DSGVO und die Folgen 01.04.2019, 05:58 Uhr

«Datenschutz kann eine grosse Chance sein»

Seit der Einführung der DSGVO in der EU erhält der Datenschutz und dessen Umsetzung in Unternehmen auch hierzulande mehr Gewicht. Wie weit Schweizer Firmen punkto Datenschutz sind, erklären Nico Ebert und Michael Widmer von der ZHAW im Computerworld-Interview.
Michael Widmer (links) und Nico Ebert von der ZHAW forschen zum Datenschutz in Schweizer Firmen
(Quelle: Samuel Trümpy/NMGZ)
Datenschutz ist spätestens seit Inkrafttreten der Datenschutz-Grundverordnung der EU (DSGVO) auch in der Schweiz ein viel diskutiertes Thema. Dies zeigt auch die aktuelle Swiss-IT-Studie von Computerworld und IDC. So meinten 34,5 Prozent der befragten IT-Verantwortlichen und CIOs, dass die Verbesserung des Datenschutzes 2019 zu den wichtigsten IT-Security-Themen ihres Unternehmens zählt. Zum Vergleich: In der letztjährigen Umfrage gaben dies lediglich 26,1 Prozent der befragten IT-Entscheider als Top-Thema an (vgl. hierzu auch die Grafik unten).
Doch es herrscht grosse Unsicherheit, was die konkrete Umsetzung des Datenschutzes im Unternehmen angeht. So gaben heuer 38,6 Prozent der von uns befragten IT-Verantwortlichen an, dass die «Durchsetzung des Datenschutzes und der Compliance» zu den derzeit grössten Herausforderungen zählt. Auch dieser Wert liegt deutlich über jenem des Vorjahrs. 2018 gaben dies nur 26,9 Prozent an.
Dass Anspruch und Realität in Bezug auf den Datenschutz in Schweizer Unternehmen auseinanderklaffen, hat auch die Studie «Datenschutz in Schweizer Unternehmen 2018» gezeigt, die an der ZHAW (Zürcher Hochschule für Angewandte Wissenschaften) durchgeführt wurde (vgl. Kasten).
Computerworld unterhielt sich mit den Studienautoren der ZHAW School of Management and Law, Nico Ebert, Dozent für Wirtschaftsinformatik, und Michael Widmer, Dozent für Datenschutzrecht und Rechtsanwalt in Zürich, über die Auswirkungen der aktuellen Datenschutzregelungen auf Schweizer Firmen.
Computerworld: Am 25. Mai 2018 ist die DSGVO in Kraft getreten. Was ist ganz generell Ihr Fazit nach gut zehn Monaten?
Michael Widmer: Die Reaktionen auf die Einführung kamen in Wellen. Nach denjenigen, die sich bereits vorgängig auf die Einführung vorbereitet hatten, war dann auch die Zeit um den 25. Mai dadurch gekennzeichnet, dass sich meine Mailbox mit Anfragen füllte. Viele Firmen suchten Rat, was jetzt zu tun sei. Dann kam eine weitere Welle, in der viele Kontakte mir E-Mails mit ihren überarbeiteten Datenschutz­erklärungen zuschickten, ein Beweis dafür, dass die Umsetzung erfolgte. Mittlerweile werden im EU-Raum erste Bussen verhängt.
Aus politischer Sicht wird der Erfolg der DSGVO meines Erachtens daran gemessen werden: Gelingt es, Bussen auch gegen die Grossen im Ausland durchzusetzen? Wenn man allerdings wieder sprichwörtlich nur die Kleinen «hängt», wie das Geschäft in Österreich, das eine 5000-Euro-Busse erhielt, weil es eine Überwachungskamera nicht korrekt gekennzeichnet hatte, und die Grossen laufen lässt, weil sie beispielsweise ihren Hauptsitz in den USA haben, wird das neue Datenschutzgesetz langfristig politisch kaum haltbar sein.
CW: Bei der Einführung wurden Horrorstorys verbreitet, etwa dass bei der Überreichung einer Visitenkarte gleich eine ausgedruckte Datenschutzerklärung mit­geliefert werden müsse. Gab es solche Exzesse?
Widmer: Tatsächlich werden solche Szenarien meist bei Veranstaltungen immer wieder aufs Tapet gebracht. Aber seien wir mal ehrlich und lassen den gesunden Menschenverstand walten. Es war schon vor Einführung der DSGVO klar, dass ich, wenn ich Ihre Visitenkarte in Empfang nehme, Ihre Daten beispielsweise nicht an Spammer weitergebe, die diese missbrauchen.
Quelle: NMGZ

Die DSGVO-Situation in der Schweiz

CW: Wie sieht die Situation in der Schweiz aus? Wird die DSGVO hierzulande auch schon durchgesetzt?
Nico Ebert: In der Schweiz ist das alles nochmals eine Spur ruhiger als in Resteuropa. Die Datenschutzbeauftragten, mit denen ich sprach, haben mir beschieden, dass die Anzahl der Auskunftsanfragen nicht explodiert sei. Auch nennenswerte Datenlecks wurden nicht in die EU gemeldet.
Widmer: Was die Durchsetzung in der Schweiz aus der EU heraus anbetrifft, ist dies sowieso schwierig. Ich möchte jetzt nicht in die juristischen Details gehen. Aber rein rechtlich gesehen ist es fraglich, wie weit man die DSGVO in der Schweiz durchsetzen kann, es sei denn, eine Firma hat eine Niederlassung in der EU. Allerdings sollte man sich nicht darauf verlassen. Gerade Geschäftspartner in der EU be­harren in der Regel auf der Einhaltung der DSGVO und fordern entsprechende Zusicherungen.
Ebert: Dass noch wenig hierzulande passiert ist, liegt wohl auch daran, dass es keine Schweizer Firma vom Schlage Facebook und Google gibt, deren Geschäftsmodell im gleichen Mass darauf beruht, personenbezogene Daten in grossem Umfang zu verarbeiten.
Nico Ebert ist Dozent für Wirtschaftsinformatik an der ZHAW
Quelle: Samuel Trümpy
CW: Ist die DSGVO also irrelevant für die Schweiz?
Widmer: Keineswegs! Der Punkt ist, sie ist sehr relevant für Schweizer Firmen. Denn ihr Gültigkeitsbereich ist nicht auf die EU beschränkt, und sie birgt schlussendlich sehr grosse Risiken mit möglicherweise drakonischen Strafen. Ich finde es im Übrigen eine schlechte Geschäfts-Policy, sich darauf zu verlassen, dass uns in der Schweiz nichts passieren kann.
Auf der anderen Seite muss man auch nicht in Panik geraten, sondern sollte das Problem angehen und umsetzen, ohne überzureagieren. Dies sollte zudem nicht nur aus Furcht vor den drohenden Bussen geschehen, sondern weil der Datenschutz an sich ein wichtiges Thema ist.

Verbesserung des Datenschutz dank DSGVO

CW: Könnte die DSGVO somit auch als Anlass für eine allgemeine Verbesserung des Datenschutzes in Schweizer Firmen betrachtet werden?
Widmer: Auf jeden Fall. Es kann nämlich auch eine grosse Chance sein, wenn man sich als Firma um den Datenschutz bemüht. Einerseits lassen sich kommerzielle Vorteile da­raus ziehen. Ich denke beispielsweise an den Wettbewerbsvorteil, den man hat, weil man mit einer guten Datenschutzpraxis gut dasteht. Andererseits können die Bemühungen um den Datenschutz auch dazu führen, dass man in der Firma ganz unverhofft an anderer Stelle Optimierungs­potenzial entdeckt. So wird man beispielsweise dazu gezwungen, Prozesse genauer zu untersuchen, die man sich vielleicht seit Jahren nicht mehr angeschaut hat, um festzustellen, dass diese komplett ineffizient sind.
“Guter Datenschutz kann auch ein Wettbewerbsvorteil sein„
Michael Widmer
Ebert: Wir sollten den Reputationsaspekt in diesem Zusammenhang nicht ausser Acht lassen. Die landläufige Meinung ist, und viele Unternehmen gehen davon aus, dass den Endkunden der Datenschutz völlig egal sei. Das ist aber nicht unbedingt der Fall und Untersuchungen haben gezeigt, dass bestimmte Kunden sogar dazu bereit wären, ein Preispremium für mehr Datenschutz zu bezahlen. Hier besteht für Firmen somit ein riesiges Potenzial, das Ganze nicht nur als mühsames Compliance-Thema zu betrachten, sondern den Datenschutz als Vorzug für die Endanwender zu unterstreichen, damit auch zu werben und auf diese Weise einen Wettbewerbsvorteil zu erlangen.
Hinzu kommen ethische Aspekte. Man kann sich etwa fragen: Finde ich es als Unternehmen gut, dass ich mit Personendaten in einer gewissen Weise umgehe oder nicht? Könnte ich damit leben, dass man mit meinen persön­lichen Daten so verfährt? Wie wäre es, wenn meine Datenschutzpraxis morgen in der Zeitung angeprangert würde? Solche Betrachtungen können zu Leitlinien führen, die jenseits des Gesetzlichen liegen. Behalte ich solche Aspekte im Hinterkopf, begehe ich schon mal nicht die katastrophalsten Fehler in Bezug auf das Datenschutzrecht.

Auswirkungen auf die Revision des DSG

CW: Zurück zur Gesetzgebung – auch in der Schweiz ist eine Revision des Datenschutzgesetzes (DSG) geplant. Welche Unterschiede bestehen und hat man schon Lehren aus der Einführung der DSGVO gezogen?
Widmer: Zum jetzigen Zeitpunkt ist es sicher schwierig, eine Aussage darüber zu machen, wie die Unterschiede aussehen werden. Was man sicher schon sagen kann, ist, dass die Art der Gesetzgebung anders sein wird. Wenn Sie sich die DSGVO ausdrucken, halten sie 80 bis 100 Seiten in der Hand, wenn Sie den Entwurf des revidierten DSG an den Printer schicken, ist das Dokument viel weniger umfangreich. Das ist darauf zurückzuführen, dass wir in der Schweiz viel weniger in die Gesetze schreiben. Es hat aber nichts
damit zu tun, dass der Inhalt als solcher anders wäre. Wir halten es kurz und füllen es mit Inhalt. In der EU werden dagegen Gesetzestexte ausführlicher formuliert. Der Umgang mit diesen Unterschieden ist aber unproblematisch.
Ich habe mehr Bedenken, dass zum Teil andere Begriffe oder andere Formulierungen verwendet werden. Dies
passiert derzeit bei der Datenschutzfolgeabschätzung. Die Formulierung dieses Abschnitts wurde zwar unterdessen umformuliert, um ihn DSGVO-konform zu machen. Meines Erachtens ist dies immer noch nicht ganz gelungen. Generell kann man aber sagen, dass sich die beiden Gesetze sehr ähnlich sein werden.
Michael Widmer ist Dozent für Datenschutzrecht und Rechtsanwalt
Quelle: Samuel Trümpy
CW: Ihre Studie hat ergeben, dass ein Gros der Firmen die DSGVO nicht kenne. Wie erklären Sie sich das, waren die fünf Buchstaben letztes Jahr doch fast all­gegenwärtig?
Ebert: Ein Grund ist sicher, dass die Befragung bereits im März und April 2018 durchgeführt wurde. Da haben 50 Prozent angegeben, nicht vertraut zu sein. Jetzt kann man natürlich darüber spekulieren, was der Begriff «vertraut» heisst. Ich wage einmal zu behaupten, dass zu diesem Zeitpunkt deutlich mehr Firmenverantwortliche von der DSGVO «gehört» hatten. Viele wollten sich aber nicht anmassen, dann bereits zu sagen, man habe sich schon näher mit dem Gesetz auseinandergesetzt. Spätestens im Mai dürfte der Bekanntheitsgrad um einiges grösser gewesen sein.
Widmer: Viele, vor allem Verantwortliche kleinerer Firmen, waren zu jenem Zeitpunkt auch der Ansicht, dass die DSGVO auf sie nicht anwendbar sei. Diese gaben dann verständlicherweise an, dass man zwar von der DSGVO gehört, sich aber noch nicht mit ihr näher befasst habe.
CW: Was ist seither geschehen? Sind die Firmenverantwortlichen heute besser vertraut mit der DSGVO?
Ebert: Das ist ohne Folgestudie sehr schwierig abzuschätzen. Ich kann nur von Beobachtungen sprechen. Hier sieht man schon, dass sich z. B. auf Webseiten die Datenschutzbestimmungen geändert oder sich die Opt-in-Verfahren für Newsletter gewandelt haben. Gemäss meiner Wahrnehmung ist auch zutreffend, dass die Sensitivität in der Bevölkerung gestiegen ist. Schliesslich berichten die Medien mehr über Datenlecks und -diebstähle. In den Unternehmen steigt das Bewusstein, dass bei mangelndem Datenschutz Reputationsschäden zu befürchten sind, sodass diesem Thema mehr Aufmerksamkeit geschenkt wird.

So helfen die Verbände

CW: Was machen Verbände und Behörden? Müssten die nicht mehr zur Aufklärungsarbeit beitragen?
Widmer: Von Behördenseite kaum, da es sich ja nicht um eine Schweizer Regelung handelt. Auf der Seite des EDÖB beispielsweise ist aber Material zu finden, das über die DSGVO und die Relevanz für Schweizer Firmen aufklärt. Wer dagegen durchaus aktiv war, sind die Verbände. Hier gibt es Beispiele. Spontan fallen mir jene der Hotellerie­suisse und der Economiesuisse ein. Letztere hat sogar ein Tool für den KMU-Bereich entwickelt, mit dessen Hilfe abgeklärt werden kann, ob man überhaupt von der DSGVO betroffen ist [vgl. Kasten unten; Anm. d. Red.]. Die Verbände sind somit vor allem für KMU eine grosse Hilfe, da sie Ressourcen bündeln können. Sie sind auch darum ideal, da sie jeweils eine bestimmte Branche bedienen und so Probleme der DSGVO adressieren können, die von Branche zu Branche unterschiedlich sind.
CW: Apropos Branchen: Sie fragten in der Studie die Teilnehmer nach der Nützlichkeit von «standardisierten Branchenlösungen». Inwiefern könnten diese Unternehmen bei der Umsetzung der Datenschutzrichtlinien unterstützen?
Widmer: In den einzelnen Branchen tauchen für die meisten Unternehmen gewisse ähnliche Probleme bezüglich des Datenschutzes auf, die sich teilweise standardisiert lösen liessen. Eine Branche könnte also einen bestimmten Code of Conduct erarbeiten und diesen von Behördenseite absegnen lassen. In der Folge können die Behörden davon ausgehen, dass Firmen, die sich an den Codex halten, in den von einem solchen Codex geregelten Fragen auch konform unterwegs sind. In Deutschland hat zum Beispiel die Versicherungsbranche schon zum alten Datenschutzgesetz einen Code of Conduct erlassen und diesen nun an die DSGVO angepasst. Dies ist natürlich für die Branchen­mitglieder eine grosse Hilfe und deshalb auch sehr erwünscht, wie unsere Studie gezeigt hat.
Zur DSGVO
Mini-Linksammlung zur DSGVO für Schweizer Firmen
Es gibt zahlreiche, gut strukturierte Checklisten und Tipp-Sammlungen, die Schweizer Firmen die DSGVO näherbringen und ihnen wichtige Hinweise für erste konkrete Schritte geben.
Ein guter Ausgangspunkt findet sich unter dem Titel «Tipps zur DSGVO» auf der Seite des EDÖB.
Der Wirtschaftsverband Economiesuisse hält einen Online-Test zum Datenschutz bereit, mit dem
Firmenverantwortliche in wenigen Minuten abklären können, ob sie unter die DSGVO fallen.
 
Viele Branchen­verbände haben Hinweise und Tools für ihre Mitglieder publiziert. Ein gutes Beispiel sind die Infos und Tools von Hotelleriesuisse, da­runter findet sich ein aufschlussreiches Merkblatt.

Wo bleiben die Datenschutzbeauftragten der Firmen?

CW: Viele der von Ihnen befragten KMU haben keinen Datenschutzbeauftragten. Woran haperts?
Widmer: In erster Linie liegt dies daran, dass es in der Schweiz keine Vorschrift ist, einen Datenschutzbeauftragten zu haben. Aber lassen wir es einmal dahingestellt, ob man einen Datenschutzbeauftragten von Gesetzes wegen benötigt oder nicht, oder ob man diese Person Datenschutzbeauftragter, Datenschutzverantwortlicher oder Datenschutzberater nennt: Wichtig ist doch, dass es gut ist, jemanden im Unternehmen zu haben, der sich um den Datenschutz kümmert.
Ebert: Eigentlich sollte jede Firma so jemanden haben. Denn diese Person braucht diese Aufgabe ja nicht exklusiv zu übernehmen. Es ist nur gut, wenn jemand im Unternehmen dieses «Ämtli» innehaben könnte. Falls dies nicht möglich ist, kann sogar eine Auslagerung in Erwägung gezogen werden. Entsprechende Angebote gibt es jedenfalls.
“Viele haben von der DSGVO gehört, aber sich noch nicht mit ihr befasst„
Nico Ebert
CW: Datenschutzbeauftragte mit dem nötigen Know-how wachsen ja nicht auf Bäumen. Gibt es da schon entsprechende Ausbildungsgänge?
Widmer: Ja, zum Beispiel an der ZHAW [lacht]. Hier gibt es einen CAS [Certificate of Advanced Studies] Datenschutzverantwortlicher, der sehr praxisbezogen und interdisziplinär ist. Bei diesem Lehrgang erhalten die Teilnehmer auch Tools, um dann im eigenen Unternehmen das Thema Datenschutz sehr gezielt anzugehen. Dieser Kurs ist mit 14 ganzen Tagen recht lang. Es gibt darüber hinaus zahlreiche Kurse, die kürzer sind und einzelne Aspekte des Datenschutzes beleuchten.
CW: Wie wird dieses Angebot genutzt?
Widmer: Ausserordentlich gut! Wir sind hier ständig ausgebucht. Allerdings haben wir die Teilnehmerzahlen bewusst gering angesetzt, damit viel Raum und Zeit bleibt, auf die Bedürfnisse der einzelnen Teilnehmer einzugehen.

Fehlende Datenschutz-Budgets

CW: Gemäss Ihrer Studie haben fast 90 Prozent der Schweizer Unternehmen kein Budget für den Datenschutz. Was ist Ihre Erklärung?
Ebert: Das hat auf jeden Fall etwas mit der Prioritäten­setzung zu tun. Denn Ausgaben werden ja für den Datenschutz getätigt, wenn zum Beispiel eine Datenschutzerklärung ausgearbeitet wird. Würde man dem Datenschutz ein Budget zuweisen, würde dieser einen höheren Stellenwert erlangen. Schliesslich gibt es für andere Aspekte der Unternehmensführung wie das Marketing auch ein Budget.
CW: Wird sich das noch ändern?
Ebert: Das ist sehr spekulativ. Ich gehe aber davon aus, dass mit der zunehmenden Datenbewirtschaftung und den zusätzlichen Mitteln, die man für diese in Unternehmen spricht, auch mehr Geld für den Datenschutz ausgegeben wird und dieser schlussendlich in vielen Unternehmen ein eigenes Budget erhält.
Zur Studie
ZHAW-Studie: Aufhol­bedarf beim Datenschutz
Die Studie «Datenschutz in Schweizer Unternehmen 2018» von Nico Ebert und Michael Widmer zeigt, dass Anspruch und Rea­lität in Bezug auf den Datenschutz in Schweizer Unternehmen auseinanderklaffen. So zeigt die ZHAW-Untersuchung einerseits, dass ein Grossteil der befragten Unternehmen dem Datenschutz eine hohe Bedeutung beimisst. Andererseits zeigt die Erhebung aber, dass für den Datenschutz in Schweizer KMU kaum Ressourcen zur Verfügung gestellt werden.
So gaben fast 90 Prozent der Firmenverantwortlichen an, nicht über ein Datenschutzbudget zu verfügen. Knapp 70 Prozent haben zudem keinen Datenschutzbeauftragten.
Die komplette Studie steht hier zum Download bereit.
CW: Gemäss DSGVO sind Unternehmen verpflichtet, Kundendaten auf Wunsch oder Antrag zu löschen. In vielen Legacy-Systemen ist das gar nicht möglich. Kann das überhaupt angepasst werden?
Ebert: Das ist tatsächlich ein grosses Problem, denn die Systeme wurden nicht gebaut, um zu vergessen. Im Gegenteil: Sinn und Zweck von Legacy-Systemen war es, die Daten möglichst sicher und am besten für alle Ewigkeit ab­zulegen. Das wieder rückgängig zu machen, ist zwar möglich, aber sehr schwierig und kostspielig. Mir ist der Fall einer Versicherung bekannt, die Millionen dafür ausgeben musste, um gewisse Daten wieder löschbar zu machen.
Aber auch bei aktuelleren Systemen gibt es Datenschutzprobleme. Ich denke da an viele Newsletter-Tools. Wenn Sie als Endanwender bei diesen einen Newsletter abbestellen wollen, erhalten Sie zwar keinen Newsletter mehr. Ihre Daten bleiben aber dennoch im System erhalten. Hier braucht es oft tiefe Eingriffe in die Software, um das zu ändern. Ganz schwierig wird es bei ERP-Systemen, bei denen gewisse Daten ja wegen der Aufbewahrungspflicht länger gespeichert werden müssen, während andere löschbar sein sollten. Hier sind definitiv noch einige technische Knacknüsse zu lösen.
CW: Setzt hier die DSGVO-Vorgabe der sogenannten «Privacy by Design» an, dass also technische Abläufe künftig mit dem Datenschutz im Auge entwickelt werden müssen?
Ebert: Sehr richtig. Denn der Ausgangspunkt des «Designs» sollte ja der Endanwender sein und nicht die Behörde, für die man den Datenschutz verwirklicht. Das fängt schon bei einfachen Dingen an. So sollten schon die Datenschutz­bestimmungen so formuliert werden, dass sie auch jedem verständlich werden.

Pläne für Folgestudien

CW: Welche Aspekte würden Sie gerne in einer Folgestudie untersuchen?
Ebert: Interessant wäre sicherlich primär herauszufinden, ob die Auskunftsanfragen von Verbrauchern mit Einführung der neuen Regelungen zugenommen haben in den Firmen. Dann könnte man den Umsetzungsgrad erforschen. Haben Firmen sich schon um Privacy by Design gekümmert oder haben sie erst grundlegende Dinge erledigt wie das Erstellen eines Verfahrensverzeichnisses.
Ein weiterer Punkt wäre herauszufinden, ob die Datenschutzbemühungen der Firmen aus Sicht des Konsumenten überhaupt wirksam sind. Ist das Datenschutzniveau gestiegen oder wird nur ein bürokratischer Overhead mit viel Papier erzeugt? Das wäre eine spannende Frage.
Ein weiterer Forschungspunkt wäre herauszufinden, inwiefern der Datenschutz als Wettbewerbsvorteil sichtbar wird. Wäre es zudem möglich, das Mehr an Datenschutz auch mit höheren Preisen zu belegen? In der Schweiz gibt es ein paar Start-ups, die genau dies versuchen wie ProtonMail, SnowHaze und Threema. Meine Frage lautet hier: Wenn Anwender dem Datenschutz eine grössere Bedeutung zukommen lassen, sind sie dann auch bereit, hierfür mehr zu zahlen?
CW: Apropos Endverbraucher: Sind diese in letzter Zeit sensibler geworden in Sachen Datenschutz?
Ebert: Hier beobachten wir einen grossen Unterschied zwischen der Einstellung und dem Verhalten. Wenn man die Konsumenten fragt, ob der Datenschutz für sie ein wichtiges Thema ist, dann bejahen sie dies meist. Das konkrete Verhalten ist dann aber meist anders und sehr situativ. Hier obsiegt dann oft die Bequemlichkeit. Aber auch hier erwarte ich mit zunehmender «Awareness» der Bevölkerung datenschutzorientierteres Verhalten.
Zur Person
Dr. Nico Ebert
ist Dozent für Wirtschaftsinformatik an der Fachstelle für Prozessmanagement und Informationssicherheit der ZHAW School of Management and Law. Seine Arbeits- und Forschungsschwerpunkte liegen in der Business-Analyse und im Datenschutz. Er leitet den Studiengang «MAS Business Analysis».
Zur Person
Dr. Michael Widmer
ist Dozent für Datenschutzrecht am Zentrum für Sozialrecht/Zurich Center for Information Technology and Privacy der ZHAW School of Management and Law. Zudem ist er Rechtsanwalt bei Probst Partner in Zürich. Seine Arbeits- und Forschungsschwerpunkte sind IT-Recht, insbesondere Datenschutzrecht, sowie Immaterialgüterrecht. An der ZHAW betreut er unter anderem die Weiterbildung «CAS Datenschutzverantwortliche».



Das könnte Sie auch interessieren