Das Verarbeitungsverzeichnis – Last oder Mehrwert? – Philipp Wolf im Datenschutz Talk

Moderation: Zu Gast:

Palantir ist ein Softwareunternehmen, das Unternehmen und Behörden zu einer bestimmten Art der Datennutzung befähigt. Dafür erntet das Unternehmen viel Kritik.

Das ändert nichts an der Kompetenz des heutige Gastes, der neben der Pflicht zur Dokumentation nach Art. 30 Abs. 1 DSGVO zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten auch Mehrwerte für das Unternehmen in so einer Übersicht (VVT) sieht. Daher geben Heiko Gossen und sein Gast Philipp Wolf ein paar Impulse, um das „lästige“ Thema Verarbeitungsverzeichnis mal neu zu denken.

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ 

Twitter: https://twitter.com/DS_Talk 

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) 

Instagram: https://www.instagram.com/datenschutztalk_podcast/ 

Folge hier kommentieren: https://migosens.de/das-verarbeitungsverzeichnis—last-oder-mehrwert—philipp-wotan-wolf-im-datenschutz-talk

Transkript zur Folge: Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Heute zu einer neuen Themenfolge. Mein Name ist Heiko Gossen und wir schauen heute gemeinsam mit ihnen auf ein sehr praxisrelevantes Thema, nämlich auf das Thema Verarbeitungsverzeichnis und, Wie kann ein Verarbeitungsverzeichnis im Unternehmen vielleicht von einer lästigen Pflicht, hin zu einem wertvollen Beitrag oder zumindest mal zu einem unterstützenden Element im Unternehmen werden, also wie kann sozusagen ein Perspektivwechsel auf das VVT stattfinden. Und welche Möglichkeiten bieten sich dadurch. Mein Gast heute ist einer, wo ich schon gedanklich unser Publikum ein ein Raunen durch das Publikum äh höre. Das ist nämlich ein Kollege von einem Unternehmen, was auch schon in unseren Datenschutz-News hier und da schon mal Thema und Gegenstand war. Ich begrüße recht herzlich äh Philipp Wolf von der Firma Pallantier. Hallo Philipp. Philipp, wir kennen uns schon äh schon eine Zeit jetzt haben uns einige Male auch auf verschiedenen Veranstaltungen getroffen. Von daher duzen wir uns auch. Die Firma Palantier, da kommen wir gleich noch mal zu, was auch ja. Glaube ich, unsere Zuhörer interessieren dürfte, ist natürlich das, was ja häufig auch durch die Nachrichten der Datenschutz Community geht, nämlich die Kritik, die oft damit verbunden wird. Da gucken wir gleich auch nochmal kurz drauf. Ich darf dich aber kurz vorstellen zuerst. Du bist Jurist, du warst einige Jahre bei der Daimler AG auch als Privacy und Datenschutzcount zu tätigen und bist jetzt Seit wann genau bei Palantia und äh was ist deine Rolle da. Richtig, ich war bis Januar diesen Jahres bei Daimler, jetzt der Mercedes Benz Group AG und eben seit Januar in München bei Palandia im deutschen Büro und bin dort eben zuständig für vor allem den deutschsprachigen Raum, das heißt Deutschland, die Schweiz und Österreich. Das schon angesprochen, dass die Palateer-Software und ich glaube, das ist vor allen Dingen meistens äh das Produkt Gossem, was ihr da anbietet kritisiert wird, insbesondere von Aufsitzbehörden. Man äh wie gesagt hat auch bei uns in den News schon mal hier und da den Namen gehört. Die wird ja oft kritisiert im Zusammenhang mit dem Einsatz bei Polizeibehörden, insbesondere dann auch mit Bezug auf die Verknüpfung von verschiedenen Datenquellen, Was macht die Software? Vielleicht kannst du uns da einmal schlau machen, was ist überhaupt der Hintergrund dieser dieser Software? Was macht die und wo setzt dann auch auf die Kritik von den Aufsichtsbehörden an. Sehr gerne. Palantiers Plattformen, es gibt grundsätzlich zwei, eben einmal Gothhem bei der Polizei oder bei den Sicherheitsbehörden im Einsatz und einmal Parlamentierfoundry, die vor allem im kommerziellen Bereich im Einsatz ist. In der kurzen Antwort integrieren wir Daten. Wir analysieren Daten und der Kunde beziehungsweise das Software. Aber Nutzer kann dann eben gewisse Ableitungen damit treffen. Das ist die kurze Antwort. Möchtest du eine lange oder längere Antwort um ein bisschen einen größeren Einblick zu bekommen an der Stelle. Ja lass uns das vielleicht, gemeinsam ein bisschen erarbeiten, weil die Fragen, die ich mir stelle, werden sich wahrscheinlich auch der ein oder andere Zuhörende vielleicht äh stellen. Wie muss ich mir das erst mal vorstellen, Daten verknüpfen und Plattformen? Ist jetzt etwas, was sehr unterschiedlich umgesetzt werden kann. Ich stelle mir das jetzt so vor, ihr werdet von einer Polizeibehörde beauftragt. So was oder es gibt wahrscheinlich Ausschreibungen und irgendwann kriegt ihr einen Zuschlag und dann wird so was installiert. Das ist wahrscheinlich eine eine Software, die auf System läuft, die, Bei den Behörden laufen, die in der Cloud laufen, wie muss ich mir das vorstellen. Jede palantier Software ist grundsätzlich erst mal eine Cloud-Software, die im Behördeneinsatz dann aber natürlich auf einer Cloud läuft, die. Server oder auf einem Server bei der Polizei vor Ort ist. Das heißt, wir haben grundsätzlich keine Anbindung zu der Außenwelt, in Anführungszeichen. Um vielleicht diese diesen Verknüpfungspunkt etwas nahbarer zu machen, würde ich gar nicht so arg erst die Arbeit mit den Polizeibehörden in den Mittelpunkt stellen wollen, sondern einfach das, was ich glaube, wir beide aber auch die Zuhörer einfach tagtäglich sehen, nämlich eher so die kommerzielle Seite Art und Weise, wie die Software funktioniert, ist nämlich in beiden Fällen sehr, sehr ähnlich. Und ähm einfach mal um ein Beispiel zu malen, so von von von oben betrachtet, befinden wir uns jetzt in einer, ja, amerikanischen Kleinstadt, warum ich das Beispiel nehme, ist, äh, nach dem deutschen Baurecht funktioniert das net. Ähm, das heißt, in der, in dieser amerikanischen Kleinstadt ist es eben so, dass ich relativ, wahllos bauen kann. Das heißt, am Anfang steht da so ein großer Glaspalast. Da steht dann ja entweder so was wie wie ein Auto drin oder ähnliches. Auf jeden Fall ist das mein Store, Neben diesem Glaspalast ist er eine riesiger Wolkenkratzer. Wie gesagt, es geht in Deutschland nicht. Es geht aber in den USA und da steht ein drauf oder ist CIA, was auch immer. Und ganz am Ende der Straße ist eine Kirche aus dem 18. Jahrhundert. Letzten Endes, was die Unternehmen dann als Problem haben, ist, dass in jedem dieser drei Gebäude, die für Systeme stehen gewisse Daten anfallen und letzten Endes bringt mir die Vogelperspektive auf meine Systeme relativ wenig, wenn ich nicht weiß, was in meinen einzelnen Gebäuden stattfindet. Und an der Stelle kommt dann eben die Palantia Software beziehungsweise unser Ansatz, der sich Ontologie nennt. Ein bisschen zur Definition. Eine Unterologie sagt halt eben nicht teile gewisse Saaten auf, also zum Beispiel jetzt Fußball, kann ich aufteilen, in zwei Mannschaften. Die Mannschaft kann ich wieder aufteilen, elf Spieler, ein Torwart besteht aus Handschuhen, Kleidung und Ähnlichem und so kann ich das eben runterbrechen. Und ähm was wir dann machen ist, wir integrieren erstmal alle Daten aus den drei Häusern und bei der Ontologie ist es dann aber, wenn ich jetzt zum Beispiel am Anfang in dieses Glashaus. Schaue, aus meiner Vergangenheit, wie du vorhin schon gesagt hast, eben aus der Automobilbranche, soll zum Beispiel ein Auto. Sei es jetzt eine S-Klasse zum Beispiel und diese S-Klasse kann ich verteilen in, einmal. Quasi das Chassis einmal den Motor und andere Dinge im Auto drin und jeder dieser Teile ist ein Objekt, so nennen wir das, die Ontologie besteht aus Objekten. Und Aktionen. Und wenn ich dann auf dieses Objekt klicke, auf diesen Motor, dann kann ich sehr, sehr detailliert runtergehen und sehe dann, okay, aus was besteht denn der Motor und, Ich verbinde dann damit, aber diese Daten aus den anderen Häusern auch damit. Und letzten Endes kann ich dann an der Stelle sehen, wenn irgendein Bauteil fehlt. Eben gleich eine Action, nämlich keine zum Beispiel nachbestellen, und kann somit, also was funktioniert da? Lange Antwort, kurzer Sinn, ich kann Daten, die vorher in Systemen waren, Durch eine Ontologie zu Objekten machen. Innerhalb dieser Objekte kann ich dann Aktionen, Actions ableiten und alles passiert eben innerhalb der Plattform, zu den datenschutzrechtlichen Sachen. Insbesondere wer kann das sehen? Wer kann entscheiden, wie wird verknüpft? Äh gerne vielleicht in der Anschlussfrage. Du schaust mich nämlich gerade mit großen Augen an. Ja, das Bild finde ich schon mal sehr einleuchtend. Wie ich halt vorhandene Daten zerlegen kann und im Zweifelsfall andere Abhängigkeiten, die vielleicht in den originären Systemen so nicht abbildbar sind, damit vielleicht dann hinbekomme. Datenschutzrechtlich hast du schon angesprochen, gibt’s natürlich Fragen, die sich damit automatisch aufdrängen. Nämlich immer dann, wenn wir bei solchen Daten nicht nur über ein Automobil und wie es zusammengebaut ist, sprechen, sondern wenn halt der Personenbezug reinkommt und ich glaube, das ist dann Auch das, was in der Öffentlichkeit und bei den Aufsichtsbehörden, die ja auch für öffentliche Stellen in der Regel zuständig sind, natürlich das ist, was dann halt auffällt, wenn halt. Behörden so was halt insbesondere einsetzen, um dann auch Daten von Menschen zum Beispiel vielleicht zu zerlegen. Jetzt ist es aber ja so, wenn ich. Die ich jetzt richtig verstanden habe, das läuft halt in der Umgebung, äh die dann auf das Unternehmen oder beziehungsweise die Behörde entsprechend passt und bei denen auch ist, also das heißt, es landet jetzt nicht alles in einer großen Cloud. Das ist ja schon mal eine ganz wichtige Information an der Stelle beruhigende, wie ich finde und gleichzeitig ist es ja aber auch so, dass diese Daten. Immer unter gewissen rechtlichen Rahmenbedingungen ja verarbeitet werden dürfen. Das ist ja etwas, was ja die Software selber gar nicht entscheidet, Es war zumindest. Korrier mich, wenn es anders ist, aber, ihr, wenn ihr so was implementiert oder wenn die Software und die Plattform genutzt wird von Kunden von euch, dann entscheidet wahrscheinlich der Kunde dadrüber, wie er das einsetzt und welche Daten er, zerlegt, neu verknüpft oder auch nicht. Richtig. Das ist vollkommen richtig. Also um alle pallland hier Plattformen sind jeweils kundenagnostisch. Das heißt, ich kann selbst definieren, was ich denn als Objekt habe, weil für zum Beispiel ein Krankenhaus macht natürlich der Pfad, das Fahrzeugobjekt keinerlei Sinn und so ist es dann eben auch für die Polizeibehörden, die, sehr detailliert auch Objekte beschreiben können, zum Beispiel jetzt eine Person, aber auch nur eine Telefonnummer, also auch einen ein Handy, kann ein Objekt sein und letzten Endes in Bezug auf wie vermenge ich das Ganze? Diese Objekte sind grundsätzlich nur eine Verbindung, eine lose Verbindung zwischen Daten, die ich eh in der Schublade habe verschiedenen Systemen habe, die aber dort eben in Bezug auf einen Themenkomplex verbunden werden. Wenn ich dann auf Basis dieses Objekts eine. Eine Verarbeitung starten möchte, sei es jetzt eine Applikation, also ich mache jetzt ein Dashboard oder ich baue dann eben gewisse. Ja Nachverfolgbarkeit ist in Bezug auf die Polizeiarbeit, die du angesprochen hast, Bezug okay, ich möchte jetzt neue Actions triggern. Dann ist es an der Stelle so, dass wir seitens parantier grundsätzlich out of the box. Nennt sich haben, das heißt, ich definiere vorab einen Zweck. Im Polizeiumfeld natürlich ein anderer als jetzt eher im kommerziellen Umfeld und grundsätzlich haben dann eben für diesen Zweck erstmal niemand Zugriff und ich kann dann eben erstmal definieren, welche Daten innerhalb dieses Objekts, das heißt innerhalb dieser ganzen Systemlandschaft, die angebunden habe, ist denn für diesen Zweck eigentlich relevant und letzten Endes dann, wer muss das denn sehen? Und da an der Stelle auch nicht alle Daten können alle sehen, zum Beispiel auch jetzt bei Verschlusssache, Sachen oder ähnlichem, Alles, wie gesagt, im Polizeiumfeld, im kommerziellen Umfeld dann halt eben auch grundsätzlich, zum Beispiel, wenn’s aber auch jetzt bin ich geimpft, ja oder nein, höchst sensibel. Und da ist eben der Grundsatz, ich kann den Zweck selbst festlegen als Kunde, ich kann’s selbst festlegen, wer das sehen darf, unter welchen Umständen und auch wie, also ist es denn grundsätzlich erst mal pseudonymisiert und ich kann es dann deschöfrieren da liefern wir auch eine ein Produkt out of the Box, das nennt sich Seifer, also grundsätzlich ein Schiff hier oder D-Schrifthör-System und so kann ich dann eben einstellen, Welche Daten werden für welchen Zweck von wem? Wie verarbeitet. Die Frage, die sie mir jetzt aufdrängt, ist natürlich das, was du geschrieben hast, sind ja alles Dinge, die kann ich ja auch anders lösen. Also ich überspitze jetzt ein bisschen, aber ich sage mal. Bestimmte Daten miteinander verknüpfen, könnte ich ja auch mit Excel oder mit jeder anderen Datenbank, wenn du Detailhaus, was ist jetzt an eurer Software so besonders? Das ist. Quasi über diese Software immer so ein bisschen in den Fokus auch von Aufsichtsbehörden rückt. Ich würde sagen, dass der der Großteil der auch öffentlichen Wahrnehmung daher rührt, dass wir ganz lange eben. Gar keine öffentlichen Statements abgegeben haben und da in der Hinsicht einfach verpasst haben auch gewisse Sachen klarzustellen. Also von dem her, das ist eine Kritik an uns selbst, Das machen wir jetzt in den letzten Jahren viel, viel besser. Ich bin ja auch zum Beispiel heute hier, aber grundsätzlich ist es dann auch so, dass wir im Vergleich zu anderen einfach, nicht über gewisse Dinge reden können, weil wir in der Auftragsverarbeiterposition sind und der Verantwortliche letzten Endes zum Beispiel darüber informiert, wie er die Software einsetzt, aber auch ob er überhaupt mit paranitär zusammenarbeitet, wie es unter Umständen und unter uns mehrere DAX-Konzerne tun. Nichtsdestotrotz deswegen die Kritik kommt vor allem daher, dass wir an der Stelle relativ. Passiv waren und eben die Berichterstattung deswegen teilweise sehr, sehr eindeutig oder einseitig war. Okay, also ich nehme daraus mit, ihr macht eine Software, die stellt ihr bereit mit gewissen sicherlich äh Algorithmen und Logiken dahinter, die aber immer in der Entscheidung des Kunden, des Unternehmens, der Behörde liegen, wie sie sie einsetzen, welche Daten sie damit wie verarbeiten und vor allen Dingen auch welche Berechtigungen nachher daran hängen, wer was sehen darf, vor allen Dingen und das ist ja auch ein ganz wichtiger Punkt Zwecken und auf welchen Rechtsgrundlagen diese Verarbeitung nachher stattfinden, weil wie gesagt, ob ich das jetzt mit Excel oder irgendeinem anderen Tool mache ändert ja nichts da dran, dass ich immer für jede Verarbeitung von personenbezogenen Daten auch eine entsprechende Rechtsgrundlage brauche und das ist aber so mein Verständnis von eurer Rolle Da habt ihr eigentlich nicht den Hut für auf, sondern das ist immer ja eine Sache, die typischerweise beim Verantwortlichen nicht beim Auftragsverarbeiter liegt. Das ist vollkommen richtig und vielleicht an der Stelle, weil ich es bisher nicht gesagt hatte. Wir sind eine Software Company und keine Data Company. Das heißt, wir binden tatsächlich auch nur die Systeme an, die der Kunde hat und die Daten, die der Kunde hat. Das heißt, letzten Endes, wenn, wir zwei zusammenarbeiten würden, könnte ich dir keine Daten out of the Box liefern, obwohl du diese Anfragen sehr, sehr oft ham und wir haben übrigens auch keine Daten von dir, Heiko. Von dem her, Nee, das das ist wirklich ein wichtiger Punkt. Wir binden nur dieses Thema an die der Kunde hat und vielleicht der Unterschied zu einer fragiert fragmentierten Systemlandschaft mit mehreren Tools, die ich mir natürlich, ich kann ein Dashboard-Tool einkaufen oder ähnlichem, der, Vorteil der Plattform ist derjenige, dass wir eben auf der Objektbasis, also das heißt, von einem Menschen konzipiert kommen, das heißt, was macht für ihn Sinn? Ist das jetzt ein Auto? Ist das jetzt ein Impfstatus oder Annie? So ist jemand Games oder nicht. Aber von daher kommend und letzten Endes, was der. Großer Unterschied ist, wenn wir letzten Endes, nicht nur übers Objekt, sondern über die Action sprechen, die wir auch innerhalb der Plattform treffen, dann wird diese Action innerhalb der Plattform bleiben. Das heißt, ich kann jetzt auf den ich nenne’s jetzt mal auf den Knopf Action drücken und letzten Endes wird dann, weil es zum Beispiel Lieferengpässe gibt, ein Teil von einem anderen Zuliefer angefordert und mein Auto gebaut werden. Das hat ein gewisser Implikationen, aber letzten Endes, was dann passiert, ist der Ride. Zu dem Objekt und ich habe dann innerhalb der Plattform gleich die Echtdaten, dass ich jetzt halt zum Beispiel da eine gewisse signifikanten niedrigere Anzahl an Teilen habe und dass ich dann halt wieder auf die Lieferkette auswirkt. Das heißt, letzten Endes ist das eine Symbiose aus Objekt, und Actions und letzten Endes bleibt aber alles innerhalb der Plattform ein bisschen Zukunftsmusik, das sehr, sehr wenige Kunden bei uns bisher in 100 Prozent der Form nutzen ist. Ich kann natürlich auch aus meinen Actions lernen. Das heißt, ich kann im Nachhinein sehen, wie viele Warningen gut, weniger gut und kann damit natürlich auch eine AI trainieren, die mir dabei hilft, in Zukunft noch besser zu werden. Ich nehme mit, dass wir oder nicht wir, dass ihr mit der Software im Prinzip die Dinge ablöst und unterstützt, die wahrscheinlich in den meisten Unternehmen und auch Behörden heute schon auch manuell gemacht werden müssen teilweise oder wenn’s um so Sachen wie Lieferung von äh Artikeln geht, dann ist es halt eine Unterstützung von heute wahrscheinlich in weiten Teilen manuellen Prozessen oder halt aus einer Kombination verschiedener Systeme vielleicht ähm vom Bediener sehr stark abhängig ist was, was ihr automatisiert mit gewissen Logiken und dann auch der Möglichkeit, so was nachher wieder zu messen, ob’s gut war oder nicht gut war. Das kann ich nur vollkommen unterstreichen und eben das komplette Unternehmen abdecken, nicht nur einkaufen, nicht nur Verkauf ähnlichem. Okay, prima. Rückt für mich noch mal einiges ins rechte Licht zurück und freut mich natürlich auch, wenn wir das in Zukunft auch äh richtig hier einschätzen in unseren Datenschutznews, wenn mal wieder eine Behörde über Pallantierschirm schimpft, schimpft. Kein äh also schimpft und dass wir das auch entsprechend hier natürlich dann auch ein wenig besser zukünftig einsortieren können und nicht in die gleiche Kerbe schlagen wie alle anderen. Jetzt haben wir eben schon darüber gesprochen Zwecke, also zu welchen Zwecken werden Daten verarbeitet und das bringt mich natürlich auch zu unserem eigentlichen Thema heute, über das wir sprechen wollen, nämlich dem Verarbeitungsverzeichnis, was ja. Zumindest wenn ihr irgendwo beraten, unterstützen sich immer auch ein Stück weit an Geschäftsprozessen orientiert, um letztendlich auch diese Zweckabhängigkeit, die wir dann typischerweise auch in den Beschreibungen der Verarbeitungstätigkeiten abbilden, gut mappen zu können und nicht irgendwas, Eigenes zu machen, also ich weiß aus der eigenen Erfahrung früher wurden oft Verarbeitungsverzeichnisse oder als sie noch Verfahrensverzeichnisse hießen, oft auch an Systemen ausgerichtet, was ich halt. Wird jetzt unabhängig, ob das Eurosoftware ist oder anderes System, immer als sehr schwierig empfand, weil wir halt Zwecke sehr schwer sehr schwer im System zuordnen können. Oft sind. Mehrere Systeme für einen Zweck erforderlich, ich habe halt ein System, was mehreren Zwecken dient und damit macht’s natürlich eine datenschutzrechtliche Bewertung sehr schwierig, was halt auf einer Prozessebene deutlich einfacher ist. Wenn wir jetzt aber auf dieses Thema Verarbeitungsverzeichnis in der Praxis gucken, dann muss man ja doch sagen, in den meisten Unternehmen, die man so sieht und auch wenn man mit Datenschützern spricht, ist es sehr oft so reflektiert wird, dass es eher so eine lästige Übung, die muss man machen, steht halt im Artikel dreißig, der DSGVO drin, dass man so was haben muss. Deswegen halt dann als lästige Pflicht irgendwie gemacht wird, oft eher na ja später äh nachgezogen wird als als lebendes Dokumentations. Geführt und gleichzeitig das halt, wie gesagt, von allen Beteiligten eher als lästige Pflicht empfunden wird. Wie wie ist das deiner Wahrnehmung? Wie wie schaust du da drauf? Wie ist deine Erfahrung mit dem Thema Verarbeitungsverzeichnis. Ich kann nur unterstreichen, dass das auch mein Einblick ist, den ich bisher sammeln konnte Stichwort lästige Übung, die am Ende des ganzen Prozesses dann eben gemacht werden muss. Das heißt, Bereich, die Business-Unit hatte eine hatte eine glorreiche Idee, die wurde dann von Lidl über mehrere Monate im Zweifel geprüft. Wurde dann umgesetzt und letzten Endes bekommt man dann einen E-Mail-Erhört, in dem es dann heißt, äh bitte hier fehlt noch ein Eintrag bitte nachholen und deswegen glaube ich auch, dass es Stand heute oftmals noch so ist, dass man eben das Ganze nachgeordnet, irgendwie einfüllt in ein wie auch immer geartetes Verarbeitungsverzeichnis, das mehr oder weniger von einer Person geführt wird oder eben im best case von den Personen, die wirklich im Prozess auch betraut sind. Tatsächlich noch Luft nach oben oder was was sagst du aus der quasi aus der ersten Reihe. Ich sehe tatsächlich da große Chancen, neuen Vielen unternehmen, weil genau das. Zu sagen, wie kann ich quasi mit diesem Verarbeitungsverzeichnis etwas schaffen, was mir als aktive Informationsquelle in der Praxis auch hilft und. In erster im ersten Schritt würde ich natürlich auf den Datenschutzbeauftragten gucken und sagen, wie kann es ihm denn eigentlich helfen, in seinem Job? Weil Datenschutzbeauftragte habe ich jetzt zum Beispiel eine Prüfaufgabe und was wir zum Beispiel machen, ist zu sagen, wenn wir prüfen, dann prüfen wir immer gegen das Verarbeitungsverzeichnis. Also ich weiß dadurch ein Stück weit, wo werden natürlich dann Unternehmen Daten verarbeitet und wie sind die Abhängigkeiten und je näher ich das an den tatsächlich definierten oder auch gelebten Prozessen im Unternehmen orientiere desto besser kann ich damit natürlich auch meiner Prüfaufgabe nachkommen Gleichzeitig hilft es aber dann auch zum Beispiel zu erkennen, wenn es Rettungs gibt, sei es das vielleicht Daten. In einer Verarbeitungstätigkeit in verschiedenen Systemen liegen und ich feststelle, dass es vielleicht unnötige Renanzen sind oder ich vielleicht damit auch Löschfristen verpasse, weil ich halt nur in dem einen System gelöscht habe. Ich sehe aber auch große Chancen, dass man das weiterdenkt, also dass man das nicht nur als Datenschutzbeauftragter nutzt, sondern dass man das halt zum Beispiel auch als Informations. Drehscheibe für andere Abteilungen nutzt. Hast du in in die Richtung auch schon Erfahrungen gemacht oder zumindest mal irgendwie gedanklich Ideen entwickelt. Wie das funktionieren könnte oder was da vor allen Dingen sich anbieten würde. Sehr spannend äh Stichwort Feigenblatt oder Feigenblatt wird ja manchmal auch ein bisschen negativ wahrgenommen, deswegen nennen wir es mal als Stern in der Mitte. Tatsächlich gibt es schon, öfter die die die ich würde sagen die die Tendenz dahingehend des Verarbeitungsverzeichnis in die Mitte zu stellen und letzten Endes. Andockpunkt für weitere Sachen. Sei es jetzt zum Beispiel ein Auftragsverarbeitungsregister letzten Endes, welche Auftragsverarbeiter nutze ich denn grundsätzlich im Unternehmen, unabhängig vom System oder vom Prozess? Ein. Folgeabschätzungstool, das ich natürlich auch relativ gut anheften kann, wenn ich schon grundsätzlich weiß, welche Daten jetzt an der Stelle in dem Prozess verarbeitet werden. Von dem her, ich denke schon, dass es in die Richtung Feigenblatt gehen kann beziehungsweise Stern, pardon. Aber ich habe jetzt noch keine wirkliche Lösung auf dem Markt gesehen, die genau das oder bei einem Kunden, der genau das schon hat oder umsetzen möchte an der Stelle. Ja die Herausforderungen in den Unternehmen ist natürlich genau das, was eure Software, was du eben mit dem Bild dieser amerikanischen Kleinstadt beschrieben hast, glaube ich an in der Praxis einfach auch vor Herausforderungen stellt. In ich sage mal in meiner idealen Vorstellung ist es natürlich genau so, dass Verarbeitungsverzeichnis ist in der Mitte und knüpft an ganz viele Systeme an, wo ich. Daten und Informationen letztendlich verknüpfen kann mit den Verarbeitungstätigkeiten, also ich habe eine Verarbeitungstätigkeit aus der Verarbeitungstätigkeit heraus, wird ein Dienstleister beauftragt. Habe ich jetzt in meiner idealen Vorstellung halt zwei Anknüpfungspunkte, nämlich zum einen an die Vertragsdatenbank. Letztendlich dann sehe, ist denn. Sogar strukturiert hinterlegt habe, ist eine Auftragsverarbeitung vereinbart, ist die aktuell von wann ist sie unterschrieben und so weiter? Wann war die letzte Prüfung vielleicht auch dort in Richtung Tom, geeignete Garantien, 28 und so weiter. Auf der anderen Seite habe ich aber auch eine Schnittstelle zum Einkauf. Sodass ich halt zum Beispiel auch mit dem Einkauf darüber abgleichen kann, ist der Dienstleister überhaupt aktuell beauftragt. Oder habe ich vielleicht eine Leiche? Das heißt also, der taucht bei mir auf in meinem Verarbeitungsverzeichnis, aber in Wirklichkeit ist der schon seit drei Jahren nicht mehr beauftragt worden, weil mittlerweile ist ein ganz anderer, den sehe ich aber gar nicht, also kann ich auch gar nicht prüfen, ob’s eine Verarbeitungs äh eine Auftragsverarbeitungsvereinbarung gibt. Das wäre so ein Punkt, wo ich halt sehe, ja. Gedanklich ist da viel möglich, wenn man in den Unternehmen kommt, scheitert es meistens an diesen Schnittstellen, also an der Möglichkeit diese Systeme miteinander kommunizieren zu lassen. Würdest du sagen, es hätte Vorteile, wenn man das Verarbeitungsverzeichnis nicht, losgelöst von der eigentlichen Datenverarbeitung führt, sondern tatsächlich, jetzt denke ich natürlich etwas, ähm opportunistisch, weil letzten Endes war es ja ein Riesenvorteil ist, dass nicht nur die Legals in Anführungszeichen im System auch arbeiten, wenn das System, auch gleichzeitig das Verarbeitungsverzeichnis ist, sondern, alle Ingenieure, der komplette Einkauf. Das heißt, letzten Endes passiert das Verarbeitungsverzeichnis auf den Echtdaten, die unterhalb liegen. Das heißt, letzten Endes hätte ich an der Stelle, Möglichkeit zu sagen, okay, wie viele Betroffene habe ich denn? Nicht mehr Pi mal Daumen, ungefähr eintausend, sondern ich wüsste es in genau neunhundertsiebenunddreißig, Stand heute. Morgen können’s mehr oder weniger sein. Das heißt. Würdest du sagen an der Stelle ist die Technik einfach noch nicht so weit, dass man das machen. An der Stelle in der Detaitiefe machen kann oder würdest du sagen, das ist auch gar net nötig. Glaube, die Technik ist weit genug. Also technisch ist das alles möglich. Ganz praktisch ist es halt so, dass man dafür Geld in die Hand nehmen muss. Und da sehe ich halt immer noch einen großen Knackpunkt in den Unternehmen, dass die Bereitschaft. So ein ein Projekt anzugehen, zu sagen, wir verknüpfen unsere verschiedenen Datenpools, die wir im Unternehmen haben. Eher dafür da ist, wenn ich damit operative Prozesse wie mein Bestellwesen nachher steuern kann für mein Auto, was ich bauen muss oder wenn ich halt. Andere Geschäftszwecke damit fördern kann dann ist die Bereitschaft da, dann kommt man wahrscheinlich auch zu euch und kauft eure Software ein. Für einen reinen datenschutzgetriebenes Projekt funktioniert das aber nicht, weil dafür ist kein Business case da. Das ist einfach nachher nicht darstellbar, warum das fürs Unternehmen so einen Mehrwert hat. Aber schaffe. Und wie gesagt, das ist ja jetzt egal, ob das Eurosoftware ist oder ob ich da eine andere Lösung für habe, die die das schafft, Daten miteinander zu verbinden in Echtzeit und nicht dieses diese diese Logik hinbekomme, Wie sind die Abhängigkeiten nachher darzustellen. Wenn ich das schaffe, damit Mehrwerte auch für andere Bereiche zu schaffen, dann glaube ich kommen wir an eine Stelle, wo sich auch um Business case am Ende rechnen lässt. Also wenn ich’s schaffe. Dem Einkäufer zu erklären, dass es für ihn mehr Werte hat, wenn er direkte Anbindung an die Vertragsdatenbank hat und auch an das Verarbeitungsverzeichnis und wenn ich im Fachbereich Prozessmanagement zum Beispiel erklären kann, warum es gut ist, das mit den Prozessen, die im Unternehmen dokumentiert und definiert sind zu mappen. Und wenn ich halt schaffe Datenschutzhinweise nachher so anzubinden, dass ich sie aus meinen Verarbeitungstätigkeiten an den richtigen Betroffenen Stellen punktgenau formulieren kann, weil ich halt weiß, welche Zwecke hinten raus und welche Empfänger es gibt. Dann komme ich halt dahin, dass ich halt auch wie gesagt Mehrwerte an anderen Stellen schaffe und wenn’s halt. Die Integration von so Dingen ist wie das Risikomanagement für die Informationssicherheit, weil ich will zu meinen Verarbeitungstätigkeiten nachher Systeme zuordnen kann und daraus wieder zentrale eigene Basis schaffe, die ich sogar mit der IT verknüpfen kann bezüglich deren CMD dann auch dem Informationssicherheitsrisikomanagement. Also es gibt so viele Möglichkeiten und Abhängigkeiten, die man darüber abbilden kann. Die ist aber enorm schwer machen und herausfordernd machen, dafür in einem Unternehmen das notwendige Budget zu bekommen. Das bringt mich so ein bisschen zu der Frage, weil du’s jetzt eben auch angesprochen hast und auch ja bei den Erklärungen, was auch Software macht. Ist das schon mal ein Fall gewesen, wo ihr quasi mit eurer Software drüber nachgedacht habt, so was auch abzubilden oder ist es vielleicht sogar schon mal bei einem Kunden, der gesagt hat, Ich habe die Software eh, dann bin ich das doch auch noch mit an, ist das irgendwie ein Case. Nicht in Reinkultur, wir arbeiten aber tatsächlich mit einem deutschen Kunden zusammen, der einen Manager baut, der sehr, sehr danach sehr sehr nahe daran geht. Das heißt, letzten Endes ist es eine Art Vorprüfung und die ist in der Gestalt, dass es eben gewisse Objekte gibt und der Fachbereich letzten Endes immer. Anfragen muss, also wie eine Diesel-Freigabe per E-Mail, ist es dann eben eine Lidl-Freigabe, in dem Fall per Foundry und sagt, ich möchte denen die Daten zu den den Zwecken, ist das okay und dann hat er. Datenschutzbeauftragte in dem Fall die Möglichkeit zu schauen, was sind es für Daten, was sind die Zwecke? Passt das? Er kann aber auch mehr Informationen anfordern, alles über die Software und letzten Endes, was passiert ist, wenn er die Freigabe erteilt, dann hat der Kunde verschiedene Begriffe oder sein komplettes Unternehmen in ungefähr zehn große Prozesse geteilt, sei es jetzt einmal Marketing, sei es einmal Vertrieb und Ähnlichem und innerhalb dieser zehn Ober, Prozesse oder großen Prozesse gibt es nur mehrere Unterprozesse und letzten Endes, was ihr damit vorhat ist zu sagen, okay, ich habe jetzt Use Cases, also wirklich der Einzelfall. Das ist dem und dem, Oberprozess zugeordnet und innerhalb dieses Oberprozess noch einen Unterprozess und das, Das ist das große Bild, möchte er dann letzten Endes auch dann eben in einem großen Verzeichnis Meppen und zu sagen, hey, welche Oberprozesse habe ich denn? Welche Unterprozesse habe ich denn und welche einzelnen Use Cases laufen denn da fernab von dem System, in dem die ursprünglichen Daten sind. Aber geht sehr, sehr nah in die Richtung von einem Verarbeitungsverzeichnis, aber eben noch ohne Anbindung an, Auftragsverarbeiter oder eben an andere Einkäufer, ähnlichem. Das klingt natürlich schon sehr spannend, ist glaube ich aber. Zum einen, wie gesagt, soll ja wollen ja heute gar keine keine Werbung für für Software machen. Und zum anderen glaube ich natürlich auch, dass es in den äh wenigsten Unternehmen äh News Case sein wird, dafür eure Software einzusetzen, weil es dann. Wahrscheinlich ein bisschen mit äh Kanonen auf Spatzen geschossen ist. Ist natürlich schon der Gedanke, finde ich sehr spannend, wenn man halt eine eine Software hat, wie. Eure oder halt, wie gesagt, wie andere Tools sicherlich auch gibt, die das vielleicht können. Mir ist aber tatsächlich heute noch kein Anbieter, irgendwie explizit Datenschutzmanagement-Software anbietet bekannt der der solche Schnittstellen zum Beispiel mal irgendwie anbieten würde. Also keine in dem Umfang mit auch der Logik dahinter wie kann ich diese Informationen, die ich aus anderen Systemen bekomme, wiederum als Drehscheibe auch anderen, Abteilungen zugänglich machen und wie kann ich daraus auch im Unternehmen Mehrwerte generieren. Es ist jeder in die Richtung schon mal was untergekommen oder oder hast du irgendwo schon mal auch abseits von euren äh von eurer eigenen Software, So was beobachtet bei bei Unternehmen und das ist ja jetzt auch Konzernerfahrung, wie wie ist das in der Praxis ansonsten auch gelöst. Also definitiv soll das keine Marketingveranstaltung werden und deswegen auch der explizite Hinweis, andere Software ist auch gut. Also es muss nicht unbedingt paranitär sein und definitiv ist andere Software gegebenenfalls im anderen Umfeld auch besser als balanciert. Von dem her alles gut in Bezug auf, genau den Use Case. Ich habe das Gefühl, dass, die Software, die es derzeit am Markt gibt, sehr, sehr freischwebend ist. Das heißt, gerade diese Integration nicht zulässt. Und letzten Endes führt es dann aber dazu, dass ich wieder einen losgelösten Prozess habe, der auf der Seite entweder Freigaben oder ähnlichem erfordert und ich dann letzten Endes dann wieder in dieses Datenschutzmanagementsystem. Ja reinklicken muss und es dann zum Schluss befüllen kann. Dieses Befüllen und diese Freigabe. Daran arbeitet man gerade, vor allem auch im deutschen Raum. Also es muss net unbedingt immer, das relativ bekannte Unternehmen mit den Grünen, Banner sein, aber auch im deutschen Raum gibt es da schon jetzt auch andere Unternehmen, die eben genau diesen Freigabeprozess und dessen Endes dann diesen Eintrag. Umsetzen wollen. Die Gefahr hin die Gefahr sehe ich dabei grundsätzlich immer, dass es halt losgelöst von. Echt und produktiv Daten sind, mit dem alle anderen arbeiten, das heißt letzten Endes hat dann der Rechtsbereich nur eine Schnittstelle, das ist dann der Multiplikator, der sich dann mit dem ganzen Spaß rumstarken darf oder muss, aber mit den eigentlichen Ingenieuren fehlt jegliche Bindung und deswegen kommt es zum Schluss dann gegebenenfalls, muss nicht immer sein Reibungsverlusten oder eben einfach zu Datenqualitätsverlusten. Das Gute ist ja mit der DSGVO hat auch die Angebotsseite, was Software für Datenschutz beauftragt oder fürs Datenschutzmanagement im Allgemeinen enorm zugenommen. Einzigen Projekte, wo wir das halt vor allen Dingen auch mit den Geschäftsprozessen richtig gut hinbekommen haben, dieses Mapping beziehungsweise auch die Anbindung an die Prozessmanagement-Software. Tatsächlich da funktioniert, wo wir das in die die Prozessmanagementsoftware integrieren konnten. Also wir haben Kundenprojekte gemacht, wo wir das halt. Direkt durch entsprechende Felder, die wir an die Prozesse quasi dran definiert haben, auch relativ gut abbilden können. Wir konnten dann halt auch. Über eine entsprechende Schnittstelle zum Beispiel auf äh andere Systeme zugreifen und daraus Daten ziehen, zumindest mal als Datenbasis, damit man auch nicht immer alles neu eintippen muss oder damit dann auch Bezüge im Zweifelsfall da sind. Aber es war halt tatsächlich immer irgendwie ein Stück weit. An etwas vorhandenes drangebaut und es keine eigene Datenschutzmanagement-Software, die die das halt wirklich direkt nativ anbinden konnte oder die das sozusagen diese Brücke geschlagen hat. Ich hoffe natürlich, dass sich da noch einiges tut und vor allen Dingen und das ist ja das wie gesagt herausfordernde, dass wir in in Deutschland klar große Konzerne haben oft auch finanziell die Mittel so was dann zu tun und auch die Not und auch die Bereitschaft vielleicht für so was mal Geld in die Hand zu nehmen. Wenn man sie über den großen, breiten Mittelstand anguckt, muss man ja auch mal gucken, dass sowas am Ende halt. Bezahlbar bleibt für die Unternehmen und äh da sehe ich halt am Ende, wie gesagt, eigentlich große Chancen, wenn man’s schafft. Software zu haben, die halt nachher nicht nur für den Datenschutzbeauftragten da ist, sondern die halt auch andere Bereiche mit Informationen wieder versorgt und. Man sieht’s ja in der Praxis oft, dann hat jeder Bereich, jede Abteilung führt seine Excel-Listen und wenn man halt mal die zwei Listen, die zwei Bereiche unabhängig voneinander führen nebeneinander legen, die das Gleiche beinhalten sollten, stellen wir nochmal fest, dass die Deckung dann irgendwie nachher bei 60, 70 Prozent liegt und die Wahrheit irgendwo dazwischen liegt, aber keiner hat wirklich eine korrekte Liste und, Finde ich so schwierig und eigentlich gleichzeitig so schade, weil wir unsere IT- Möglichkeiten heutzutage, wenn man sich das anguckt, sind doch eigentlich viel größer. Ja, weiß gar nicht, wie da nur unterstreichen, vor allem wir planen zu Mond zu fliegen, kriegen’s aber net hin, ist automatisch jetzt an der Stelle einfach einzubinden und letzten Endes ist es ja auch so, dass wir uns nicht abschaffen, wenn Teile von unserer heutigen Aufgabe einfach automatisch von der Software übernommen werden kann. Das heißt, warum müssen wir dieselbe Excel. Dauerhaft mit denselben Daten einfüllen, wenn wir diese im Daten jetzt zum Beispiel im Verarbeitungsverzeichnis brauchen, die wir aber später auch unter Umständen bei der DE brauchen. Also warum müssen wir das zweimal machen. Da ist halt schon die Sache, wo ich, komplett bei dir bin. Die Technik ist heute eigentlich schon da. Letzten Endes ist es aber halt von der complient Seite sehr, sehr schwer zu verkaufen, warum man dafür jetzt unbedingt Geld ausgeben muss, weil man verdient damit kein Geld, wenn man’s nicht hat, verliert man’s höchstens. Oder siehst du das anders Heiko. Na ja, Risikominimierung ist ja am Ende auch letztendlich etwas, was man im Unternehmen als Mehrwert beitragen kann, auch mit Compliance Themen. Aber es ist schon schwieriger natürlich zu argumentieren, als wenn ich auf der anderen Seite zum Geldverdienen beitragen kann. Was aber, wie gesagt, wenn man jetzt den Gedanken mal weiter trägt, ja auch nicht ausgeschlossen ist, wenn ich halt wie gesagt das Verarbeitungsverzeichnis veranke als. Zumindest mal Datenlieferant gleichzeitig auch für andere, dann kann ich das ja vielleicht sogar schaffen, indem ich halt dadurch mehr Transparenz, mehr. Synergien vielleicht sogar schaffe, die mir an anderer Stelle Verwaltungsaufwand abnehmen, weil halt der Einkäufer vielleicht die Daten jetzt nicht irgendwie nochmal anlegen muss äh über den Lieferanten und die Rechtsabteilung genauso machen muss und der Datenschutzbeauftragte genauso machen muss und der. Compliance-Beauftragte auch noch machen muss und ich am Ende, wie gesagt, die gleiche Arbeit mit den gleichen Daten fünfmal mache im Unternehmen, sondern ich soll es schaffe, das zu zentralisieren und das einmal gemacht wird und alle darauf zurückgreifen können. Letzten Endes kann man das heutzutage noch relativ gut verstecken in Anführungszeichen, indem jeder in seinem eigenen System erleben brödelt. An der Stelle. In der an der Stelle, an der wir noch einen Riesenvorteil gesehen haben, um auch ein kleines Rechenbeispiel machen zu können, dass sich das eben lohnt, das Ganze zu verknüpfen, ist, wenn man Betroffenenrechte mit ins Spiel nimmt. Letzten Endes weiß ich dann auch schon, ich habe jetzt gewisse Verarbeitungsvorgänge und da sind eben Betroffene dabei. Wenn dann aber eine Auskunftsanfrage kommt, gibt es relativ häufig den Zustand, dass die Leute mit brennenden Haaren im Kreis laufen, salopp gesprochen und letzten Endes dann halt eben System Einzelanfragen kommen, kennt ihr, Person X oder Y. Das ist heutzutage definitiv viel besser. Dazu kannst du vielleicht noch einen Satz sagen, wie das heute in der Praxis umgesetzt wird, vor allem im großen Unternehmen ist es halt einfach unglaublich schwierig mit verschiedenen Tochtergesellschaften bereits rauszufinden, wer kennt denn jetzt Person X. Wenn ich da natürlich dann halt alles inklusive Produktivdaten an einer Stelle verknüpfe und sage okay, Person X hat jetzt eben eine Auskunftsanfrage gestellt. Kennen wir denn Person X alles? Ah okay die Person X ist in den und den Verarbeitungen drin zu den und den Zwecken macht mir das Ganze natürlich viel viel einfacher. Aber vielleicht zur zur Praxis siehst du das, dass man auch an der Stelle Betroffenenanfragen unter Umständen mit dem Verarbeitungsverzeichnis bezahlen kann beziehungsweise wie es denn da eigentlich gerade so die Umsetzung von dem ganzen Spaß. Also können, glaube ich, ist gar nicht die Frage, sondern eher auch da wieder genau das Gleiche ist immer die Frage des des Business Case. Also wann lohnt sich das, dieses Geld in die Hand zu nehmen, Systeme anzubinden, durchsuchbar zu machen. Weil ich musste dann oft auch eine gewisse Logik nachbilden, wie die Ursprungsdaten zusammenhängen, um so was dann nachher auch äh automatisiert verarbeiten zu können. Lohnt sich, lohnt sich das halt für Unternehmen, die halt. Große Kunden stammen haben, Massengeschäft im Massengeschäft tätig sind und wo dann auch entsprechende Anzahl von Auskunftsanfragen pro Monat reintrudeln, wo ich dann natürlich. Ende mir sehr leicht ausrechnen kann, ab wie viel Anfragen so was dann auch sinnvoll ist, weil ich halt weiß ich nicht 1hundert Leute mir einspare, die es sonst manuell machen. Was mich aber auch so ein bisschen genau zu dem Punkt bringt, weil. Ihr also für euch dürfte das ja sozusagen ein Stück weit Tagesgeschäft sein, Kunden dabei zu unterstützen, so. Darstellung und Business cases zu rechnen. Wann macht denn so eine Software wie Eure, die ja haben wir ja eben schon festgestellt, viel von dem kann, was wir auch aus einer VVT-Verarbeitungstätigkeitenübersicht. Brauchen könnten kann. Wie nähert man sich dem? Also wie kann ich zum Beispiel als Datenschutzbeauftragter im Unternehmen mich dieser Frage denn nähern? Wo kann ich durch, ein geschicktes, ein intelligentes Verarbeitungsverzeichnis, es schaffen Mehrwerte im Unternehmen zu generieren und die auch zu beziffern, um halt vielleicht wirklich am Ende eine Geschäftsführung davon zu überzeugen, dass das, was ich da vorhabe, mir. Unterstützung reinzuholen, die mir das baut, die Datenquellen anbindet, wie kann ich das, Am Ende berechnen, dass ich ähm sagen kann, ja, das hat halt nicht nur einen Kostenteil, es hat einen echten Mehrwert, also das Unternehmen spart lange Sicht, weiß ich nicht, so und so viel Prozent bei, Kosten. Eine sehr, sehr spannende Frage, mit der wir uns tatsächlich schon öfter auseinandersetzen mussten beziehungsweise auch getan haben, sei es sowohl intern als auch extern. Das heißt, wir rechnen berechtfertigen wir. Einkauf von anderer Software, aber auch unserer eigenen und an der Stelle das Einfachste ist natürlich immer FDI, das heißt, wie viel, Mann beziehungsweise Frau Stärke brauche ich an der Stelle einfach. Was wird eingespart? Dann kann ich’s relativ einfach beziffern. Ansonsten ist es in der Compliance Hinsicht tatsächlich sehr sehr schwer da eine Zahl hinten dran zu machen. Man sieht immer nur die Kosten, auf jeden Fall auflaufen, aber wirklich eine eine positive Summe zu finden. Finde ich persönlich sehr, sehr schwierig. Man kann das sehr, sehr gut erklären, was passiert, wenn man es nicht hat, was dann unter Umständen für drakonische Strafen drohen. Ähm nur ob man immer mit dieser Keule schwingen will, ist natürlich eine andere Frage. Letzten Endes Antwort auf die Frage sehr, sehr schwer, wenn es nicht über Einsparungen bei jetzt einfach Ressourcen geht. Letzten Endes kann man natürlich damit Good Will und ähnlichem argumentieren. Was passiert, wenn wir’s nicht haben? Aber, eine Zahl zu nennen finde ich an der Stelle schwierig und ich könnte Sie auch schwer verteidigen. Wenn dein Argument wäre, warum jetzt nicht zehn Euro mehr oder weniger. Ja, es ist herausfordernd. Ich glaube, es funktioniert oder man kommt wahrscheinlich schon ein gutes Stück weiter, wenn man. Mitstreiter findet, also wenn man die Pain Points, die Schmerzpunkte, die andere vielleicht an der Stelle haben, identifiziert und mit denen gemeinsam auch an einem Strang zieht, zu sagen. Wir sparen halt nicht nur Arbeitszeit durch doppelte Pflege, sondern vor allen Dingen enorm viel Zeit und auch Frust durch weniger Rückfragen, durch weniger. Abgleich, Notwendigkeiten von verschiedenen Datenbasen und vor allen Dingen auch unter so. Blickwinkeln wie Fachkräftemangel und letztendlich auch einer alternden Gesellschaft, die es ja auch in Zukunft nicht einfacher machen wird für Unternehmen, gutes Personal in solchen Funktionen, solche Querschnittsfunktionen, die es ja oft betrifft. Zu finden, glaube ich, hat man gute Argumente, letztendlich erstmal im Unternehmen dafür zu werben und wenn man. Dieses Mindset erstmal geschaffen hat bei seinen Kollegen, Kolleginnen, dass man in so eine Richtung denken kann, gemeinschaftlich. Ich glaube, dann kommt man wahrscheinlich auch an einen Punkt, wo man sagt, okay und jetzt versuchen wir das mal zu quantifizieren. Jetzt versuchen wir mal zu überlegen, wie viel unserer Arbeitskraft sparen wir den ein und. Muss ja gar nicht nachher weniger Arbeits äh Kräfte sein, die ich dadurch beschäftige, aber wenn ich dadurch Energien schaffe und einfach schon mal. In Zukunft weniger neue Leute suchen muss, um die gleiche Arbeit zu schaffen, habe ich ja auch schon als Unternehmen viel gewonnen. Definitiv. Sehr gut. Fällt dir sonst zu dem Thema Verarbeitungsverzeichnis noch was ein, wo du sagst, da würde sich noch ein guter Anknüpfungspunkt fachlich bieten, um auch auf den Energien zu prüfen, welche anderen Rollen oder Abteilungen im Unternehmen, würdest du sehen, die vielleicht auch Interesse an Daten hätten, die in so einem Verarbeitungsverzeichnis schlummern. Aus der eigenen Erfahrung eben, wenn man bei Palantier ähm andere Software einkaufen möchte, ist es ein relativ intensiver Info-Sec-Prozess, unter unter Umständen oder unter anderem und äh deswegen an der Stelle, glaube ich, macht es auch Sinn, wenn man dieses Verarbeitungsverzeichnis eben denn mit, der Infoseck, Spatel, teilt und eben auch gemeinsam an der Stelle zum Beispiel solche Vorprüfungen ähm dort anheftet und ihr dann eben sagt, okay, was was was kaufe ich mir denn da jetzt ein? Und letzten Endes ist es ja auch ein gewisses Risiko. Ich muss ja nicht gleich äh einen haben, in dem ich mir ein komplettes Unternehmen einkaufe, aber letzten Endes ist es ja schon so, dass ich wissen möchte, ist mein Auftragsverarbeiter, den ich mir im Zweifel jetzt einkaufe oder sei es auch. Der Wender in welcher Rolle er arbeitet. Gab’s denn da zum Beispiel schon Inzidenz in vergangener in der Vergangenheit oder in der kurzen Vergangenheit? Das heißt. Gut Deutsch kann ich dem trauen. Und letzten Endes würde ich deswegen sagen, die enge Vertrauen mit Infosec Das ist was, was wir vielleicht auch mit deiner persönlichen Expertise, weil du kennst dich in der Schnittstelle viel viel besser aus als ich persönlich. Würdest du denn sagen, an der Stelle macht, Sinn zum Verarbeitungsverzeichnis vielleicht auch über das, was vorgesetzlich vorgeschrieben ist, anzureichern oder halt eben eng zu verknüpfen mit was, was eigentlich Richtung Toms geht und, old ons. Ich bin großer Verfechter von der Integration, Datenschutzmanagement und Informationssicherheitsmanagement zuletzt war, war ja jetzt auch seit geraumer Zeit die entsprechende Standardisierung in dem Bereich haben mit der ISO siebenundzwanzigtausendsiebenhunderteins als Ergänzung zur 7undzwanzig null null eins. Von daher, Das macht aus meiner Sicht definitiv äh Sinn da zu gucken, wo kann letztendlich. Gemeinsame Anknüpfungspunkte finden und das Thema Risikomanagement ist halt eine große Schnittmenge, auch wenn ich. Leicht unterschiedliche Blickwinkel auf Risiken habe, aus der Datenschutz und Betroffenenperspektive versus der Unternehmensperspektive, aber ich glaube trotzdem, dass es ein ganz großer Mehrwert ist, diese beiden Themen eng miteinander denke und vor allen Dingen versuche methodisch die auch systemisch miteinander zu verdrahten, weil wie gesagt auch da habe ich am Ende mit einer Datenbasis doch immer wieder, Vereinfachung und wenn ich’s schaffe mit dem Informationssicherheitsbeauftragten nimmt Sie so dann eine gemeinsame Denkweise und Linie zu finden, wie man daran arbeitet. Riesen Synergiepotential, definitiv. Sehr gut, Philipp, dann an dieser Stelle schon mal dir ganz recht herzlichen Dank. Vielen Dank, dass ich da sein konnte. Ich hoffe sehr, dass wir Ihnen, liebe Zuhörenden, jetzt äh nicht nur einmal ein wenig Aufklärungsarbeit leisten konnten, was Palantier ist und vielleicht auch was hinter vielen Vorwürfen, die man in den Medien mitbekommt, vielleicht auch. Ist, beziehungsweise inwieweit man die Verantwortung, wie sie oft tradiert wird, äh hier richtig zuordnet. Auf der anderen Seite hoffen wir natürlich oder hoffe ich vor allen Dingen auch, dass wir Ihnen so ein paar Impulse geben konnten zum Thema Verarbeitungsverzeichnis und wie man daran vielleicht auch im Unternehmen weiterarbeiten kann, wie man es weiterentwickeln kann. Letztendlich, was die Sichtbarkeit in Stellenwert bis hin am Ende zum Mehrwert. Angeht, liefern konnten. Wenn sie dazu Ideen haben, wenn sie dazu anderer Meinung sind, wenn sie vielleicht auch. Hinweise haben zu Software, die sowas, was ich alles eben mir erträumt habe, äh vielleicht auch kann, ohne dass ich dafür gleich. Kreditbeträge aufnehmen muss, um sie mir leisten zu können als Unternehmer, dann freuen wir uns natürlich auch über entsprechende Hinweise. Dazu gibt’s einmal in den Shownotes einen Link zur Folgenseite, wo sie. Kommentieren können. Das ist die eine Möglichkeit oder Sie schreiben uns einfach eine E-Mail, Datenschutztalk at Migos Hins Punkt DE. Einfach über die sozialen Medien, sie finden uns auf Twitter, DS Unterstrich Talk oder auf Instagram unter Datenschutz Talk Unterstrich Podcast. Also. Keine Ausrede, es nicht zu tun, von daher freuen wir uns und ja, bleiben Sie uns gewogen.