datenschutz das geheimnis effektiven datenschutzes: ein insi-bericht
Sponsored IT Sicherheit

Das Geheimnis effektiven Datenschutzes: Ein Insider-Bericht

16.05.2024
von SMA

Die Gesetzgebung hinsichtlich Datenschutz ist streng. Dennoch haben sich viele Schweizer Unternehmen noch kaum mit der Umsetzung beschäftigt. Die PlanSec AG unterstützt Firmen dabei, Compliance sicherzustellen – und handelt dabei nach dem Credo «so viel wie nötig, so wenig wie möglich.»

Dieter Huber,Geschäftsführer PlanSec AG, CIPP/E

Dieter Huber
Geschäftsführer PlanSec AG,
CIPP/E

Herr Huber, die PlanSec AG spricht potenzielle Kundinnen und Kunden mit einem pointierten Claim an: «Wir wissen beide, dass Sie keine Lust auf Datenschutz haben. Aber trotzdem müssen Sie compliant sein.» Wie helfen Sie Firmen dabei, diese Unlust zu überwinden?

Ja, mit diesem Spruch bringen wir in der Tat den Mindset vieler Unternehmen auf den Punkt (lacht). Es ist auch nicht überraschend, denn das neue Datenschutzgesetz bringt für alle Organisationen, die Daten sammeln und bearbeiten, neue Anforderungen mit sich – und auch Sanktionen, falls die neuen Regulierungen nicht eingehalten werden. Daher besteht unser oberstes Ziel darin, Unternehmen nicht nur dabei zu unterstützen, die aktuellen Datenschutzgesetze einzuhalten, sondern ihnen auch dabei zu helfen, ein Bewusstsein für die Relevanz des Themas zu entwickeln. Denn Datenschutz ist mehr als nur Compliance; es geht darum, eine Kultur der Verantwortung und Transparenz zu etablieren. Wir möchten, dass Firmen verstehen, dass eine proaktive Datenschutzstrategie nicht nur Risiken minimiert, sondern auch das Vertrauen ihrer Kundinnen und Kunden sowie ihrer Mitarbeitenden stärkt.

Welche Anpassungen markieren Ihres Erachtens die wichtigsten Veränderungen im Bereich des Datenschutzes?

Neu müssen Unternehmen umfassend über ihre Datenerhebungen Auskunft geben. Sie müssen dabei nicht mehr nur Webseitenbesucher informieren, sondern auch alle Bewerber:innen, die später Mitarbeiter:innen werden können, sowie Personen, die von Videoüberwachungen erfasst werden könnten. Auch zukünftige Kundinnen und Kunden, die kurz vor einem Vertragsabschluss stehen, gehören dazu. Unternehmen sind zudem verpflichtet, sämtliche Prozesse, die personenbezogene Daten betreffen, umfassend zu dokumentieren und sicherzustellen, dass diese Daten unter Einhaltung strengster Sicherheitsvorkehrungen erhoben und verarbeitet werden. Zwar sind Firmen mit 250 Mitarbeitenden und weniger vom Erstellen eines solchen Bearbeitungsverzeichnisses befreit, doch wir empfehlen dennoch, ein solches anzulegen. So lassen sich proaktiv Risiken identifizieren und Massnahmen ergreifen, um diese Risiken zu minimieren. Diese Veränderungen fordern von den Unternehmen ein hohes Mass an Sorgfalt und Transparenz in ihrem Umgang mit personenbezogenen Daten.

Welche Herausforderungen entstehen durch diese Änderungen für Unternehmen?

Eine zentrale Challenge liegt in der Einhaltung der Sorgfaltspflicht, besonders wenn es um die Zusammenarbeit mit Drittanbietern geht. In der digitalen Welt von heute, in der Unternehmen häufig Datenverarbeitungsaufgaben auslagern, ist es essenziell, dass die Verträge mit solchen Dienstleistern die notwendigen Sicherheits- und Datenschutzbestimmungen enthalten. Sollte zum Beispiel ein Dienstleister einem Cyberangriff unterliegen, liegt die Verantwortung der Information der eigenen Kundinnen und Kunden sowie der Behörden immer noch beim auftraggebenden Unternehmen. Daher ist es unerlässlich, dass Organisationen die Sicherheitspraktiken ihrer Partner sorgfältig prüfen und vertraglich absichern. Und dies ist, wie man sich vorstellen kann, ebenso komplex wie umfangreich.

Wie unterstützt die PlanSec AG Firmen dabei, diesen neuen Anforderungen gerecht zu werden?

Wir beginnen mit einer kostenlosen Erstanalyse der aktuellen Datenschutzpraktiken des Unternehmens, um Herausforderungen und Zielsetzungen zu identifizieren. Zu diesem Zweck setzen wir ein umfassendes und bewährtes Datenschutzmanagementsystem ein. Damit können wir das Unternehmen strukturiert beleuchten. Basierend auf den Erkenntnissen dieser Auslegeordnung entwickeln wir dann eine massgeschneiderte Strategie, die nicht nur auf die Einhaltung der Gesetze abzielt, sondern auch die Stärkung des Vertrauens zwischen dem Unternehmen und seinen Kundinnen und Kunden sowie seinen Mitarbeitenden abzielt. Je nach Bedarf bieten wir eine grosse Bandbreite von Dienstleistungen an, von der Beratung und Schulung bis hin zur vollständigen Übernahme der Datenschutzverantwortung. Unsere Ansätze sind darauf ausgelegt, pragmatische und effektive Lösungen zu implementieren, die sowohl die Compliance als auch die betriebliche Effizienz verbessern.

Datenschutz ist mehr als nur Compliance; es geht darum, eine Kultur der Verantwortung und Transparenz zu etablieren. Dieter Huber, Geschäftsführer PlanSec AG

Können Sie auf die Konsequenzen eingehen, die Unternehmen bei Nichteinhaltung der Datenschutzgesetzgebung erwarten?

Die Folgen können potenziell gravierend sein. Zunächst sind da die Sanktionen: Personen, denen im Unternehmen einen Verstoss des Datenschutzgesetzes nachgewiesen wird, können mit Bussgeldern von bis zu 250 000 Franken belegt werden. Besonders mit Verstössen gegen die Meldepflicht bei Cyberangriffen kann man sich vergleichsweise schnell strafbar machen. Nebst den finanziellen Strafen gibt es die Auskunfts- und Sorgfaltspflichten: Unternehmen müssen nicht nur transparent über ihre Datenverarbeitungsaktivitäten informieren, sondern auch nachweisen können, dass sie angemessene Massnahmen zum Schutz personenbezogener Daten ergriffen haben. Dazu gehört die Auswahl von Dienstleistern, die den Datenschutzbestimmungen gerecht werden, sowie die Implementierung von Prozessen, welche die Sicherheit der Daten gewährleisten. Ein weiterer wichtiger Aspekt ist die Kooperation mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Worauf ist bei der Zusammenarbeit mit ihm zu achten?

Obschon der EDÖB nicht proaktiv Unternehmen auditiert, sondern reaktiv auf Beschwerden und Meldungen reagiert, ist es entscheidend, eine offene und kooperative Haltung gegenüber dieser Behörde einzunehmen. Eine solche Zusammenarbeit kann nicht nur bei der Vermeidung von Sanktionen hilfreich sein, sondern auch das Vertrauen in die Datenschutzpraktiken des Unternehmens stärken. Wir von der PlanSec AG sprechen in diesem Zusammenhang immer von drei zentralen Schutzzielen im Datenschutz: Vertraulichkeit, Verfügbarkeit und Integrität.

Können Sie diese drei Schutzziele näher ausführen?

Vertraulichkeit bedeutet, dass personenbezogene Daten vor unbefugtem Zugriff geschützt werden müssen. Verfügbarkeit bezieht sich auf die Gewährleistung, dass Daten zugänglich und nutzbar sind, wenn sie benötigt werden. Integrität schliesslich stellt sicher, dass Daten korrekt und vollständig sind. Diese Ziele bilden das Fundament eines robusten Datenschutzprogramms und sind entscheidend für das Vertrauen, das Kundinnen und Kunden sowie Geschäftspartner:innen in die Datenverarbeitungspraktiken eines Unternehmens setzen.

Angesichts dieser Herausforderungen: Wie wichtig ist die Investition in Sicherheitsmassnahmen?

Diese Investition ist absolut kritisch und sollte als unverzichtbarer Teil der Geschäftsstrategie betrachtet werden. Vergleicht man die potenziellen Kosten einer Datenschutzverletzung – sei es durch Bussgelder oder Reputationsschäden– mit den Investitionen in präventive Sicherheits- und Datenschutzmassnahmen, wird schnell klar, dass Prävention die einzige sinnvolle Entscheidung darstellt. Letztlich ist es weitaus kosteneffektiver, proaktiv in Datenschutz und Datensicherheit zu investieren, als die Konsequenzen einer Nichteinhaltung zu tragen.

Was hält Unternehmen denn meist davon ab, auf Ihre Datensicherheit zu fokussieren?

Unternehmen, insbesondere KMU, stehen oft vor der Herausforderung, dass ihnen die Zeit sowie das spezialisierte Wissen fehlen, um die Anforderungen der Datenschutzgesetzgebung vollständig zu verstehen und im hektischen Geschäftsalltag umzusetzen. Dies führt zu Unsicherheiten und potenziellen Risiken. Allerdings ist bei Weitem nicht jede Vorgabe des Datenschutzgesetzes für jedes Unternehmen gleichermassen relevant: So ist etwa die Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, erst für Unternehmen mit mehr als 250 Mitarbeitenden verbindlich. Das zeigt, dass eine individuelle Betrachtung und Anpassung an die spezifischen Bedürfnisse und Kapazitäten jedes Unternehmens erforderlich ist.

Wie unterstützt die PlanSec AG Unternehmen dabei, diesen Herausforderungen zu begegnen und ihre Datenschutzziele zu erreichen?

Unser Ansatz besteht darin, zunächst die richtigen Fragen zu stellen: Ist eine bestimmte Datenschutzanforderung für das Unternehmen relevant oder nicht? Und wie könnte diese in die Prozesse der Firma eingebettet werden? Wir erläutern dann die Gründe für unsere Einschätzung und stellen ein Argumentarium zur Verfügung, das die Entscheidungsfindung unterstützt. Dieser Prozess hilft nicht nur die Relevanz bestimmter Anforderungen zu klären, sondern auch Interpretationsfehler zu vermeiden. Unser Ziel besteht darin, Unternehmen durch diesen Dschungel an Vorschriften zu navigieren, indem wir klare, verständliche und vor allem anwendbare Informationen bereitstellen. Hierfür bieten wir eine kostenfreie Datenschutzanalyse, die den Anfang der Zusammenarbeit markiert. Mit diesem Angebot gehen wir bewusst in Vorleistung, um die spezifischen Bedürfnisse und Herausforderungen unserer potenziellen Kundinnen und Kunden zu verstehen. Diese Analyse gibt uns und dem Kundenbetrieb die Möglichkeit, einander kennenzulernen und zu entscheiden, ob eine Zusammenarbeit für beide Seiten von Vorteil ist. Das Onboarding ist für uns also nicht nur ein Prozess der Informationsgewinnung, sondern auch eine Gelegenheit, um eine vertrauensvolle Beziehung aufzubauen. Uns ist es wichtig, dass unser Gegenüber sich sicher fühlt und genau weiss, welche Schritte wir unternehmen werden, um gemeinsam den Weg zur Datenschutzkonformität zu beschreiten. Dabei agieren wir immer getreu unserem Credo: So wenig wie möglich, so viel wie nötig. Wir wollen mit unserer Kundschaft keine Datenschutz-Doktorarbeit verfassen, sondern setzen auf einen pragmatischen Ansatz. Dazu kann auch gehören, Firmen bei der Umsetzung der «ISO 27001 Informationssicherheit» zu unterstützten. Denn diese Norm gewinnt immer mehr als Bedeutung, weil sie einen Compliance-Backbone darstellt und Datenschutzanforderungen mitberücksichtigt.

Weitere Informationen unter web.plansec.ch

Über die PlanSec AG

Das in Cham ZG ansässige Unternehmen unterstützt Firmen aller Branchen und Grössen dabei, die Herausforderungen des modernen Datenschutzes und ISO 27001 zu bewältigen. Das Team von Datenschutz- und Informationssicherheitsexperten verfügt über umfangreiches Wissen und Erfahrung in diesem Bereich. Die PlanSec AG versteht die rechtlichen Anforderungen und die technischen Aspekte des Datenschutzes sowie der ISO 27001 Norm und ist bestens gerüstet, massgeschneiderte Lösungen zu entwickeln.

Logo PlanSec

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Vorheriger Artikel Der wirklich sichere Datentransfer
Nächster Artikel Wie sich Schweizer KMU vor Cyberkriminalität schützen können