Datenschutz
Heute Chefsache: sichere Daten zwischen KI und DSGVO
Datenschutz war lange Zeit in Unternehmen eher ein Compliance-Thema. Heute ist er ein strategischer Faktor. Zwischen wachsender Cyberbedrohung, sich ändernden Gesetzen und Regeln sowie dem rasant zunehmenden Einsatz von künstlicher Intelligenz (KI) stehen Unternehmen vor einer ganz neuen Realität.
Als die Datenschutzgrundverordnung (DSGVO) 2018 in Deutschland in Kraft trat und damit der verstärkte Schutz personenbezogener Daten eingeführt wurde, galt es für Unternehmen, ihre Prozesse zum Schutz der Daten anzupassen, zu dokumentieren und die neue Rechenschaftspflicht zu erfüllen. Mit dem Einsatz von KI verschiebt sich der Fokus noch einmal. Datenschutz ist auch eines der Themen, die das Beratungsunternehmen FKC Consult GmbH umtreiben. Der Dienstleister mit Hauptsitz in Lübeck berät seine Kunden im Bereich Datenschutz.
„Datenschutz wird für uns nicht langweilig“, sagt Lucca Domingues Roth, Datenschutzbeauftragter und Consultant. Er und seine Kollegen beraten nicht nur bei der Umsetzung der Datenschutzbestimmungen laut DSGVO und der NIS-2-Richtlinie. Sie prüfen, ob bei ihren Kunden alle Dokumentationen den gesetzlichen Anforderungen entsprechen, führen Risikoanalysen und Audits in den Bereichen Datenschutz und IT-Sicherheit durch und schulen Mitarbeiterinnen und Mitarbeiter sowie Verantwortliche.
Lucca Domingues Roth, Datenschutzbeauftragter bei der FKC Consult
Silas Höpken, IT-Systemadministrator bei FKC Consult
FKC in Lübeck: Technisches Know-how für KMU
Doch auch die technische Komponente wird unter die Lupe genommen. „Gerade bei KMU ist es oft so, dass das technische Know-how nicht ausreichend ist oder die Umsetzung fehlt, vor allem, wenn es darum geht, Daten zu sichern“, sagt Silas Höpken. Er ist als IT-Systemadministrator bei FKC Consult tätig und verantwortlich für die Betreuung und Sicherstellung der IT-Infrastruktur. Eine weitere relevante Vorgabe ist die NIS-2-Richtlinie der EU, die im Dezember 2025 in Kraft getreten ist. Sie ist ein neues Gesetz zur Cybersicherheit, das Unternehmen stärker in die Pflicht nimmt. Ziel ist es, wichtige Bereiche wie Energie, Gesundheit oder digitale Dienste besser vor Cyberangriffen zu schützen (siehe Seite 42). Für Unternehmen bedeutet das: Sie müssen ihre IT-Sicherheit deutlich verbessern, Sicherheitsvorfälle schnell melden und klare Schutzmaßnahmen einführen. Neu ist auch, dass nicht mehr nur die IT-Abteilung verantwortlich ist, sondern die Geschäftsführung selbst stärker haftet. Für Unternehmen wird die Lage nicht einfacher, denn neben der DSGVO kommt mit dem europäischen AI Act ein zweites Regelwerk hinzu.
"Der Bereich Datenträgervernichtung wächst immer mehr. Auf einem Handy oder Laptop sind wesentlich mehr Daten gespeichert als in einer Regalschrankwand mit Akten in Papierform."
Hanjo Wrobel
GreenDataProtection: Sichere Vernichtung digitaler Daten
Eine andere Form des Datenschutzes bietet die Firma GreenDataProtection GmbH & Co. KG mit Sitz in Ahrensburg und Pinneberg. Neben der Einlagerung von Akten bietet das Unternehmen einen noch umfassenderen Service: „Wir betreiben Akten- und Datenträgervernichtung. Das heißt, wir zerstören unwiderruflich“, sagt Geschäftsführer Hanjo Wrobel. Das Unternehmen mit knapp 20 Mitarbeiterinnen und Mitarbeitern ist ein Tochterunternehmen des Altpapierhandelsunternehmens Ludwig Melosch.
Auch bei den Kunden von GreenDataProtection spielt die Einhaltung der DSGVO eine große Rolle. Ziel ist es, mit maximaler Sicherheit zu gewährleisten, dass die Daten tatsächlich zerstört werden. Denn der Kundenstamm ist vielfältig: Von Verlagen über Ärzte, Krankenhäuser und Banken bis hin zu Behörden ist alles vertreten. „Eigentlich jeder, der mit sensiblen Akten oder Datenträgermaterialien umgeht“, so Wrobel. Wurden diese Informationen früher eher auf Papier gesammelt, sind es heute Festplatten, USB-Sticks oder CDs, aber auch Handys oder Tablets. „Der Bereich Datenträgervernichtung wächst immer mehr. Auf einem Handy oder Laptop sind wesentlich mehr Daten gespeichert als in einer Regalschrankwand mit Akten in Papierform“, sagt Wrobel.
Zwei Mitarbeiter von GreenDataProtection mit den eigens entwickelten eBoxen
Doch auch andere IT- und Elektrogeräte kann man bei GreenDateProtection entsorgen. Dafür haben sie eine eBox entwickelt, in der Unternehmen ihre Geräte sicher entsorgen können. Die Spezialisten von GreenDataProtection bauen die Geräte dann auseinander und zerstören die Festplatten oder Datenträger unwiederbringlich. Die restlichen Bestandteile gehen in den Recyclingkreislauf. Werden Akten in Papierform zur Vernichtung abgeholt, werden sie in zertifizierten Anlagen nach ISO 21964 in kleinste Schnipsel geschreddert. Aus dem Papierabfall wird überwiegend neues Papier hergestellt. Der Sicherheitsaspekt ist dabei wesentlich: Sicherheitsschleusen auf dem Firmengelände, Absicherung in den Fahrzeugen sowie Sicherungen an den Behältern, in denen die Akten transportiert werden. Dies dokumentiert GreenDataProtection lückenlos und weist die Zerstörung zur DSGVO-konformen Dokumentation der Entsorgung mit einem Vernichtungszertifikat nach.