"Unsere IT lässt nichts rein": Warum Datenschutz-Bedenken Digitalisierung auf dem Shopfloor blockieren und wie Sie sie lösen
Der Produktionsleiter will eine neue Software einführen. Die Demo war überzeugend, das Team ist motiviert, der Business Case steht. Dann kommt die E-Mail von der IT: "Wir müssen das erst prüfen. DSGVO. Cloud. Datensouveränität. Wir melden uns." Drei Monate später: keine Rückmeldung. Sechs Monate später: ein 47-seitiger Fragenkatalog. Zwölf Monate später: Das Projekt ist tot. Nicht weil die Software schlecht war. Sondern weil die Angst vor dem Datenschutz größer war als der Wille zur Veränderung.
Das Muster: Berechtigte Sorge wird zum Totschlagargument
Lassen Sie uns eines vorwegschicken: Datenschutz ist wichtig. DSGVO-Konformität ist keine bürokratische Schikane – sie schützt Mitarbeitende, Kunden und Unternehmen. IT-Sicherheit ist keine Paranoia – sie ist Pflicht.
Aber in vielen Unternehmen ist aus berechtigter Vorsicht ein Automatismus geworden: Alles, was "Cloud" oder "SaaS" heißt, wird erstmal blockiert. Nicht weil es unsicher ist. Sondern weil die Prüfung so komplex, so langwierig und so risikoavers ist, dass kein Projekt sie überlebt.
Das Ergebnis: Die Produktion arbeitet weiter mit Papier, Excel und lokalen Ordnern – nicht weil das sicherer ist. Sondern weil es nie durch eine IT-Freigabe musste.
Die Ironie: Das "sichere" System ist oft das unsicherste. Denn Papier hat kein Backup, keine Versionierung, keine Zugriffskontrolle und keine Verschlüsselung.
Die fünf häufigsten IT-Bedenken – und was wirklich dahintersteckt
Bedenken 1: "Die Daten liegen in der Cloud – das ist unsicher"
Was dahintersteckt: Die Vorstellung, dass Daten auf dem eigenen Server sicherer sind als in einem Rechenzentrum.
Die Realität: Professionelle Cloud-Anbieter mit ISO-27001-Zertifizierung, SOC-2-Audit und Rechenzentren in der EU bieten in der Regel höhere Sicherheitsstandards als ein On-Premise-Server im Keller eines Mittelständlers. Verschlüsselung, redundante Backups, 24/7-Monitoring, Penetrationstests – das kann eine interne IT-Abteilung mit drei Mitarbeitenden schlicht nicht leisten.¹
Bedenken 2: "Das ist nicht DSGVO-konform"
Was dahintersteckt: Unsicherheit, ob personenbezogene Daten in einer Cloud-Software verarbeitet werden dürfen.
Die Realität: Die DSGVO verbietet Cloud-Nutzung nicht. Sie verlangt:
Einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter
Verarbeitung in der EU oder in einem Land mit Angemessenheitsbeschluss
Technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten
Transparenz darüber, welche Daten verarbeitet werden
Jeder seriöse SaaS-Anbieter liefert all das standardmäßig. Die Frage ist nicht "Ist Cloud DSGVO-konform?" – die Frage ist "Ist Ihr aktuelles System DSGVO-konform?" Spoiler: Excel-Listen mit Mitarbeiterdaten auf unverschlüsselten Laptops sind es definitiv nicht.
Bedenken 3: "Wir dürfen keine Mitarbeiterdaten in fremde Systeme geben"
Was dahintersteckt: Die Angst, dass Schulungsdaten, Kompetenznachweise oder Leistungsdaten missbraucht werden.
Die Realität: Schulungssoftware speichert in der Regel Name, Abteilung, absolvierte Kurse, Quizergebnisse und Zertifikate. Das sind keine hochsensiblen Daten – es sind Qualifikationsnachweise, die ohnehin dokumentiert werden müssen (Arbeitsschutzgesetz, IFS, ISO). Die Frage ist, ob sie in einem auditierbaren, verschlüsselten System liegen – oder in einem Aktenordner im Schrank des Meisters.
Bedenken 4: "Der US CLOUD Act erlaubt amerikanischen Behörden Zugriff"
Was dahintersteckt: Die berechtigte Sorge, dass US-Anbieter unter dem CLOUD Act zur Herausgabe von Daten verpflichtet werden können – auch wenn die Server in der EU stehen.
Die Realität: Diese Sorge ist real – für US-Anbieter wie AWS, Azure oder Google Cloud. Die Lösung: Europäische Anbieter wählen, die ausschließlich in EU-Rechenzentren hosten und keiner US-Jurisdiktion unterliegen. Das EU-US Data Privacy Framework bietet zusätzliche Rahmenbedingungen, aber für maximale Sicherheit gilt: **Hosting in Deutschland, Anbieter aus der EU, kein US-Mutterkonzern.**²
Bedenken 5: "Wir brauchen eine On-Premise-Lösung"
Was dahintersteckt: Der Wunsch nach vollständiger Kontrolle über die Infrastruktur.
Die Realität: On-Premise bedeutet:
Eigene Server kaufen, warten, updaten, absichern
Eigenes Backup-Konzept implementieren und testen
Eigene Patches einspielen – zeitnah, lückenlos, dokumentiert
Eigenes Monitoring für Sicherheitsvorfälle
Eigene Skalierung bei wachsender Nutzung
Für einen Konzern mit 50 IT-Mitarbeitenden: machbar. Für einen Mittelständler mit 3 IT-Leuten, die auch noch das ERP, die Drucker und das WLAN betreuen? Ein Sicherheitsrisiko.
Bedenken | Gefühlte Realität | Tatsächliche Realität |
|---|---|---|
Cloud ist unsicher | Daten sind "draußen" | ISO-27001-zertifizierte Rechenzentren sind sicherer als der eigene Serverraum |
Nicht DSGVO-konform | Cloud = Verstoß | DSGVO verlangt AVV, EU-Hosting, TOMs – seriöse Anbieter liefern das |
Mitarbeiterdaten in Gefahr | Sensible Daten werden missbraucht | Schulungsnachweise sind Pflichtdokumentation – verschlüsselt sicherer als im Ordner |
US CLOUD Act | Behörden greifen auf Daten zu | EU-Anbieter ohne US-Mutterkonzern sind nicht betroffen |
Nur On-Premise ist sicher | Volle Kontrolle | Volle Kontrolle bedeutet auch volle Verantwortung – die viele nicht stemmen können |
Was die IT wirklich fragen sollte
Die Standardfrage lautet: "Ist das sicher genug für uns?"
Die bessere Frage lautet: "Ist unser aktuelles System sicherer als die Alternative?"
Denn in den meisten Fällen ist das aktuelle System:
Papierbasierte Schulungsnachweise in Ordnern – kein Backup, kein Zugriffslog, keine Versionierung
Excel-Listen mit Mitarbeiterdaten auf lokalen Rechnern – unverschlüsselt, oft auf persönlichen Laufwerken
Word-Dokumente auf SharePoint – ohne Versionskontrolle, ohne Freigabeworkflow, ohne Audit-Trail
E-Mails mit Anhängen – weitergeleitet, kopiert, auf USB-Sticks gespeichert
Keines dieser Systeme wurde jemals auf DSGVO-Konformität geprüft. Keines hat ein Sicherheitszertifikat. Keines hat eine Verschlüsselung. Und trotzdem wird keines blockiert – weil es nie durch die IT-Freigabe musste.
Die unbequeme Wahrheit: Der größte Datenschutzverstoß in Ihrem Unternehmen ist wahrscheinlich nicht die Cloud-Software, die Sie einführen wollen. Es ist die Excel-Tabelle mit 200 Mitarbeiternamen, Qualifikationen und Krankenständen, die seit 2019 unverschlüsselt auf einem geteilten Laufwerk liegt.
Die wahren Kosten der IT-Blockade
Jeder Monat, in dem ein Digitalisierungsprojekt in der IT-Prüfung hängt, hat Kosten:
Direkte Kosten
Weiterhin Papier-basierte Prozesse: Schulungsnachweise suchen statt klicken, Ordner wälzen statt filtern
Manuelle Übersetzungen: 2.000–5.000 € pro Dokument und Sprache – statt automatisch
Fehlende Audit-Nachweise: Nacharbeit vor jedem Audit, Panik-Dokumentation, Risiko für Findings
Indirekte Kosten
Frustration: Der Produktionsleiter, der das Projekt initiiert hat, verliert die Motivation
Wettbewerbsnachteil: Während Sie prüfen, führen andere ein
Fachkräfteverlust: Erfahrene Mitarbeiter gehen in Rente – ihr Wissen mit ihnen. Jeden Monat, den Sie warten, geht Wissen unwiederbringlich verloren
Was eine gute Lösung mitbringen muss: Die IT-Checkliste
Statt 47-seitige Fragenkataloge – hier die 10 Fragen, die wirklich zählen:
# | Frage | Erwartete Antwort |
|---|---|---|
1 | Wo stehen die Server? | EU, idealerweise Deutschland |
2 | Gibt es einen AVV? | Ja, DSGVO-konform, sofort verfügbar |
3 | Welche Zertifizierungen? | ISO 27001, SOC 2, ggf. branchenspezifisch |
4 | Verschlüsselung? | AES-256 at rest, TLS 1.2+ in transit |
5 | Wer hat Zugriff auf die Daten? | Nur autorisierte Mitarbeiter, rollenbasiert |
6 | Unterliegt der Anbieter dem US CLOUD Act? | Nein – EU-Anbieter ohne US-Mutterkonzern |
7 | Backup-Konzept? | Täglich, georedundant, verschlüsselt |
8 | Gibt es ein Löschkonzept? | Ja, Daten können auf Anfrage gelöscht werden |
9 | Wie werden Updates eingespielt? | Automatisch durch den Anbieter, ohne Downtime |
10 | Gibt es ein TOM-Dokument? | Ja, technische und organisatorische Maßnahmen dokumentiert |
Wenn ein Anbieter alle 10 Fragen zufriedenstellend beantwortet, ist die Prüfung abgeschlossen. Nicht nach 12 Monaten. Nach 2 Wochen.
Der pragmatische Weg: IT einbinden, nicht umgehen
Das Ziel ist nicht, die IT zu umgehen. Das Ziel ist, den Prüfprozess zu verkürzen – ohne Abstriche bei der Sicherheit.
Schritt 1: Früh einbinden
Nicht: "Wir haben uns für Tool X entschieden, bitte freigeben." Sondern: "Wir haben ein Problem in der Produktion. Hier sind drei Lösungen. Welche erfüllt eure Anforderungen am besten?"
Die IT will nicht blockieren. Sie will gefragt werden, bevor die Entscheidung steht.
Schritt 2: Anforderungen vorher klären
Bevor die Demo stattfindet: IT fragen, welche Mindestanforderungen gelten. Hosting-Standort? Zertifizierungen? Authentifizierung? So wird die Anbieterauswahl gefiltert, bevor Zeit investiert wird.
Schritt 3: Standardprüfung statt Individualprojekt
Viele IT-Abteilungen haben keinen Standardprozess für SaaS-Freigaben. Jedes Tool wird wie ein Individualprojekt behandelt. Die Lösung: Eine SaaS-Checkliste (wie die 10 Fragen oben), die für jedes neue Tool verwendet wird. Einmal erstellt, immer wieder genutzt.
Schritt 4: Pilotphase mit begrenztem Scope
Statt "Rollout für 500 Mitarbeitende" – Pilot mit 10 Nutzern, einem Bereich, begrenzten Daten. Das senkt das Risiko für die IT auf nahezu null. Und liefert gleichzeitig Ergebnisse, die den Business Case untermauern.
Drei Szenarien: Wie Unternehmen die IT-Hürde gemeistert haben
Szenario 1: Der pragmatische Mittelständler
Ein Unternehmen mit 300 Mitarbeitenden will digitale Arbeitsanweisungen einführen. Die IT hat 4 Mitarbeitende und kein Kapazität für ein 6-Monats-Evaluierungsprojekt.
Lösung: Der Produktionsleiter lädt den IT-Leiter zur Demo ein. Gemeinsam gehen sie die 10-Punkte-Checkliste durch. Server in Deutschland? Ja. AVV? Ja. ISO 27001? Ja. Freigabe nach 10 Tagen. Pilot mit einem Team. Nach 4 Wochen: 15 Arbeitsanweisungen, null Datenschutzprobleme.
Szenario 2: Der Konzern mit Compliance-Abteilung
Ein Unternehmen mit 14 Standorten und zentraler IT. Jedes neue Tool durchläuft einen 6-Monats-Freigabeprozess.
Lösung: Der Projektleiter liefert proaktiv: AVV, TOM-Dokument, Sicherheitsarchitektur, Penetrationstest-Bericht. Die IT muss nicht recherchieren – nur bewerten. Freigabe nach 8 Wochen statt 6 Monaten.
Szenario 3: Der Betrieb mit "Cloud-Verbot"
Ein Unternehmen, dessen Geschäftsführung grundsätzlich keine Cloud-Lösungen erlaubt. Begründung: "Zu unsicher."
Lösung: Eine sachliche Gegenüberstellung: Was ist sicherer – der eigene Server ohne redundantes Backup, ohne 24/7-Monitoring, ohne regelmäßige Penetrationstests? Oder ein ISO-27001-zertifiziertes Rechenzentrum in Frankfurt? Die Gegenüberstellung öffnete die Tür für einen zeitlich begrenzten Piloten – der Rest erledigte sich durch Ergebnisse.
Die eigentliche Frage
Die Frage ist nicht: "Dürfen wir Cloud-Software nutzen?"
Natürlich dürfen Sie. Millionen von Unternehmen in der EU tun es täglich – DSGVO-konform, sicher, auditiert.
Die Frage ist: "Wie lange können Sie es sich leisten, es nicht zu tun?"
Jeder Monat ohne digitale Arbeitsanweisungen ist ein Monat, in dem:
Erfahrungswissen verloren geht
Schulungsnachweise auf Papier liegen
Audits zur Zitterpartie werden
Neue Mitarbeitende langsamer produktiv werden
Die Konkurrenz einen Schritt weiter ist
Datenschutz ist kein Argument gegen Digitalisierung. Datenschutz ist ein Argument für die richtige Digitalisierung. Mit dem richtigen Anbieter, am richtigen Standort, mit den richtigen Zertifizierungen.
Die sicherste Lösung ist nicht die, die am längsten geprüft wurde. Es ist die, die am besten geschützt ist.
Quellen
¹ BSI (Bundesamt für Sicherheit in der Informationstechnik), Cloud: Risiken und Sicherheitstipps – Empfehlungen zur sicheren Cloud-Nutzung. bsi.bund.de
² Heuking Rechtsanwälte (2026), Digital Sovereignty in Companies: Making Cloud and AI Use Legally Compliant – CLOUD Act vs. DSGVO, europäische Datensouveränität. heuking.de
Kraka ist die Plattform, die Prozesswissen in der Fertigung sichtbar, zugänglich und skalierbar macht. Gehostet in Deutschland, DSGVO-konform, ISO-27001-zertifiziert. Mehr erfahren auf gokraka.com.
