DORA - 100% Compliance mit 17.01.2025? Martin Sageder im Gespräch

Business Circle: Sehr geehrter Herr Mag. Sageder, eingangs etwas Persönliches: Sie sind sowohl Datenschutzbeauftragter als auch CISO der Wüstenrot Gruppe. Möchten Sie uns kurz skizzieren, wie Sie Ihr bisheriger Weg dorthin geführt hat?

Martin Sageder: Den Grundstein haben wohl meine Ausbildungen gelegt. Neben einem Studium der Rechtswissenschaften habe ich auch Wirtschaftsinformatik studiert und mich anschließend im Bereich Datenschutzrecht spezialisiert.

Beruflich beginnt der Weg vor etwa 10 Jahren bei der Stadt Wien, in einer auf Datenschutz und E-Government spezialisierten Abteilung, ehe ich das Angebot eines Finanzunternehmens wahrgenommen habe die Funktion des Datenschutzbeauftragten zu übernehmen. Der Wunsch nach Erweiterung des Horizontes führte mich in die Rechtsanwaltei, wo ich schnell lernte, dass dies nichts für mich ist und ich mich wieder auf meine Stärken fokussierte. Seit Frühling 2023 bin ich nunmehr Datenschutzbeauftragter und seit Herbst 2023 zusätzlich Chief Information Security Officer in der Wüstenrot Gruppe.

BC: Wie erleben Sie die aktuellen Vorbereitungen auf die DORA-Verordnung – organisatorisch, technisch und kulturell?

Sageder: Ähnlich wie bei der Vorbereitung auf die DSGVO herrscht viel Unsicherheit. Neben „Maximal-Empfehlungen“ von Beratern und dem natürlichen Wunsch von Unternehmen nur das „absolute Minimum“ zu machen, gilt es den passenden Mittelweg zu finden. Hierbei helfen neben den Normtexten auch bisherige Standards und Richtlinien der EBA und EIOPA. Der größte Aufwand besteht sicherlich im organisatorischen Bereich, weil der Dokumentationsaufwand steigt und auch Prozesse anzupassen waren.
Technisch ist zu unterscheiden, on die Anforderungen an die IKT-Assets selbst gerichtet sind oder die Tool-Unterstützung für das Managementsystem. Leider sind insb. bzgl. dem zweiten Aspekt noch einige Fragen nicht endgültig beantwortet, weil hier auch die DORA nicht hinreichend konkret ist.

BC: DORA aus Sicht des Datenschutzbeauftragten: DORA zielt zwar primär auf operationale Resilienz – aber wo berühren sich DORA und DSGVO konkret, z. B. bei Meldepflichten oder Sicherheitsvorfällen?

Sageder: Die DSGVO und die DORA haben einige Schnittmengen:

1) Operationelle Resilienz als Teilaspekt der Sicherheit iSd Art 32 DSGVO

2) VVT – Informationsregister sind gute gegenseitige Ergänzungen

3) Sicherheitsvorfall (iSd DSGVO) als Sonderfall eines IKT-Vorfalls (iSd DORA)

4) IKT-Dienstleister (iSd DORA) möglicher Spezialfall des Auftragsverarbeiters (iSd DSGVO)

Die parallele Betrachtung hilft in der Praxis auch sich auf den risikobasierten Ansatz / die Verhältnismäßigkeit zu fokussieren; bspw. bei der Bewertung des Schutzbedarfs einzelner IKT-Assets und der Risikobewertung.

Klare Zuständigkeiten und detaillierte Notfallpläne

BC: Ein IT-Vorfall kann schnell auch zum Reputationsdesaster („Shitstorm“) werden. Wie kann man sich auf darauf vorbereiten? Und welche Rolle spielt hier aus Ihrer Sicht kommunikative Resilienz – also der Umgang mit der Öffentlichkeit im Krisenfall?

Sageder: Üben, üben, üben. Der Schlüssel sich auf derartige Situationen vorzubereiten, ist diese zu üben, interne Zuständigkeiten klar zu definieren und möglichst detaillierte Notfallpläne zu erarbeiten. Wenngleich es im Ernstfall immer anders kommt, als geplant, hilft die Vorbereitung auch für die konkreten Ernstfälle.

BC: Wie gelingt in Ihrer Praxis die Zusammenarbeit zwischen Datenschutz und Informationssicherheit und welche Strukturen oder Prozesse sind notwendig, um in der täglichen Umsetzung nicht an Zuständigkeitsgrenzen zu scheitern?

Sageder: Wichtig ist, die Verantwortungen im Unternehmen klar zu definieren und operative Tätigkeiten und Compliance-Tätigkeiten zu trennen (3 Lines of Defense-Modell). Zentral ist hier eine gezielte Schulung der 1st LoD, damit diese die Aufgaben auch erfüllen kann, in der 2nd LoD fällt die Abgrenzung trotz aller Synergien recht einfach aus.

BC: Sie werden auf der PriSec einen Round Table gestalten, welche Botschaft möchten Sie vermitteln, was möchten Sie im Mindset Ihres Publikum anstoßen?

Sageder: Bei der Umsetzung der DORA sollte die Verhältnismäßigkeit berücksichtigt werden und auf Bestehendes zurückgegriffen werden. Wenn das gelingt, bietet die DORA (ebenso wie die DSGVO) einen Mehrwert für das Unternehmen. Wer dies verkennt, verpasst eine Chance und züchtet neben einem Papier-Tiger noch einen Löwen, einen Gepard, …

BC: Abschließend: Sie kennen die PriSec schon lange aus Teilnehmer-Perspektive. Nun haben Sie den Sprung in die Speaker Faculty geschafft, herzlichen Glückwunsch dazu! Was sind für Sie die Erfolgsgaranten der PriSec?

Sageder: Das Herz und Hirn der Prisec sind deren Teilnehmer mit ihrer Expertise und deren unterschiedlichen Backgrounds. Zwischen den informativen Sessions, gibt es auch immer die Möglichkeit sich bilateral auf Augenhöhe auszutauschen.

BC: Vielen Dank für das tole Feedback und dieses aufschlussreiche Gespräch. Wir freuen uns, Sie zur PriSec zu begrüßen!

‍