Die bpc GmbH mit Hauptsitz in Essen und einer Niederlassung in Frankfurt a. M. entstand 2022 aus der Übernahme der SPIE Data Protection GmbH durch die Essener Datenschutzspezialisten zps GmbH. Mit einem auf Datenschutzberatung und IT-Recht spezialisierten zehnköpfigen Team erfahrener Rechtsanwälte, Wirtschaftsjuristen und IT-Experten ist die bpc GmbH optimal aufgestellt. Sie berät Unternehmen jeder Größe, u. a. laufend zu den Cloud-Diensten aus dem Microsoft 365-Kosmos. In dem von ihr entwickelten privacy:hub werden die Microsoft 365 Updates kontinuierlich bewertet.
Wir haben über die datenschutzkonforme Nutzung von Microsoft 365 durch Unternehmen mit den bpc-Geschäftsführern Dr. Thomas Balzer (Rechtsanwalt, EuroPriSe Certified Privacy Expert) sowie Dr. Viktoria Schmittmann (Fachanwältin für IT-Recht, Wirtschaftsinformatikerin) gesprochen.
Regio Manager: Herr Balzer, wie unterstützen Sie und Ihr Team Unternehmen in Sachen Datenschutz?
Dr. Thomas Balzer: Bei bpc bündeln wir jahrelange anwaltliche Expertise im nationalen und internationalen Datenschutzrecht mit zusammen mehr als 50 Jahren Erfahrung als nationale, EU- und Konzern-Datenschutzbeauftragte. Unser Kerngeschäft ist es, nationale und internationale Unternehmen vom Start-up bis zum Großkonzern in sämtlichen datenschutzrechtlichen Fragen zu beraten – sowohl strategisch als auch im Tagesgeschäft. Darüber hinaus übernehmen wir für unsere Kunden auf Wunsch auch die Funktion des Datenschutzbeauftragten.
Wir sind Experten für alles, was mit dem Datenschutz einhergeht: vom Aufbau der Datenschutzorganisation über den Entwurf der datenschutzrechtlichen Verträge bis hin zum Umgang mit Aufsichtsbehörden oder Betroffenen. Zusätzlich beraten wir unsere Kunden auch im Hinblick auf den Einsatz Künstlicher Intelligenz und Cloud Compliance. Generell bedienen wir ein sehr breites Spektrum, da wir uns nicht auf spezielle Branchen oder einzelne Regionen beschränken. Was uns besonders auszeichnet, ist vor allem unsere tiefgehende rechtliche Expertise in Kombination mit unserem umfassenden IT-Know-how. Dadurch sind wir in der Lage, auch technisch in einer sehr starken Tiefe zu beraten. Dabei bleiben wir immer pragmatisch.
RM: Welche datenschutzrechtlichen Schwachstellen sind bei Cloud-Software wie MS 365 problematisch?
Dr. Viktoria Schmittmann: Nahezu jedes deutsche Unternehmen setzt Microsoft-Dienste ein. Eine der größten Herausforderungen dieser Cloud-Systeme liegt darin, dass diese sich täglich ändern. So werden z. B. bei Microsoft 365 jährlich mehr als 1.500 Updates eingespielt. Diese Updates können weitreichende datenschutz- oder mitbestimmungsrechtliche Auswirkungen haben kann oder die IT-Sicherheit betreffen. Die Spannbreite reicht von einer einfachen Anpassung der Benutzeroberfläche bis zur Einführung komplett neuer Dienste, die mithilfe Künstlicher Intelligenz Daten des Unternehmens verarbeiten.
Unserer Erfahrung nach sind sich viele Unternehmen dieser Risiken gar nicht bewusst oder haben nicht die Kapazitäten, um jedes Updates zu prüfen. Dabei müssten sich mindestens die IT, der Datenschutzbeauftragte, die Compliance- oder Rechtsabteilung sowie – falls vorhanden – der Betriebsrat inhaltlich abstimmen, ob und welche Risiken das Update für das Unternehmen mit sich bringen kann. Das kann dann schnell eskalieren, wenn der Betriebsrat in einem großen Unternehmen sich zum Beispiel nicht informiert fühlt und feststellt, dass durch ein Update auf einmal personenbezogene Daten von Mitarbeitern unrechtmäßig verarbeitet werden. Genau hier setzen wir mit unserer Software an.
RM: Inwiefern ermöglicht Ihre Plattform Unternehmen ein professionelles Management von MS 365?
TB: Der privacy:hub für Microsoft 356 bündelt alle relevanten Updates aus den offiziellen Quellen von Microsoft an einer Stelle und zieht sich automatisiert jeden Morgen sämtliche Informationen hierzu. Auf dieser Grundlage können wir dann für unsere Kunden jedes Update separat aus Sicht des Datenschutzes, der betrieblichen Mitbestimmung und der Informationssicherheit bewerten und bieten damit quasi „Evaluation-as-a-Service“. Unsere Kunden lagern diese wichtige Aufgabe damit an uns aus – das spart Geld und Zeit.
Anhand eines Ampelsystems erhalten dann die Stakeholder des Unternehmens eine Indikation, welches Update unbedenklich ist und einfach durchlaufen kann und welches hingegen intensiver geprüft werden muss – vielleicht sogar zunächst gar nicht ausgerollt werden sollte. So wird sichergestellt, dass die Nutzer rechtzeitig Risiken für den eigenen Betrieb erkennen bzw. Prioritäten setzen und sich alle Beteiligten in der gleichen Zeit in der gleichen Qualität informieren können.
Einer der Hauptvorteile der Plattform ist sicherlich die Komplexitätsreduktion, im Sinne einer übersichtlichen Zusammenfassung aller relevanten Informationen – aktuell, fundiert und auf den Punkt gebracht. Diese Vorselektion ist enorm zeitintensiv, um nicht zu sagen: ein Vollzeitjob. Wir haben Kunden, die sagen, dass sie ohne die Plattform zwei bis drei Mitarbeiter im Jahr benötigen würden, die jedes einzelne der rund 1.500 Updates prüfen. Diesen extrem hohen Aufwand nehmen wir unseren Kunden ab. Denn wirklich kritisch sind am Ende vielleicht nur 5 Prozent aller Updates und genau diese gilt es jedoch mit der nötigen Expertise detailliert zu prüfen.
Mit dem privacy:hub können wir also als neutrale, externe Stelle unseren Kunden laufend eine fundierte Analyse der neuesten Entwicklungen bieten. Die Informationen werden dort zweisprachig zur Verfügung gestellt – auf Deutsch und auf Englisch. Da wir in engem Kontakt mit Microsoft stehen und auch Microsoft Partner sind, sitzen wir direkt an der Informationsquelle und können alle Neuerungen über die Plattform direkt an unsere Kunden weitergeben.
RM: Welche Herausforderungen sehen Sie in naher Zukunft auf Ihre Kunden zukommen, auf die Sie sich jetzt schon vorbereiten?
VS: Microsoft hat Milliarden in OpenAI – das Unternehmen, das hinter ChatGPT steht – investiert und ist dabei, Künstliche Intelligenz (KI) in nahezu jeden Dienst von Microsoft 365 zu integrieren. Insofern befinden wir uns erst ganz am Anfang einer weitreichenden Entwicklung, denn mit der Einbindung von KI in Softwaredienste z.B. über den Microsoft Copilot entstehen ganz neue datenschutzrechtliche Problematiken. Bereits jetzt ist KI an so vielen Stellen involviert, dass man nur noch schwer nachvollziehen kann, welche Daten wo landen und wie ausgewertet werden. Dieser Mangel an Transparenz ist natürlich ein riesiges Problem. Daher spielt auch das Thema KI im privacy:hub neben den Informationskategorien Datenschutz, Informationssicherheit und Mitbestimmung schon jetzt eine entscheidende Rolle. Um wettbewerbsfähig zu bleiben, kommt kein Unternehmen um die Nutzung von KI herum – wir wollen helfen, die Einführung durch effizientes Risikomanagement zu erleichtern.
Miriam Leschke | redaktion@regiomanager.de
bpc
Einigkeitstraße 9
45133 Essen
Ein Porträt des Unternehmens und weitere Informationen zu bpc finden Sie HIER
Teilen:
Fotostrecke
(© Gerd Lorenzen)
Dr. Viktoria Schmittmann (COO) (© Gerd Lorenzen)
Geschäftsführer Dr. Thomas Balzer (CEO) (© Gerd Lorenzen)
