Jérôme Kassel

Kassel und Kurhessen königlich erleben



Datenschutz pragmatisch

1. November 2018 | Von | Kategorie: Wirtschaft 

In einer Serie stellt Jérôme Start-ups aus Kassel vor. Stephan Blazy und Kevin Marschall machen mit ihrem Unternehmen GDPC den Anfang.

Foto: Mario ZgollDie Datenschutzgrundverordnung (DSGVO) hat in diesem Jahr für allerlei hektischen Aktionismus gesorgt. Erst als sie am 25. Mai in Kraft trat, schienen etliche Unternehmen zu bemerken, dass ein DSGVO-konformes Arbeiten einige Umstellungen erfordern würde, die nicht von heute auf morgen zu realisieren sind. Während einige den Handlungsbedarf immer noch nicht erkennen, sind andere die Herausforderungen erst spät angegangen. Andere, die frühzeitig an den Vorbereitungen arbeiteten, hatten es dennoch schwer, denn selbst Datenschutzexperten schienen zum Teil überfordert und warfen wild mit Paragrafen um sich, was mehr verwirrte als half. Zwei ehemalige Studenten des früheren Uni-Vizepräsidenten Prof. Dr. Alexander Roßnagel wollten dem nicht tatenlos zusehen und starteten ein Unternehmen, das Datenschutzaufgaben pragmatisch und verständlich angeht: GDPC.

Unsicherheiten begegnen
Kevin Marschall und Stephan Blazy sind die Gründer von GDPC und haben sich schon seit dem ersten Entwurf der DSGVO in 2012 auf Forschungsbasis mit dem Thema auseinandergesetzt. Beide waren vor Inkrafttreten der Verordnung am Lehrstuhl von Alexander Roßnagel beschäftigt und betreuten verschiedene zum Teil interdisziplinäre Projekte aus rechtswissenschaftlicher Sicht. Schon eine ganze Zeit lang habe es immer wieder Anfragen aus der Praxis an die beiden Experten gegeben, ob sie helfen könnten, die Vorgaben der DSGVO zu interpretieren. „So hatten wir bereits in der Forschung unsere ersten Kundenbeziehungen und haben gemerkt, dass es auch in der Beraterpraxis viel Unsicherheit und Unwissenheit gibt, wie bestimmte Sachen auszulegen sind“, sagt Kevin Marschall. „Und weil wir darüber wissenschaftliche Abhandlungen geschrieben haben, lag für uns die Frage nahe, ob wir das nicht für die Praxis urbar machen wollen. Prof. Roßnagel ist natürlich auch eine Bank in dem Sektor und so haben wir gesagt, wir machen das einfach.“

Jede Ausnahme geatmet
Im April gründeten die beiden ihr Unternehmen und längst eilt ihnen der Ruf voraus, die Dinge auf verständliche und zugleich rechtssichere Weise anzupacken. Kunden wissen das zu schätzen, unter anderem auch die documenta. Stephan Blazy erklärt: „Unser Vorteil ist, dass wir die Details, Interpretationsmöglichkeiten und Sonderregelungen kennen und unsere Auftraggeber profitieren davon.“ „Je genauer Sie über die Hintergründe Bescheid wissen und je intensiver Sie jede Ausnahme von zum Beispiel der Informationspflicht geatmet haben, desto unkomplizierter können Sie beraten“, sagt Kevin Marschall.

Durch Qualität abheben
Momentan seien viele Berater unterwegs, die sich nach ein paar Tagen Seminar rein rechtlich so nennen dürfen, führt Marschall weiter aus. „Aber nach vier Tagen kann man natürlich keinen datenschutzrechtlich nur einen Hauch komplexeren Sachverhalt beurteilen. Das ist ein großes Problem“, sagt er. Umso mehr möchte man sich in der Qualität der Beratung abheben.

Praxisadäquaten Ausgleich finden
Die Herangehensweise ist unkompliziert, wie Stephan Blazy beschreibt: „Generell führen wir mit Interessenten ein ausführliches Gespräch und schätzen dann ein, welcher Aufwand und welche Projektdauer nötig sind, um eine DSGVO-Konformität sicherzustellen.“ In 90 Prozent aller Fälle müsse man bei null anfangen.

„Wir gehen dann in den Betrieb, machen eine Komplettbegehung, durchleuchten alle Prozesse. Häufig lernen Unternehmer ihre Betriebe dadurch auch noch mal richtig kennen. Dann können wir einschätzen, was wirklich auf den Nägeln brennt und was auch von außen am ehesten ins Auge fällt. Es geht nicht darum, päpstlicher zu sein als der Papst, sondern einen praxisadäquaten Ausgleich für alle Seiten zu finden, der die unkomplizierteste Lösung darstellt“, beschreibt Stephan Blazy.

Neuralgische Punkte benennen
Auch das Preismodell ist einfach gehalten und die Überführung der Datenschutzregelungen in die Praxis wird rundum betreut. Stephan Blazy: „Wer uns einkauft, kauft das volle Paket. Alle Leistungen, wie Mitarbeiterschulung, Audits, Prozessanpassung, Vertragsprüfung, fachliche Stellungnahmen und Umsetzungsempfehlungen sind enthalten.“ Man wolle nicht das typische Modell anbieten, wo der Kunde eine Grundgebühr zahle und jede Leistung einzeln abrufen müsse. „Solche Abrufmodelle machen wenig Sinn, weil dann der Geschäftsführer selber kommen müsste und fragen, ob er nicht eine Informationspflichterfüllung nach Artikel 13 DSGVO braucht“, ergänzt Kevin Marschall. Das könne der aber in der Regel gar nicht wissen. „Deshalb screenen wir alles von Anfang an und benennen die neuralgischen Punkte“, sagt Blazy. Darauf aufbauend schaffe man gemeinsam mit den Kunden eine Struktur, die man im Folgenden nur noch kontrollieren und anpassen müsse.

Auch beratend tätig
„Datenschutz ist nicht einfach nur ein Verzeichnis machen, Infopflichten und fertig – Datenschutz ist sehr diffizil. Es gibt über 200 Gesetze, die sich am Rande nur mit Datenschutz beschäftigen und die habe selbst ein Datenschutzbeauftragter oft gar nicht auf der Uhr“, erklärt Marschall. Deshalb biete man an, auf Abruf tätig zu sein, wenn es bereits einen internen Datenschutzbeauftragten gibt und auch großen Beauftragendienstleistern oder Anwaltskanzleien steht man beratend zur Seite. Sei man aber selbst zum Datenschutzbeauftragten bestellt, erhalte der Kunde immer die Komplettlösung.

Nur eines kommt nicht in Frage: „Wir haben auch schon Anfragen bekommen, ob man uns nicht einfach einkaufen könne, um uns auf der Website als Datenschutzbeauftragte zu benennen. Das ist schon aus juristischer Sicht schwierig, das machen wir nicht“, unterstreicht Kevin Marschall.

www.gdpc.de

Über die Gründer
Kevin Marschall (29) begann sein juristisches Studium im Bereich des Informationsrechts im Jahr 2010 und studierte unter anderem in Hannover und Glasgow mit den Schwerpunkten IT, Datenschutz und Security. Schon während des Studiums arbeitete er für Accenture, eine der weltweit größten Unternehmensberatungen im Bereich Corporate Data Protection. Zuletzt promovierte er bei Prof. Dr. Roßnagel in Kassel und betreute dort ein dreieinhalbjähriges Forschungsprojekt über die datenschutz- und beweiskonforme Gestaltung von IT-Systemen. Seit mehr als sechs Jahren ist er sowohl praktisch als auch in der Forschung im Bereich des Datenschutzes tätig. Zur Auslegung von einzelnen Vorschriften und zur praktischen Umsetzung der DSGVO veröffentlichte er mehr als 20 Fachartikel und hält viele Fachvorträge.

Stephan Blazy (28) begann sein Bachelor-Studium Wirtschaftsrecht an der Brunswick European Law School ebenfalls im Jahr 2010. 2014 kam er an die Universität Kassel, wo er bis 2016 seinen Master Wirtschaftsrecht machte und seine Abschlussarbeit im Bereich IT-Sicherheitsrecht bei Prof. Roßnagel schrieb. Von diesem wurde er angesprochen, ob er sein bisheriges Wissen in einem Forschungsprojekt weiter vertiefen wolle, was Blazy auch mit seiner Dissertation verknüpfen konnte. Bei Professor Roßnagel lernten sich die heutigen GDPC-Chefs kennen. „Everything happens for a reason“, sagen beide.

Tags: , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.