Datenschutzmanagement im KMU – ein risikobasierter Ansatz lohnt sich

Vor dem Hintergrund des überarbeiteten Datenschutzgesetzes, das voraussichtlich 2022 in Kraft tritt, wird Datenschutz ein immer präsenteres Thema – nicht nur für Banken oder Versicherungen, sondern auch für KMU. Ein Datenschutzmanagementsystem ist ein Schritt, das Thema systematisch im Betrieb einzubetten und bereit zu sein für das neue Regime. Es lohnt sich, einen risikobasierten Ansatz zu verfolgen.

Zuerst einen Schritt zurück

Spätestens im Jahr 2022 weht in der Schweiz bezüglich Datenschutzes ein anderer Wind (eine Zusammenfassung dazu auf netzwoche.ch). Was beispielsweise für internationale Konzerne oder Versicherungen bereits heute Alltag ist, wird dann auch viele KMUs betreffen. Auch unabhängig neuer gesetzlicher Vorschriften ist die Sensibilität gegenüber Datenschutz allgemein viel höher wie noch vor einigen Jahren. Es zahlt sich deshalb für jeden Betrieb aus, das Thema proaktiv anzugehen und sich zum Datenschutzmanagement Gedanken zu machen.

Klar, Ressourcen sind insbesondere in kleinen Unternehmen beschränkt. Sie sollen zielgerichtet eingesetzt werden können. Deshalb lohnt es sich, zuerst einen Schritt zurückzumachen und eine Standortbestimmung vorzunehmen. Denn nicht für jedes KMU bedeutet das revidierte Datenschutzgesetz dasselbe. Vieles wird vielleicht bereits unbewusst umgesetzt. Aufschluss über den Stand der Dinge bieten folgende vier Fragen:

  1. Welche Daten werden im Unternehmen bearbeitet?
  2. Zu welchem Zweck werden die Daten bearbeitet?
  3. Woher kommen die Daten und wohin gehen sie?
  4. Was passiert mit den Daten, wenn wir sie nicht mehr benötigen?

Risikoabwägung zahlt sich aus

Vor allem die erste der vorangegangenen Fragen ist bedeutsam. Sie bestimmt, wie umfassend die weiteren Massnahmen fürs Datenschutzmanagement ausfallen müssen. Das Gesetz verlangt nach technischen und organisatorischen Massnahmen (sogenannte TOM), welche dem Risiko angemessen sind. Wodurch wird das bestimmt? Es geht um das Risiko der Verletzung von Persönlichkeitsrechten.

Es ist somit zentral, ob und vor allem welche Personendaten ein Unternehmen bearbeitet. Das können sowohl eine Adresse wie auch Lohndaten oder Informationen über Krankheiten betreffen. Die Spannweite ist also breit. Eine Übersicht, was Personendaten genau sind, beschreibt beispielweise der Datenschutzbeauftragte vom Kanton Basel-Stadt. Es betrifft also nicht nur um die Kundendaten, sondern auch beispielsweise um Mitarbeitende oder Lieferanten.

In einem nächsten Schritt muss das Risiko für die betroffenen Personen beurteilt werden. Wie hoch ist das Risiko, dass die Daten in die falschen Hände gelangen? Welche Konsequenzen drohen den Personen, falls ihre Daten in die falschen Hände gelangen? Und welche Massnahmen existieren bereits, damit dies verhindert wird?

Was es jetzt braucht, ist eine Risikoabschätzung der vorhandenen Informationen und Erkenntnisse. Dazu eignet sich zum Beispiel eine simple Risiko-Matrix, wie sie in unterschiedlichsten Bereichen angewandt werden kann.

Beispiel einer Risikomatrix zur betrieblichen Risikobewertung (Quelle: Unabhängiges Landeszentrum für Datenschutz, online)

Dadurch werden bestehende Lücken aufgedeckt. Diese können durch geeignete Massnahmen geschlossen oder zumindest minimiert werden. Dabei geht es auch nicht darum, dass alle Risiken komplett eliminiert, sondern bewusst eingegangen werden. Nicht alle bearbeiteten Daten werden denselben Schutz benötigen. So kann auch ein kleines Unternehmen gezielt handeln und die beschränkten Ressourcen dort einsetzen, wo es sich wirklich lohnt.

Das Beste daran: Die Analysen dienen nicht nur dem Datenschutz, sondern gewähren auch aufschlussreiche Einblicke in das Unternehmen.

 

Weiterführende Links zum Thema:

https://www.datenschutzzentrum.de/artikel/1225-Kurzpapier-Nr.-18-Risiko-fuer-die-Rechte-und-Freiheiten-natuerlicher-Personen.html

https://disclose.pwc.ch/26/warum-sich-schweizer-kmu-jetzt-mit-dem-datenschutz-befassen-muessen/

https://www.daten-schutz.ch/wp-content/uploads/Checkliste_Datenschutzmanagement-System.pdf

Beitrag teilen

Angela Husi

Angela Husi ist Projektleiterin Bildung & Daten bei Minergie und bloggt aus dem Unterricht des CAS Data Privacy Officer.

Alle Beiträge ansehen von Angela Husi →

Schreibe einen Kommentar