«Privacy by Design kann handfeste Marktvorteile bieten»

Für die WEMF ist das Thema Datenschutz seit jeher von zentraler Bedeutung. Vor rund einem Jahr hat sie ihre Aktivitäten in diesem Bereich weiter ausgebaut und mit Reto C. Zbinden, Gründer und Inhaber der Swiss Infosec AG, einen externen Datenschutzbeauftragten ins Boot geholt. Der ausgewiesene Experte reflektiert im Gespräch mit dem WEMF-internen Datenschutzverantwortlichen Dr. Marc Sele, mit welchen Herausforderungen sich die Branche in puncto Datenschutz beschäftigen sollte, worin sich die WEMF diesbezüglich von anderen Unternehmen unterscheidet, was sie schon gut macht und worin sie sich noch verbessern könnte.

Guten Tag Herr Zbinden, das Schweizer Bundesgesetz zum Datenschutz (DSG) gilt in seiner Form seit 26 Jahren. Seit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 sind auch hierzulande viele Bestrebungen zum Thema im Gange, obwohl die Verordnung vorerst für den EU-Raum gilt. Was bereitet Ihnen zurzeit am meisten Kopfzerbrechen?

Die von Ihnen angesprochene europäische Datenschutz-Grundverordnung hat auf jeden Fall dem Datenschutz über Europa hinaus wichtige Impulse gegeben. Unbefriedigend bleibt aber, dass die Vorgaben teilweise so weitreichend sind, dass es praktisch kein Unternehmen gibt, das von sich sagen kann, dass es mit vernünftigem Aufwand alle Vorgaben einhalten kann. Diese Konstellation birgt wiederum ein gewisses Risiko für Behördenwillkür, wenn hohe Bussen drohen. Wen picke ich mir heraus, wenn ich jeden herauspicken könnte? Wir vertrauen gerne darauf, dass die Behörden solche Entscheide umsichtig und fair treffen werden, aber ein etwas ungutes Bauchgefühl bleibt.

Nehmen Schweizer Unternehmen das Thema Datenschutz allgemein noch zu locker?

Wir beobachten in der Beratung und in unseren Schulungen grosse Unterschiede, aber viele Unternehmen wollen aufholen. Vor zwei Jahren haben sich etliche teilweise auch grössere Organisationen im Hinblick auf das seitdem geltende strengere europäische Datenschutzrecht dazu entschieden, sich dem Datenschutz vermehrt anzunehmen. Obwohl sich in kurzer Zeit viel erreichen lässt, braucht gerade eine nachhaltige Sensibilisierung zum Thema den Rückhalt in der Geschäftsleitung und nicht zuletzt auch einen langen Atem aller Beteiligten.

Welche Herausforderungen sehen Sie konkret auf die Medien- und Werbebranche zukommen?

Es sind dies sicher die Folgen einer noch weiter voranschreitenden Digitalisierung. Im Online-Bereich zunehmend wichtiger dürften solche Geschäftsmodelle werden, bei denen die Leistung nicht entgeltlich, sondern «gegen Daten» erbracht wird. Wenn diese Daten einen Personenbezug aufweisen, muss der Datenschutz beachtet werden.

Vom Gesetzgeber demnächst unter Druck kommen wird das Telefonmarketing im Privatbereich. Es werden zukünftig Personen ohne Sterneintrag denjenigen mit Sterneintrag gleichgestellt. Kaltanrufe werden so also praktisch unzulässig.

Um dem Datenschutz gebührend Rechnung zu tragen, sind sowohl organisatorische als auch IT-technische Massnahmen erforderlich. Welche sind Ihrer Meinung nach unerlässlich?

Ein erfolgskritischer Faktor ist regelmässig die klare Zuweisung von Verantwortlichkeiten innerhalb des Unternehmens. Oft zeigt sich ausserdem, dass die besten Konzepte wenig bringen, wenn sie nicht durch möglichst alle Poren der Organisation zu dringen vermögen. Sensibilisierung und möglichst anwendungsorientierte Schulungen dienen diesem Zweck. Schliesslich sehen wir auch in regelmässigen Standortbestimmungen grosse Vorteile, allenfalls unter Beizug von Spezialisten, die wenn nötig eine Aussenperspektive einbringen können.

Vor rund einem Jahr haben Sie bei der WEMF das Mandat des Datenschutzbeauftragten übernommen. Worin unterscheidet sich die WEMF von anderen Klienten, für die Sie tätig sind?

Die WEMF setzt sich bereits auf Stufe des präventiven Datenschutzes sehr ein, indem massgebliche Anstrengungen unternommen werden, dass Daten möglichst ohne Personenbezug erhoben werden, was über eine vorgängige Anonymisierung möglich ist.

Die WEMF als Branchenforschungsorganisation arbeitet in einem datenschutzrechtlich heiklen Gebiet, in welchem personenbezogene Daten eine grosse Rolle spielen. Wie schätzen Sie die Bestrebungen der WEMF in diesem Bereich ein?

Die WEMF fördert den Datenschutz in ihrem Einflussbereich mit bemerkenswerter Konsequenz und achtet dabei gewissenhaft auf die Stringenz der verschiedenen Massnahmen. Hervorzuheben sind in diesem Zusammenhang auch die durchgeführte eingehende IT-Sicherheitsanalyse und die Vollständigkeit der internen Datenschutzvorgaben.

Die Initiierung und Umsetzung der Massnahmen ist sehr ressourcenintensiv (Personal, Zeit, Kosten …). Ist der enorme Aufwand für ein KMU wie die WEMF gerechtfertigt oder hätte auch eine schlankere Ausführung genügt?

Den bereits angesprochenen langen Atem braucht es im Datenschutz. Dass KMU im Vergleich zu Grossunternehmen anteilsmässig teilweise vielleicht mehr dafür investieren, darf man unserer Meinung nach durchaus kritisch hinterfragen. Wenn aber das Produkt selbst aus Daten oder ihrer Bearbeitung besteht, kann Privacy by Design heutzutage dafür auch handfeste Marktvorteile bieten und das Potenzial gewisser Daten vielleicht sogar noch fördern.

Worin kann sich die WEMF noch verbessern?

Verbesserungen sind immer möglich, wir raten aber davon ab, Perfektion anzustreben. Vielmehr sollte es darum gehen, auf das Marktumfeld und die Risiken für die Einzelpersonen abgestimmte Massnahmen umzusetzen, auch unter Berücksichtigung der jeweiligen Kosten. Wie bei sehr vielen anderen Unternehmen auch könnten bei der WEMF die einzelnen Geschäftsprozesse noch besser dokumentiert werden.

Vielen Dank für Ihre spannenden Ausführungen und Anregungen.

Media-Scout
hide