November 2022
Sven Harbach, Data Protection and Information Security Officer bei Bosch Thermotechnik. (Fotos: Ralf A. Niggemann)
Bosch Thermotechnik

Sven Harbach

Bosch Thermotechnik beschäftigt über 14.000 Mitarbeiter und produziert an 18 Standorten rund um den Globus. Wie gelingt es einem hochvernetzten Global Player, Prozesse daten- und informationssicher zu digitalisieren? Wir haben bei Sven Harbach nachgefragt.

Sven Harbach begann 1998 eine Ausbildung zum Energieelektroniker – damals noch bei der Buderus Heiztechnik GmbH. Danach studierte er Wirtschaftsinformatik. Seit 2020 ist er Data Protection and Information Security Officer bei Bosch Thermotechnik. Wir sind verabredet, um über Digitalisierung und Datenschutz zu sprechen.

W3+: Herr Harbach, Ihr Tätigkeitsbereich klingt nach Hightech und Cyberspace – und Sie sitzen ganz entspannt an Ihrem Schreibtisch im Home Office. Damit haben Sie uns jegliche Illusion geraubt.

Sven Harbach: (lacht) Das tut mir wirklich leid, aber alles, was ich für meine Arbeit brauche, ist ein Computer und ein ordentliches WLAN. Ehrlich gesagt, verbringe ich seit Beginn der Pandemie die meiste Zeit im Home Office. Da spricht nichts dagegen und die Ergebnisse sprechen für sich.

W3+: Das heißt, Datenschutz und Informationssicherheit brauchen kein Setting, wie man es etwa aus „The Matrix“ kennt?

Sven Harbach: Nein, gar nicht. Ich bin von hier aus mit unseren weltweiten Standorten vernetzt und stimme mich regelmäßig mit meinem 17-köpfigen Team innerhalb Deutschlands ab. Ganz nüchtern und unaufgeregt.

W3+: Können Sie kurz und knapp erläutern, was Sie tun?

Sven Harbach: Ich bin bei Bosch Thermotechnik für die Umsetzung von Datenschutzrichtlinien und Informationssicherheit an allen Standorten und in allen Unternehmensbereichen verantwortlich. Im Grunde verstehe ich mich als Übersetzer von internen und externen Anforderungen in konkrete Vorgaben für die jeweiligen Verantwortlichen für IT und Prozesse. Das betrifft alle Prozesse und Kommunikationswege im Unternehmen, aber auch gegenüber Kunden und Lieferanten.

W3+: Wieso müssen Sie das übersetzen?

Sven Harbach: Zugespitzt formuliert: Der Gesetzgeber kennt keine IT, sondern gibt beim Datenschutz einen rechtsverbindlichen Rahmen vor, der dann eben von den Unternehmen technisch umgesetzt werden muss. Was die internen Anforderungen anbelangt, gibt es bei Bosch festgelegte Mindeststandards, die konzernweit gelten und – je nach Standort – auch länderspezifisch angepasst werden müssen.

W3+: Wie wichtig ist das Thema bei Bosch Thermotechnik?

Sven Harbach: Datenschutz und Informationssicherheit sind wichtig und teilweise hochkomplex. Deshalb hat Bosch konzernweit eine entsprechende Struktur und Organisation geschaffen. Unser Bereich ist jedoch nicht operativ verantwortlich, sondern wir beraten die operativen Einheiten.

W3+: Wo sehen Sie die größten Herausforderungen?

Sven Harbach: Beim Datenschutz geht es vor allem um personenbezogene Daten von Kunden und Geschäftspartnern, aber auch von Mitarbeitern. Wir haben Tausende von Datenbanken. Dafür haben wir einen PDCA-Regelzyklus (Plan-Do-Check-Act), in dem geprüft wird, ob das, was ursprünglich festgelegt wurde, noch valide ist und den geltenden Gesetzen und Richtlinien entspricht. Je nach Änderung in der Gesetzgebung, müssen wir alle Umsetzungen prüfen und gegebenenfalls aktualisieren. Zudem müssen wir im Rahmen der Informationssicherheit gewährleisten, dass unsere Daten vor Zugriffen von außen geschützt sind. Grundsätzlich orientieren wir uns bei Bosch konzernweit an der ISO27000.

»Datenschutz und Informationssicherheit sind wichtig und teilweise hochkomplex. Deshalb hat Bosch konzernweit eine entsprechende Struktur und Organisation geschaffen.«

Sven Harbach

W3+: Inwiefern können Sie sich selbst die Arbeit erleichtern, indem Sie Prozesse digitalisieren?

Sven Harbach: Lassen Sie mich das an einem konkreten Beispiel erläutern. Die Informationspflichten über Datenverarbeitungen gehören ebenso zur DSGVO, wie die Betroffenenrechte, das heißt das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit. Die Abarbeitungsfrist bis zur Rückmeldung beträgt 30 Tage. Das heißt, Anfragen von Betroffenen müssen zeitnah abgearbeitet werden, um die Frist einzuhalten. Erschwerend kommt hinzu, dass Betroffenenanfragen häufig über ganz unterschiedliche Kanäle kommen – also per Mail, Telefon, direkt von der Person, etc. Wir haben durch die intelligente Verzahnung aller Aktivitäten und Verknüpfungen der IT unsere Prozesse so digitalisiert und optimiert, dass die Anfragen einfach, schnell und mit weniger Ressourcen innerhalb der Frist abgearbeitet werden.

W3+: Neben dem Schutz personenbezogener Daten geht es auch um Sicherheitsaspekte bei der Vernetzung: Wie sicher kann ich über welche Kanäle kommunizieren? Wie kann ich im Zuge von Industrie 4.0 die Datenkommunikation zwischen Maschinen absichern?

Sven Harbach: Die Frage der digitalen Souveränität begleitet uns privat, aber auch im Berufsleben spätestens seit der Pandemie tagtäglich: Welche kommerziellen Tools und Plattformen kann ich guten Gewissens verwenden, ohne dass ich befürchten muss, jemand könnte mitlesen oder mithören? Das gilt selbstverständlich auch für unsere Mitarbeiterinnen und Mitarbeiter, wenn es um firmenbezogene Kommunikation geht. Rein technisch sind wir da über eigene Plattformen oder kommerzielle Tools, die teilweise speziell für uns customized wurden, bestens ausgestattet. Viel wichtiger ist in diesem Zusammenhang die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter im Umgang mit der Technik.

Was Ihre zweite Frage anbelangt, befinden wir uns inmitten einer rasanten Entwicklung. Industrie 4.0 bedeutet ja im Kern eine zunehmende Digitalisierung der industriellen Produktion. Tatsächlich geht damit aber eine Vernetzung einher, die viel weiter reicht: Maschinen kommunizieren mit Maschinen; Produktionsdaten werden ausgetauscht; Kunden können die Herstellung ihres Produkts tracken; Daten zu Wartung oder Verschleiß von Maschinen und Produkten werden direkt an Service-Bereiche übermittelt. Daraus resultieren ganz neue Geschäftsmodelle, und zwar nicht nur in unserer Branche.

W3+: Das klingt vielversprechend – aber nur, wenn Daten und Netzwerke sicher sind.

Sven Harbach: So ist es. Jedes Gerät und jedes digitale System verfügt über eine Intelligenz, die man potenziell über das Netzwerk angreifen könnte. Deshalb ist der Schutz von Servern und Serverdaten essenziell. Auch cloudbasierte Konzepte sind hier vielleicht nicht immer die ultimative Lösung.

W3+: Was könnten kleine und mittelständische Unternehmen von einem Global Player wie Bosch Thermotechnik lernen?

Sven Harbach: Es liegt mir fern, irgendjemanden belehren zu wollen. Klar ist, dass die gesetzlichen Vorgaben für große und kleine Unternehmen gleichermaßen gelten. Der Schaden, der aufgrund einer Nichtbeachtung von Datenschutzrichtlinien oder durch mangelnde Informationssicherheit entsteht, kann auch bei kleinen Unternehmen erheblich sein. Natürlich ist das Thema komplexer, je globaler Sie agieren und je mehr Menschen, Standorte oder Zulieferbetriebe involviert sind. Aber es hilft in jedem Fall, Strukturen zu schaffen und entsprechende Kompetenzen aufzubauen – um nicht nur technisch auf dem aktuellsten Stand zu sein, sondern auch die Mitarbeiterinnen und Mitarbeiter für einen sicheren Umgang mit Daten zu sensibilisieren.

Weitere Informationen:

www.bosch-thermotechnik.de