Welche eine Sache sollen Unternehmen sofort beschließen, um Datenschutz als Beschleuniger für Souveränität nutzen zu können?

00:36:37: Was soll das Unternehmen direkt beschließen?

00:36:39: Naja, es auch irgendwie zur Chefsache machen.

00:36:42: Ihr habt das ja auch schon öfter mal thematisiert, wie viel Artino-How muss der Geschäftsführer haben und so was.

00:36:49: Er muss sich seiner Verantwortung bewusst sein, weil das ist eben auch ein Thema, das ist erstmal oben bei der Geschäftsleitung aufgehängt, das heißt die Geschäftsleitung, die kann das natürlich delegieren, es gibt den Datenschutzbeauftragten, der entsprechend berät und unterstützt, aber erstmal muss ich mir meine Verantwortung bewusst sein, das ist ein Thema, was mich auch betrifft.

00:37:09: Wenn ich das habe und sage, okay, das nehme ich ernst, dann habe ich schon mal einen guten Schritt getan.

00:37:15: Und dann... Das, was wir auch immer wieder schon gesagt haben, mir über meine Abläufe, über meine Prozesse ein paar Gedanken machen.

00:37:22: Und dann bin ich schon wirklich ein gutes Stück weiter.

00:37:26: Sehr schön.

00:37:27: Und Jens, die Frage an dich, was hast du heute mitgenommen?

00:37:30: Die Praktikabilität.

00:37:31: Also, für mich ist das Thema Datenschutz in der Vergangenheit als IT-ler schon immer wieder so eine kleine Stolperfalle gewesen.

00:37:41: Kannst du das jetzt machen?

00:37:42: Darf man diesen Haken setzen?

00:37:44: Da will jetzt jemand Zugriffsrechte auf Ordner, wo man eigentlich erst wieder mit dem Datenschützer abklären muss.

00:37:50: Darf man diese Software jetzt installieren?

00:37:52: Nee, das muss erst der Datenschützer sein, Haken dahinter geben.

00:37:55: Und ich hatte in der Vergangenheit tatsächlich immer wieder auch mit Datenschützern zu tun, die... so restriktiv waren, dass es schwierig war, mit denen gut zusammenzuarbeiten.

00:38:05: Und was ich jetzt hier eigentlich am deutlichsten mitnehme, ist dieser praktische Ansatz.

00:38:10: Dieses ja, wir versuchen, möglich zu machen, was nur möglich ist und es gibt eine genügend Möglichkeiten da heranzugehen und dass es im Endeffekt exaktes Gleiche ist.

00:38:21: Der Datenschutz ist ein Teil dieses Compliance-Themas, Regeln, die einzuhalten sind, ob das jetzt Informationssicherheit oder Datenschutz ist und Ich sehe überhaupt keinen Widerspruch zur Souveränität.

00:38:34: Im Gegenteil, ich sehe, dass man, wenn man diese Entscheidung getroffen hat, als Unternehmen sich Souveräne aufzustellen und dabei den Datenschutz gleich mit zu berücksichtigen, den Datenschützer mit ins Boot zu holen, dass man dann einfach mit sehr viel weniger Aufwand sehr viel mehr erreichen kann.

00:38:50: Du bist

00:38:50: ja sowieso schon dran und machst dir überall die Dinge Gedanken und dann ist der Datenschutz nur noch ein Modul.

00:38:57: Du machst es nicht alles nur.

00:38:59: für den Datenschutz oder nur für die Souveränität, sondern es zahlt auf mehrere Dinge ein.

00:39:06: Sehr schön.

00:39:06: Vielen, vielen Dank.

00:39:07: Ich habe das Gefühl, wir haben Datenschutz und Souveränität die beiden Welten noch ein bisschen mehr zusammengebracht.

00:39:12: Vielen Dank, dass du unser allererster Gast warst.

00:39:14: Ja, sehr

00:39:15: gerne.

00:39:15: Es hat mich gefreut und hat mir großen Spaß gemacht.

00:39:18: Aber wirklich super sympathisch, spannender Einblick.

00:39:20: Also vielen, vielen Dank.

00:39:21: Danke schön Jens.

00:39:22: Ich freue mich auch vielen Dank, dass du da warst und ich würde mir wünschen, dass sehr viel mehr Datenschützer genauso diesen praktischen diese praktische Sichtweise mit in ihren Alltag nehmen und vielleicht auch bei der einen oder anderen ganz am Anfang hattest du es über diese Systemhäuser, die so rein routiniert schon in der Microsoft-Welt oder in der US-Cloud-Welt empfehlen, dass wir vielleicht den einen oder anderen Datenschützer dazu zum Nachdenken gebracht haben, ob er vielleicht dann seine Datenschutzmandate ein bisschen stärker darin unterstützt, auch mal über den Tellerrand hinauszuschauen.

00:39:57: Würde ich mich freuen.

00:39:58: Sehr schön.

00:39:59: Vielen Dank fürs Zuhören.

00:40:01: Uns gibt's ja alle zwei Wochen und alle wichtigen Infos, die stehen unten in den Shownotes.

00:40:04: Und wir freuen uns schon auf das nächste Mal.

00:40:06: Bis dahin, alles Gute.

00:40:07: Tschüss.

00:40:08: Und nicht vergessen, digital souverän statt digital abhängig.

00:40:11: Der Neustart beginnt jetzt.