An diesem Tag war die Stimmung beim Essener Softwarehersteller DextraData gut. Vor allem in der Marketing-Abteilung. Auf der Website der hauseigenen GRC-Lösung GRASP gab es erstmals eine interaktive Demo der Datenschutz-Umgebung. Der Begriff „Meilenstein“ fiel dermaßen oft, dass er glatt wie ein Produktname klang.
Dann kam eine E-Mail. Nichtssagendes, hektisches Geblinke bekäme man mit der Demo vorgesetzt. Der Satz war Teil einer längeren E-Mail, blieb aber in Erinnerung. Er stammte von einem gewissen Andreas Rübsam. Eine kurze Google-Recherche ergab: Über zehn Jahre Praxis als Datenschutz- und Informationssicherheitsbeauftragter. Projekte quer durch Gesundheitswesen, Industrie, Handel und öffentliche Verwaltung. Schnell war klar: Wenn jemand wie er etwas „nichtsagendes Geblinke“ nennt, ist das kein Bauchgefühl, sondern ein Befund.
Ein Befund, den man ernst nehmen sollte. Noch am selben Tag tat DextraData etwas Ungewöhnliches. Statt die vielleicht etwas überspitzte Kritik zu ignorieren, nahm man den Grundsatz „If you can’t convince him, make him one of us“ wörtlich.
Jedes Feedback ist wertvoll, vor allem das kritische. Also wurde der Berater eingeladen. Denn jetzt wollte DextraData mehr wissen. Der Grund ist Teil einer gesunden Selbstreflexion: Woran es den meisten Softwareherstellern mangelt, sind Menschen von der Front. Typen mit echter Erfahrung und unvorbelastetem Blick auf Software. Leute, die eben nicht „zu nahe am Projekt“ sind und sich an Feature-Listen abarbeiten.
Als Rübsam wenige Wochen später im Essener Headquarter stand, war klar: So misslaunig, wie die Mail damals klang, ist der Mann gar nicht. Es folgten gute Gespräche und schließlich fiel die Frage: „Was müsste passieren, damit Sie nicht nur kritisieren, sondern mitbauen?“
Nun kam ein Plot-Twist, den selbst „Make him one of us“-Strategen so nicht kommen sahen: Rübsams Firma Condatis wurde von DextraData übernommen. Rübsam blieb Geschäftsführer der Condatis, doch die heißt jetzt „DextraData GRC Advisory“.
Kein PR-Stunt. Aber man suchte ohnehin jemanden, der es im ChatGPT-Karaokezeitalter kompetent menscheln lässt. Jemand, der als echter Mensch Kunden berät und gleichzeitig Produktmanagement und Entwicklung herausfordert, um schließlich das beste Produkt für den Anwender zu ermöglichen. Eine klassische Win-Win-Situation.
So saß einer der härtesten Kritiker plötzlich mit am Tisch.
Überliefert sind Feedbacks wie:
„Ich will eine Betroffenenanfrage live. Auskunft, danach Archivierung. Und ich will sehen, wer was wann warum gemacht hat.“
Derartiges spielten Entwickler und Produktmanager immer wieder durch. Prozesse, wie sie in der Realität aussehen: Eingang dokumentieren, Fristen im Blick, Zuständigkeiten klar. Danach Archivierung als sauberer Ablauf, nicht als Zauberknopf. Und schließlich das, woran viele Lösungen scheitern: Nachvollziehbarkeit. Audit-Logs, die zeigen, wer was geändert hat, wann und mit welcher Begründung.
„Das sind genau die fünf Prozent, an denen die meisten GRC-Lösungen mit Datenschutzmodul scheitern“, sagt Rübsam.
Datenschutz trifft Datensicherheit
Auch ging es um den Teil, den man nicht schönreden kann: Vorfälle und Datenpannen. Struktur statt Chaosordner. Und um die Frage, ob das Modul eine weitere Insellösung wird oder sich in bestehende Abläufe einfügt. Gesagt, getan: Das neue Datenschutzmodul integriert sich in vorhandene ISMS- und BCM-Workflows, sodass Datenschutz und Datensicherheit nicht länger parallel verwaltet werden müssen.
Das Ergebnis: weniger Klicks, weniger Risiko
Der sichtbarste Effekt zeigte sich im Alltag. Die Workflows wurden verschlankt, weil Komplexität in der Praxis sonst zu Umgehungen führt. Ein Beispiel: Die alte VVT-Ansicht im DPM brauchte, wenn man alles befüllt, mindestens 126 Klicks. Die neue Version kommt auf 48. Rund 61,9 Prozent weniger – möglich durch Nutzung vorhandener Daten, sinnvolle Verknüpfungen und besseres UX/UI.
Weniger Klicks sind kein Luxus. Es sind weniger Fehler, weniger Frust, weniger „mache ich später“. Am Ende oft der Unterschied zwischen dokumentiertem Datenschutz und gelebtem Datenschutz.
Doch die Optimierung geht über „weniger Klicks“ hinaus: Das neue Datenschutz-Modul schließt gezielt die Lücke zwischen Datenschutz und Datensicherheit. Es unterstützt nicht nur bei der Pflege von Verarbeitungstätigkeiten und Verzeichnissen (VVT), sondern auch beim strukturierten Umgang mit Datenschutzvorfällen und Datenpannen. Ebenso werden Betroffenenanfragen inklusive der dazugehörigen Abläufe sauber abgebildet – vom Eingang bis zur Nachverfolgung.
Das neue und verbesserte Datenschutzmodul steht ab sofort ab 99,00 Euro pro Monat in der Professional-Edition zur Verfügung.
