Mit dem neuen Schweizer Datenschutzgesetz (DSG), das seit 1. September 2023 in Kraft ist, wurde auch der Begriff des „Datenschutzberatenden“ eingeführt. Diese Bezeichnung soll klar die Aufgabe dieser Funktion definieren, nämlich „beraten“. Und so hoffentlich das Image vom Thema Datenschutz aufpolieren.
Die Reaktionen auf meine neue Funktion als Datenschutzberatende (Data Protection Officer / DPO) reichten von „hast du dir das gut überlegt?“ bis „lieber du als ich“, waren durchwegs eher kritisch behaftet. Dies, weil Datenschutz noch immer als mühsam und Verhinderer von Geschäften gesehen wird. Klar ist, dass man in dieser Position nicht unbedingt „everybody‘s darling“ wird, jedoch Einblicke in praktisch alle Geschäftsbereiche erhält und aktiv am Geschehen und der künftigen Geschäftsentwicklung mitwirken kann. Somit ein herausforderndes, facettenreiches und verantwortungsvolles Amt.
Was muss ein DPO können?
Der DPO ist Anlaufstelle für die betroffenen Personen und der Datenschutzbehörden. Er wirkt bei der Anwendung der Datenschutzvorschriften mit, berät und schult. Neben entsprechendem Fachwissen ist aber auch die Persönlichkeit des DPO entscheidend. Im besten Fall ist die Person zugänglich, gut vernetzt, kennt die Geschäftsbereiche und die Prozesse zumindest aus der Vogelperspektive. Die Mitarbeitenden im Unternehmen brauchen ein Gesicht zum Namen, es soll eine Vertrauenskultur herrschen, welche Brücken zwischen den Bereichen baut. Das Gesetz regelt in Art. 10 Abs. 3 DSG die persönlichen und fachlichen Voraussetzungen für das Amt des DPO.
Der DPO als Spassbremse bei neuen Projekten?
Datenschutz soll neue Geschäftsmodelle ermöglichen und nicht verhindern, soll Unternehmen auf dem Weg zur Digitalisierung begleiten. Wenn man zum Verhinderer wird, wird man früher oder später umgangen, das ist für alle kontraproduktiv. Daher empfiehlt es sich, präsent zu sein, Networking zu betrieben und neugierig nachzufragen. So wird man in neue Projekte gerne mit einbezogen und kann diese mitgestalten. Dennoch wird man auch auf Widerstand treffen, benötigt in dieser Rolle Durchsetzungsvermögen und muss Kritik einstecken können. Der DPO bewegt sich stets im Spannungsfeld zwischen Unternehmenserfolg und Sicherstellung der Betroffenenrechte.
Data Breach?
Ich gebe es zu, vor Beginn meines Amtes als Datenschutzberaterin wusste ich auch nicht genau, was alles unter den Begriff Data Breach – oder zu Deutsch Verletzung der Datensicherheit – fällt. All die Berichte aus den Medien, klar, aber auch falsch versendete E-Mails? Oh… Ich wage zu behaupten, dass jeder schon einmal eine E-Mail versehentlich an einen offenen Verteiler versendet oder eine falsche Excel-Tabelle angehängt hat. Solche Ereignisse haben mit Sicherheit nicht das Ausmass eines Hacking oder Phishing Angriffs. Dennoch müssen sie geprüft, dokumentiert und allenfalls gemeldet werden. Art. 24 im DSG regelt die Meldung von Verletzungen der Datensicherheit und der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) stellt ein Meldeportal zur Verfügung, welches mittels gut geführten Eingabefeldern leicht zu bedienen ist.
Sensibilisierung im Alltag
Es gibt viele Möglichkeiten, die Aufmerksamkeit zum Thema Datenschutz zu erhöhen. Es müssen nicht immer lange und trockene E-Learnings sein, die vielleicht nicht einmal viel Bezug zum Arbeitsalltag haben. Klar, je nach Firma gehören diese dazu und sind auch wertvoll als regelmässige Auffrischung des Wissens. Aber es gibt andere Möglichkeiten, Tipps zu teilen, beispielsweise übers Intranet. Bei uns im Unternehmen werden diese „Quick-Tipps“ genannt und der Name ist Programm, in 2-3 Minuten hat man sie gelesen oder das Erklärvideo geschaut. Man kann daran erinnern, mit welcher Tastenkombination der Desktop schnell gesperrt und somit sicher ist, auch wenn man nur schnell zum Drucker geht oder dass man darauf achtet, wen man in die Büro-Etage lässt: Kenne ich ihn? Trägt er einen Mitarbeiter-Badge?
Steter Tropfen höhlt den Stein oder hier passender: steigert die Awareness rund um Datenschutz.
Weiterführende Links: