Dreh- und Angelpunkt für aktiven Datenschutz
Christian Walter ist Geschäftsführer und Redaktionsleiter von swiss made software. Bis Ende 2010 arbeitete er als Fachjournalist für das ICT-Magazin Netzwoche, publizierte zuletzt aber auch im Swiss IT Magazin, der Computerworld sowie inside-it.
Mit dem neuen Datenschutzgesetz steigen die Anforderungen – insbesondere auch an KMU. Mittels der Plattform Datenschutzkonform.ch will das Start-up Binary Shift Unternehmen bei der Automatisierung helfen.
Die Plattform Datenschutzkonform.ch bietet KMU Unterstützung rund ums komplexe Thema Datenschutz. (Quelle: Binary Shift)
Mit der Reform des Datenschutzgesetzes (nDSG) Anfang September wurden zahlreiche Firmen in dessen nun strafbewehrten Orbit katapultiert. Für viele Unternehmen, häufig KMU, ist das Neuland. Die Regeln sind umfangreich und je nach Branche verschieden. In dieser Situation ist es nicht einfach, den richtigen Ansatz zu finden. Das Aarauer Start-up Binary Shift hat deswegen die Plattform Datenschutzkonform.ch lanciert. «Das Thema ist komplex – auch wenn es sich häufig mit überschaubarem Aufwand lösen lässt», so Michael Schlotter, Mitgründer von Binary Shift. Er weiss, wovon er spricht, blickt er doch auf viele Jahre Berufserfahrung in diesem Feld zurück. «Ich komme aus dem Sozialversicherungsbereich. Dort sind die Auflagen höher als in manch anderer Branche. Um Zeit zu sparen, suchte ich nach passenden Lösungen zum Management des Datenschutzes. In der Schweiz konnte ich keine finden, die den neuen Anforderungen entsprechen», erklärt er weiter und liefert so auch gleich die Begründung für die Unternehmensgründung.
Bussen für den Datenschutz
Zentral für die gestiegene Nachfrage nach Datenschutzberatung sieht er den Umstand, dass neu Bussen ausgesprochen werden dürfen. «Ab jetzt kann es wehtun», so Schlotter. Dazu kommt ausserdem die ständige Präsenz von Datenverlusten in den Medien und die damit einhergehende Sensibilisierung.
Für ihn ist klar, dass man die Unternehmen an der Hand nehmen muss: «Unsere Plattform ist das Herzstück, mit der sich viele Anforderungen systematisieren und umsetzen lassen. Das geht aber immer mit Beratung einher», erklärt Schlotter. Deswegen erhalten potenzielle Neukunden immer eine Stunde Gratisberatung zum Einstand.
«Wir klären hier ganz grundlegende Fragen: Was muss ich überhaupt machen? Welche Applikationen habe ich? Welche Typen Daten? Sind diese besonders schützenswert wie zum Beispiel im Medizinbereich». Dabei ist es bei Binary Shift zentral, sich auf das Nötige zu beschränken, denn gerade KMU brauchen nicht immer eine professionelle Lösung.
Videoüberwachung und Kundeninformation
Auf der anderen Seite übersehen die Firmen gern Offensichtliches; zum Beispiel beim Thema Videoüberwachung: «Hier braucht es ein Reglement. Wie lange werden die Daten aufbewahrt, wer hat Zugang, und so weiter? Das gilt für alle Branchen vom Produktionsbetrieb bis zum Fitnessstudio. Und auch wenn es eine interne Dokumentation gibt, wird gern vergessen, dass das Unternehmen verpflichtet ist, Besucher über die Überwachung zu informieren.»
Die Entwicklung der Plattform begann Anfang 2023, live ging sie im August. Die ersten Kunden kamen im September an Bord.
Doch selbst in grösseren Unternehmen gibt es häufig Nachholbedarf. «Ab 250 Mitarbeitern ist unter anderem ein Verzeichnis der Bearbeitungstätigkeiten zwingend. Dort gibt es meist schon eine Dokumentation. Die Frage ist dann eher, wie vollständig sie ist und ob der Datenschutz wirklich gelebt wird».
Den Schlüssel zum Datenschutz sieht Schlotter im Verzeichnis der Bearbeitungstätigkeiten. Denn daraus leiten sich alle weiteren Schritte ab: «Also welche Tools von welchem Anbieter mit welchen Daten benutzt werden.»
Ein Beispiel: Will ein Arzt seine Praxis in die Cloud migrieren, muss er sich Gedanken machen. Er hat sehr schützenswerte Daten, die nun seine Räumlichkeiten verlassen. Wem darf er sie geben? Hier kommt auch eines der neuen Elemente des DSG ins Spiel – die Datenschutz-Folgenabschätzung. «Der Arzt ist jetzt verpflichtet, eine Risikobeurteilung zu erstellen. Liest man nur das Gesetz, ist nicht unbedingt klar, wie das funktioniert. Da kommen wir ins Spiel – mit Beratung und Vorlagen».
Neue Einstellung zum Datenschutz
Ähnlich auch beim Thema Treuhand oder besonders im Bereich öffentliches Recht. «Gewisse Daten dürfen etwa nicht in die USA». Schliesslich gilt es, den Kunden auf verbleibende Unsicherheiten hinzuweisen. Wird beispielsweise das Risiko eines Datenexports als tragbar erachtet, ist das nicht gleichbedeutend mit einem automatischen Schutz im Fall eines Verlustes. «Es ist nicht wirklich klar, was im Fall eines Datenverlusts mit schlimmen Folgen passiert, auch wenn man eine Datenschutz-Folgenabschätzung gemacht hat. Wie der Bund im Ernstfall reagiert, ist noch unklar. Das muss man den Leuten eben auch sagen», so Schlotter.
Jenseits vom Zwang ist er aber auch von diversen «Freiwilligen» positiv überrascht. «Einer unserer grossen Kunden, ein Produktionsbetrieb mit 180 Mitarbeitern, hat sich entschlossen, das Thema ernst zu nehmen. Sie ergreifen also Massnahmen, die über das gesetzlich nötige hinausgehen.» Schlotter sieht darin eine neue Einstellung zu dem, was Daten für das Leben der Menschen heutzutage bedeuten können.
Bei diesem Vorgehen ist klar, dass der Aufwand beim Onboarding auf Datenschutzkonform.ch höher ist als im Betrieb. Deswegen ist es wichtig, den Kunden zu vermitteln, dass sich dieser Aufwand am Ende nur lohnt, wenn das Thema Datenschutz anschliessend auch gelebt wird. «Dabei unterstützt die Plattform. Ausserdem gibt es laufend Updates», so Schlotter. Einmal im Jahr schaut man mit dem Kunden den aktuellen Stand an. Das gehört zum Paket, genau wie die Möglichkeit, sich unter dem Jahr bei anfallenden Themen mit den Datenschutzberatern kurzzuschliessen. «Es ist in unserem Interesse, die Plattform so zu gestalten, dass der Kunde uns möglichst selten braucht. Braucht er uns aber, sind wir auch persönlich für ihn da», erklärt Schlotter.