Business Circle: Sehr geehrter Herr Möller, Sie sind Geschäftsführer des Privacy-Tech Unternehmens caralegal. Wie kam es zur Gründung von caralegal und welches Problem müsste man haben, damit man sich damit idealerweise genau an Sie wendet?
Björn Möller: Das Ziel von caralegal ist es, Datenschutz neu zu denken und wir helfen Unternehmen dabei, die komplexen Anforderungen des Datenschutzrechtes in Ihre Organisation zu bringen, ohne dass Prozesse und Innovation zum Stillstand kommen. Dabei ist es wichtig zu erwähnen, dass caralegal eine Ausgründung aus einer renommierten Rechtsanwaltskanzlei und einer Datenschutzberatung ist. Meine Mitgründerinnnen Simone Rosenthal und Kathrin Schürmann haben nach der Einführung der DSGVO hunderte Unternehmen beraten und zwei Probleme identifiziert:
Erstens lassen sich die Dokumentationspflichten der DSGVO nicht mit Excel in den Griff bekommen und zweitens konzentrierten sich die etablierten Softwareangebote mehr auf die Ablage von Dokumenten als auf die effektive Zusammenarbeit zum Thema Datenschutz.
Im gleichen Zeitraum war ich Leiter der Softwareentwicklung bei einem großen Automobilkonzern und habe das Thema Datenschutz über zahllose Excel-Dokumente kennengelernt, die für Laien kaum verständlich und für die Datenschutz-Teams selbst nicht zielführend waren.
Wenn Unternehmen also das Gefühl haben, sie müssen zwischen Compliance und Innovation entscheiden, dann liegt das in der Regel an der fehlenden Zusammenarbeit, dem ungenügenden Datenschutzbewusstsein in der Belegschaft oder daran, dass es keine Single Source of Truth gibt. Unternehmen die zumindest eine dieser Herausforderungen kennen, finden mit caralegal endlich eine passende Lösung.
BC: Welches sind die derzeit aktuellsten Datenschutz-Herausforderungen für heimische Unternehmen?
Möller: Die grundlegende Herausforderung liegt darin, dass der Datenschutz nicht als einmaliges Projekt gesehen werden darf, sondern vielmehr ein stetiger Prozess ist. Mit den sich ändernden rechtlichen Gegebenheiten - wie zuletzt der neuste Angemessenheitsbeschluss mit den USA - sowie der wachsenden Gefahr von Cyberangriffen müssen Unternehmen laufend am Ball bleiben und Expertise aufbauen.
Hinzu kommt, dass die Rolle eines Datenschutzexperten in einer Organisation nicht nur rechtliches Wissen verlangt, sondern auch ein tiefes Verständnis für interne Prozesse und Risiken. Deshalb darf diese Rolle nicht als Silo verstanden werden, denn der Erfolg hängt maßgeblich von der Kollaboration mit anderen Unternehmensbereichen ab.
In die Zukunft blickend nehme ich bei vielen Unternehmen gemischte Gefühle für die Bestrebungen der EU für einen souveränen EU-Datenbinnenmarkt wahr. Die Diskussionen zur KI-VO oder zum Cyber Resilience Act sind beispielhaft dafür.
Weg von Excel, Word oder Confluence
BC: Warum ist es gerade unter DSGVO-Gesichtspunkten so wichtig, eine intelligente Single Source of Truth zu haben und was muss die spezifische „Intelligenz“ dieser leisten können?
Möller: Am Besten erläutere ich das kurz anhand unserer Software: Rund 80% unserer Neukunden haben ihre Dokumentation in Excel, Word oder Confluence erstellt. Dabei ist oft nicht klar, was darin wirklich dokumentiert wurde, da der Inhalt das letzte Mal 2018 vollständig geprüft wurde.
Sobald wir diese Daten automatisiert in caralegal importieren, werden durch die Verknüpfung und übersichtliche Darstellung viele Fragen beantwortet, wie z. B.: In welchen Prozessen werden besonders sensible Daten verarbeitet? Welche Daten werden in unsichere Drittländer übermittelt? Bei welchem Dienstleister fehlen die AVVs?
Die Intelligenz unserer Software zeigt sich auch darin, dass Doppelarbeit durch die vollständige Verknüpfung von allen datenschutzrelevanten Dokumenten vermieden wird. So können unsere Kunden beispielsweise Ihre Datenschutzaudtis teilautomatisieren, da bereits ein Großteil der notwendigen Informationen in caralegal vorhanden ist.
BC: Beim Einführen einer Datenschutzmanagement-Software: Was sind die typischen Anfangsfehler, welches sind die steilsten Klippen, die es zu umschiffen gilt?
Möller: Bei einer Softwareeinführung ist das Setup und die Migration von Bestandsdaten ein Thema, vor dem viele Unternehmen großen Respekt haben und das oftmals zurecht, weil sie bei anderen Anbietern dafür mehrere Jahre gebraucht haben.
Deshalb haben wir uns von Anfang an überlegt, wie wir diesen Prozess so einfach wie möglich gestalten können. Mit dem schon angesprochenen Importprozess, Schulungen für Anwender und unseren fachkundigen Onboardingmanagern stellen wir sicher, dass unsere Kunden von Anfang an den größten Nutzen aus caralegal ziehen.
Aber die wirkliche Arbeit beginnt natürlich erst nach dem Setup und hängt im Detail von der Datenschutzreife eines Unternehmens ab. Grundsätzlich rate ich Unternehmen, das Datenschutzmanagement in kleinere, iterative Projekte zu unterteilen. Zu oft werden entweder die Details übersehen oder die Gesamtaufgabe erscheint zu gewaltig und überwältigend, sodass sie gar nicht erst angegangen wird.
caralegal bietet hierbei Unterstützung in Form von Anleitungen und eines digitalen Assistenten, aber letztendlich ist die Software vor allem eine Unterstützung für reale Datenschutzexperten im Unternehmen. Als Unternehmen muss ich diesen Menschen die notwendigen Ressourcen zur Verfügung stellen, damit sie Ihre Arbeit gewissenhaft machen können; denn schließlich liegt der Erfolg in den Händen der Menschen, die mit dem System arbeiten.
BC: Die beste Datenschutz-Software nutzt nichts, wenn die menschliche Firewall undicht ist. Wie gelingt es, das Team ins Boot zu holen und Awareness zu schaffen?
Möller: Da stimme ich Ihnen absolut zu. Wir haben uns bei caralegal das Ziel gesetzt, dass die Verantwortung für den Schutz von Daten zur Normalität von allen im Unternehmen werden muss. Sicherlich haben wir noch einen Weg vor uns, aber durch interaktive Schulungen, intuitive Benutzeroberflächen und den dedizierten Einsatz von KI gelingt es uns immer mehr, alle Mitarbeitenden abzuholen und mitzunehmen.
Dabei möchte ich hervorheben, dass sich unsere Software der jeweiligen Benutzerrolle anpasst. Das bedeutet, dass z. B. ein Mitarbeiter der Marketingabteilung eine deutlich schlankere Benutzeroberfläche hat und so jene Informationen bereitstellen kann, die der Datenschutzexperte benötigt.
Letztlich glaube ich, dass es niemanden gibt, dem das Thema Datenschutz egal ist. Wir arbeiten jeden Tag daran, dieses komplexe Thema so aufzubereiten, dass alle im Unternehmen verantwortungsbewusst mit Daten umgehen können.
Wir stehen erst am Anfang der Datenschutz-Reise
BC: Welches Mindset möchten Sie bei Ihren Zuhörern implementieren, welche Botschaft haben Sie an Ihr Publikum?
Möller: Wir sind als Gesellschaft erst am Anfang unserer Datenschutzreise und die Herausforderungen im verantwortungsvollen Umgang mit Daten werden gerade durch die rasanten Entwicklungen im Bereich der Künstlichen Intelligenz permanent größer.
Leider wird Datenschutz heute oft aus den falschen Gründen vernachlässigt. Meine Mitgründerinnen und ich sind uns jedoch einig: In der nahen Zukunft wird es kaum ein Unternehmen geben, das sich diesem Thema entziehen kann. Vielmehr werden Unternehmen den bewussten Umgang mit Daten als klaren Vorteil für sich, ihre Mitarbeitenden und vor allem ihre Kunden sehen.
BC: Sie werden jetzt zum ersten Mal bei Business Circle sein – worauf freuen Sie sich am meisten?
Möller: Am meisten freue ich mich darauf, frische Impulse von Gleichgesinnten zu erhalten, die den Kulturwandel für Datenschutz in Unternehmen vorantreiben und auf den Austausch von praxiserprobten Ansätzen für Verbesserungen im Datenschutzmanagement.
BC: Sehr geehrter Herr Möller, wir danken Ihnen für das Gespräch und freuen uns, Sie im Oktober auf der PriSec zu begrüßen!
Björn Möller, MIB ist der Geschäftsführer des Privacy-Tech Unternehmens caralegal. Er ist ein Produkt- und Tech-Enthusiast und hat langjährige Erfahrung in der Entwicklung von performanten Softwarelösungen und ist für die kundenzentrierte Weiterentwicklung der Privacy Solution Platform verantwortlich. Am 10. Oktober ist er im Rahmen der PriSec 2023 Gastgeber eines Workshops zum Thema „Best Practices im Datenschutzmanagement mit einer intelligenten Single Source of Truth“
