Vor dem Hintergrund des überarbeiteten Datenschutzgesetzes, das voraussichtlich 2022 in Kraft tritt, wird Datenschutz ein immer präsenteres Thema – nicht nur für Banken oder Versicherungen, sondern auch für KMU. Ein Datenschutzmanagementsystem ist ein Schritt, das Thema systematisch im Betrieb einzubetten und bereit zu sein für das neue Regime. Es lohnt sich, einen risikobasierten Ansatz zu verfolgen.
By Angela Husi aus dem CAS Data Privacy Officer
Zuerst einen Schritt zurück
Spätestens im Jahr 2022 weht in der Schweiz bezüglich Datenschutzes ein anderer Wind (eine Zusammenfassung dazu auf netzwoche.ch). Was beispielsweise für internationale Konzerne oder Versicherungen bereits heute Alltag ist, wird dann auch viele KMUs betreffen. Auch unabhängig neuer gesetzlicher Vorschriften ist die Sensibilität gegenüber Datenschutz allgemein viel höher wie noch vor einigen Jahren. Es zahlt sich deshalb für jeden Betrieb aus, das Thema proaktiv anzugehen und sich zum Datenschutzmanagement Gedanken zu machen.
Klar, Ressourcen sind insbesondere in kleinen Unternehmen beschränkt. Sie sollen zielgerichtet eingesetzt werden können. Deshalb lohnt es sich, zuerst einen Schritt zurückzumachen und eine Standortbestimmung vorzunehmen. Denn nicht für jedes KMU bedeutet das revidierte Datenschutzgesetz dasselbe. Vieles wird vielleicht bereits unbewusst umgesetzt. Aufschluss über den Stand der Dinge bieten folgende vier Fragen:
- Welche Daten werden im Unternehmen bearbeitet?
- Zu welchem Zweck werden die Daten bearbeitet?
- Woher kommen die Daten und wohin gehen sie?
- Was passiert mit den Daten, wenn wir sie nicht mehr benötigen?
Risikoabwägung zahlt sich aus
Vor allem die erste der vorangegangenen Fragen ist bedeutsam. Sie bestimmt, wie umfassend die weiteren Massnahmen fürs Datenschutzmanagement ausfallen müssen. Das Gesetz verlangt nach technischen und organisatorischen Massnahmen (sogenannte TOM), welche dem Risiko angemessen sind. Wodurch wird das bestimmt? Es geht um das Risiko der Verletzung von Persönlichkeitsrechten.
Es ist somit zentral, ob und vor allem welche Personendaten ein Unternehmen bearbeitet. Das können sowohl eine Adresse wie auch Lohndaten oder Informationen über Krankheiten betreffen. Die Spannweite ist also breit. Eine Übersicht, was Personendaten genau sind, beschreibt beispielweise der Datenschutzbeauftragte vom Kanton Basel-Stadt. Es betrifft also nicht nur um die Kundendaten, sondern auch beispielsweise um Mitarbeitende oder Lieferanten.
In einem nächsten Schritt muss das Risiko für die betroffenen Personen beurteilt werden. Wie hoch ist das Risiko, dass die Daten in die falschen Hände gelangen? Welche Konsequenzen drohen den Personen, falls ihre Daten in die falschen Hände gelangen? Und welche Massnahmen existieren bereits, damit dies verhindert wird?
Was es jetzt braucht, ist eine Risikoabschätzung der vorhandenen Informationen und Erkenntnisse. Dazu eignet sich zum Beispiel eine simple Risiko-Matrix, wie sie in unterschiedlichsten Bereichen angewandt werden kann.
Dadurch werden bestehende Lücken aufgedeckt. Diese können durch geeignete Massnahmen geschlossen oder zumindest minimiert werden. Dabei geht es auch nicht darum, dass alle Risiken komplett eliminiert, sondern bewusst eingegangen werden. Nicht alle bearbeiteten Daten werden denselben Schutz benötigen. So kann auch ein kleines Unternehmen gezielt handeln und die beschränkten Ressourcen dort einsetzen, wo es sich wirklich lohnt.
Das Beste daran: Die Analysen dienen nicht nur dem Datenschutz, sondern gewähren auch aufschlussreiche Einblicke in das Unternehmen.
About: Angela Husi ist Projektleiterin Bildung & Daten bei Minergie und bloggt aus 
dem Unterricht des CAS Data Privacy Officer.
Weiterkommen mit dem CAS Data Privacy Officer: Dieses Weiterbildungsprogramm vermittelt die erforderlichen Fachkenntnisse zur Ausübung der Funktion des/der betrieblichen Datenschutzverantwortlichen oder des/der Datenschutzberatenden. Die Entwicklungen im Zusammenhang mit der laufenden Revision des Datenschutzgesetzes der Schweiz sowie die relevanten Aspekte der EU-Datenschutzgrundverordnung (DSGVO) – der General Data Protection Regulation (GDPR) 2016/679 – werden in diesem Kurs mitberücksichtigt.
Gefällt Ihnen unser Informatik-Blog? Hier erhalten Sie Tipps und lesen über Trends aus der Welt der Informatik. Wir bieten Einsichten in unser Departement und Porträts von IT-Vordenkerinnen, Visionären und spannenden Menschen: Abonnieren Sie jetzt unseren Blog!
Stöbern Sie in unserem Weiterbildungs-Blog: Was lernen die CAS-Teilnehmenden? Was sind ihre Fachgebiete? Im Weiterbildungs-Blog der Hochschule Luzern – Informatik erfahren Sie mehr. Aktuelle CAS-Teilnehmende bloggen aus ihren Weiterbildungsprogrammen heraus. Wir unterstützen und fördern die Bloggenden aktiv in diesem Qualifikationsschritt.