Datenschutz ist spätestens seit Inkrafttreten der Datenschutz-Grundverordnung der EU (DSGVO) auch in der Schweiz ein viel diskutiertes Thema. Dies zeigt auch die aktuelle Swiss-IT-Studie von Computerworld und IDC. So meinten 34,5 Prozent der befragten IT-Verantwortlichen und CIOs, dass die Verbesserung des Datenschutzes 2019 zu den wichtigsten IT-Security-Themen ihres Unternehmens zählt. Zum Vergleich: In der letztjährigen Umfrage gaben dies lediglich 26,1 Prozent der befragten IT-Entscheider als Top-Thema an (vgl. hierzu auch die Grafik unten).

Doch es herrscht grosse Unsicherheit, was die konkrete Umsetzung des Datenschutzes im Unternehmen angeht. So gaben heuer 38,6 Prozent der von uns befragten IT-Verantwortlichen an, dass die «Durchsetzung des Datenschutzes und der Compliance» zu den derzeit grössten Herausforderungen zählt. Auch dieser Wert liegt deutlich über jenem des Vorjahrs. 2018 gaben dies nur 26,9 Prozent an.

Dass Anspruch und Realität in Bezug auf den Datenschutz in Schweizer Unternehmen auseinanderklaffen, hat auch die Studie «Datenschutz in Schweizer Unternehmen 2018» gezeigt, die an der ZHAW (Zürcher Hochschule für Angewandte Wissenschaften) durchgeführt wurde (vgl. Kasten).

Computerworld unterhielt sich mit den Studienautoren der ZHAW School of Management and Law, Nico Ebert, Dozent für Wirtschaftsinformatik, und Michael Widmer, Dozent für Datenschutzrecht und Rechtsanwalt in Zürich, über die Auswirkungen der aktuellen Datenschutzregelungen auf Schweizer Firmen.

Michael Widmer: Die Reaktionen auf die Einführung kamen in Wellen. Nach denjenigen, die sich bereits vorgängig auf die Einführung vorbereitet hatten, war dann auch die Zeit um den 25. Mai dadurch gekennzeichnet, dass sich meine Mailbox mit Anfragen füllte. Viele Firmen suchten Rat, was jetzt zu tun sei. Dann kam eine weitere Welle, in der viele Kontakte mir E-Mails mit ihren überarbeiteten Datenschutz­erklärungen zuschickten, ein Beweis dafür, dass die Umsetzung erfolgte. Mittlerweile werden im EU-Raum erste Bussen verhängt.

Aus politischer Sicht wird der Erfolg der DSGVO meines Erachtens daran gemessen werden: Gelingt es, Bussen auch gegen die Grossen im Ausland durchzusetzen? Wenn man allerdings wieder sprichwörtlich nur die Kleinen «hängt», wie das Geschäft in Österreich, das eine 5000-Euro-Busse erhielt, weil es eine Überwachungskamera nicht korrekt gekennzeichnet hatte, und die Grossen laufen lässt, weil sie beispielsweise ihren Hauptsitz in den USA haben, wird das neue Datenschutzgesetz langfristig politisch kaum haltbar sein.

Widmer: Tatsächlich werden solche Szenarien meist bei Veranstaltungen immer wieder aufs Tapet gebracht. Aber seien wir mal ehrlich und lassen den gesunden Menschenverstand walten. Es war schon vor Einführung der DSGVO klar, dass ich, wenn ich Ihre Visitenkarte in Empfang nehme, Ihre Daten beispielsweise nicht an Spammer weitergebe, die diese missbrauchen.

Nico Ebert: In der Schweiz ist das alles nochmals eine Spur ruhiger als in Resteuropa. Die Datenschutzbeauftragten, mit denen ich sprach, haben mir beschieden, dass die Anzahl der Auskunftsanfragen nicht explodiert sei. Auch nennenswerte Datenlecks wurden nicht in die EU gemeldet.
Widmer: Was die Durchsetzung in der Schweiz aus der EU heraus anbetrifft, ist dies sowieso schwierig. Ich möchte jetzt nicht in die juristischen Details gehen. Aber rein rechtlich gesehen ist es fraglich, wie weit man die DSGVO in der Schweiz durchsetzen kann, es sei denn, eine Firma hat eine Niederlassung in der EU. Allerdings sollte man sich nicht darauf verlassen. Gerade Geschäftspartner in der EU be­harren in der Regel auf der Einhaltung der DSGVO und fordern entsprechende Zusicherungen.

Ebert: Dass noch wenig hierzulande passiert ist, liegt wohl auch daran, dass es keine Schweizer Firma vom Schlage Facebook und Google gibt, deren Geschäftsmodell im gleichen Mass darauf beruht, personenbezogene Daten in grossem Umfang zu verarbeiten.

Widmer: Keineswegs! Der Punkt ist, sie ist sehr relevant für Schweizer Firmen. Denn ihr Gültigkeitsbereich ist nicht auf die EU beschränkt, und sie birgt schlussendlich sehr grosse Risiken mit möglicherweise drakonischen Strafen. Ich finde es im Übrigen eine schlechte Geschäfts-Policy, sich darauf zu verlassen, dass uns in der Schweiz nichts passieren kann.

Auf der anderen Seite muss man auch nicht in Panik geraten, sondern sollte das Problem angehen und umsetzen, ohne überzureagieren. Dies sollte zudem nicht nur aus Furcht vor den drohenden Bussen geschehen, sondern weil der Datenschutz an sich ein wichtiges Thema ist.

Widmer: Auf jeden Fall. Es kann nämlich auch eine grosse Chance sein, wenn man sich als Firma um den Datenschutz bemüht. Einerseits lassen sich kommerzielle Vorteile da­raus ziehen. Ich denke beispielsweise an den Wettbewerbsvorteil, den man hat, weil man mit einer guten Datenschutzpraxis gut dasteht. Andererseits können die Bemühungen um den Datenschutz auch dazu führen, dass man in der Firma ganz unverhofft an anderer Stelle Optimierungs­potenzial entdeckt. So wird man beispielsweise dazu gezwungen, Prozesse genauer zu untersuchen, die man sich vielleicht seit Jahren nicht mehr angeschaut hat, um festzustellen, dass diese komplett ineffizient sind.

Ebert: Wir sollten den Reputationsaspekt in diesem Zusammenhang nicht ausser Acht lassen. Die landläufige Meinung ist, und viele Unternehmen gehen davon aus, dass den Endkunden der Datenschutz völlig egal sei. Das ist aber nicht unbedingt der Fall und Untersuchungen haben gezeigt, dass bestimmte Kunden sogar dazu bereit wären, ein Preispremium für mehr Datenschutz zu bezahlen. Hier besteht für Firmen somit ein riesiges Potenzial, das Ganze nicht nur als mühsames Compliance-Thema zu betrachten, sondern den Datenschutz als Vorzug für die Endanwender zu unterstreichen, damit auch zu werben und auf diese Weise einen Wettbewerbsvorteil zu erlangen.

Hinzu kommen ethische Aspekte. Man kann sich etwa fragen: Finde ich es als Unternehmen gut, dass ich mit Personendaten in einer gewissen Weise umgehe oder nicht? Könnte ich damit leben, dass man mit meinen persön­lichen Daten so verfährt? Wie wäre es, wenn meine Datenschutzpraxis morgen in der Zeitung angeprangert würde? Solche Betrachtungen können zu Leitlinien führen, die jenseits des Gesetzlichen liegen. Behalte ich solche Aspekte im Hinterkopf, begehe ich schon mal nicht die katastrophalsten Fehler in Bezug auf das Datenschutzrecht.

Widmer: Zum jetzigen Zeitpunkt ist es sicher schwierig, eine Aussage darüber zu machen, wie die Unterschiede aussehen werden. Was man sicher schon sagen kann, ist, dass die Art der Gesetzgebung anders sein wird. Wenn Sie sich die DSGVO ausdrucken, halten sie 80 bis 100 Seiten in der Hand, wenn Sie den Entwurf des revidierten DSG an den Printer schicken, ist das Dokument viel weniger umfangreich. Das ist darauf zurückzuführen, dass wir in der Schweiz viel weniger in die Gesetze schreiben. Es hat aber nichts
damit zu tun, dass der Inhalt als solcher anders wäre. Wir halten es kurz und füllen es mit Inhalt. In der EU werden dagegen Gesetzestexte ausführlicher formuliert. Der Umgang mit diesen Unterschieden ist aber unproblematisch.

Ich habe mehr Bedenken, dass zum Teil andere Begriffe oder andere Formulierungen verwendet werden. Dies
passiert derzeit bei der Datenschutzfolgeabschätzung. Die Formulierung dieses Abschnitts wurde zwar unterdessen umformuliert, um ihn DSGVO-konform zu machen. Meines Erachtens ist dies immer noch nicht ganz gelungen. Generell kann man aber sagen, dass sich die beiden Gesetze sehr ähnlich sein werden.

Ebert: Ein Grund ist sicher, dass die Befragung bereits im März und April 2018 durchgeführt wurde. Da haben 50 Prozent angegeben, nicht vertraut zu sein. Jetzt kann man natürlich darüber spekulieren, was der Begriff «vertraut» heisst. Ich wage einmal zu behaupten, dass zu diesem Zeitpunkt deutlich mehr Firmenverantwortliche von der DSGVO «gehört» hatten. Viele wollten sich aber nicht anmassen, dann bereits zu sagen, man habe sich schon näher mit dem Gesetz auseinandergesetzt. Spätestens im Mai dürfte der Bekanntheitsgrad um einiges grösser gewesen sein.

Widmer: Viele, vor allem Verantwortliche kleinerer Firmen, waren zu jenem Zeitpunkt auch der Ansicht, dass die DSGVO auf sie nicht anwendbar sei. Diese gaben dann verständlicherweise an, dass man zwar von der DSGVO gehört, sich aber noch nicht mit ihr näher befasst habe.

Ebert: Das ist ohne Folgestudie sehr schwierig abzuschätzen. Ich kann nur von Beobachtungen sprechen. Hier sieht man schon, dass sich z. B. auf Webseiten die Datenschutzbestimmungen geändert oder sich die Opt-in-Verfahren für Newsletter gewandelt haben. Gemäss meiner Wahrnehmung ist auch zutreffend, dass die Sensitivität in der Bevölkerung gestiegen ist. Schliesslich berichten die Medien mehr über Datenlecks und -diebstähle. In den Unternehmen steigt das Bewusstein, dass bei mangelndem Datenschutz Reputationsschäden zu befürchten sind, sodass diesem Thema mehr Aufmerksamkeit geschenkt wird.

Widmer: Von Behördenseite kaum, da es sich ja nicht um eine Schweizer Regelung handelt. Auf der Seite des EDÖB beispielsweise ist aber Material zu finden, das über die DSGVO und die Relevanz für Schweizer Firmen aufklärt. Wer dagegen durchaus aktiv war, sind die Verbände. Hier gibt es Beispiele. Spontan fallen mir jene der Hotellerie­suisse und der Economiesuisse ein. Letztere hat sogar ein Tool für den KMU-Bereich entwickelt, mit dessen Hilfe abgeklärt werden kann, ob man überhaupt von der DSGVO betroffen ist [vgl. Kasten unten; Anm. d. Red.]. Die Verbände sind somit vor allem für KMU eine grosse Hilfe, da sie Ressourcen bündeln können. Sie sind auch darum ideal, da sie jeweils eine bestimmte Branche bedienen und so Probleme der DSGVO adressieren können, die von Branche zu Branche unterschiedlich sind.

Widmer: In den einzelnen Branchen tauchen für die meisten Unternehmen gewisse ähnliche Probleme bezüglich des Datenschutzes auf, die sich teilweise standardisiert lösen liessen. Eine Branche könnte also einen bestimmten Code of Conduct erarbeiten und diesen von Behördenseite absegnen lassen. In der Folge können die Behörden davon ausgehen, dass Firmen, die sich an den Codex halten, in den von einem solchen Codex geregelten Fragen auch konform unterwegs sind. In Deutschland hat zum Beispiel die Versicherungsbranche schon zum alten Datenschutzgesetz einen Code of Conduct erlassen und diesen nun an die DSGVO angepasst. Dies ist natürlich für die Branchen­mitglieder eine grosse Hilfe und deshalb auch sehr erwünscht, wie unsere Studie gezeigt hat.

CW: Viele der von Ihnen befragten KMU haben keinen Datenschutzbeauftragten. Woran haperts?

Widmer: In erster Linie liegt dies daran, dass es in der Schweiz keine Vorschrift ist, einen Datenschutzbeauftragten zu haben. Aber lassen wir es einmal dahingestellt, ob man einen Datenschutzbeauftragten von Gesetzes wegen benötigt oder nicht, oder ob man diese Person Datenschutzbeauftragter, Datenschutzverantwortlicher oder Datenschutzberater nennt: Wichtig ist doch, dass es gut ist, jemanden im Unternehmen zu haben, der sich um den Datenschutz kümmert.

Ebert: Eigentlich sollte jede Firma so jemanden haben. Denn diese Person braucht diese Aufgabe ja nicht exklusiv zu übernehmen. Es ist nur gut, wenn jemand im Unternehmen dieses «Ämtli» innehaben könnte. Falls dies nicht möglich ist, kann sogar eine Auslagerung in Erwägung gezogen werden. Entsprechende Angebote gibt es jedenfalls.

Widmer: Ja, zum Beispiel an der ZHAW [lacht]. Hier gibt es einen CAS [Certificate of Advanced Studies] Datenschutzverantwortlicher, der sehr praxisbezogen und interdisziplinär ist. Bei diesem Lehrgang erhalten die Teilnehmer auch Tools, um dann im eigenen Unternehmen das Thema Datenschutz sehr gezielt anzugehen. Dieser Kurs ist mit 14 ganzen Tagen recht lang. Es gibt darüber hinaus zahlreiche Kurse, die kürzer sind und einzelne Aspekte des Datenschutzes beleuchten.

Widmer: Ausserordentlich gut! Wir sind hier ständig ausgebucht. Allerdings haben wir die Teilnehmerzahlen bewusst gering angesetzt, damit viel Raum und Zeit bleibt, auf die Bedürfnisse der einzelnen Teilnehmer einzugehen.

Ebert: Das hat auf jeden Fall etwas mit der Prioritäten­setzung zu tun. Denn Ausgaben werden ja für den Datenschutz getätigt, wenn zum Beispiel eine Datenschutzerklärung ausgearbeitet wird. Würde man dem Datenschutz ein Budget zuweisen, würde dieser einen höheren Stellenwert erlangen. Schliesslich gibt es für andere Aspekte der Unternehmensführung wie das Marketing auch ein Budget.

Ebert: Das ist sehr spekulativ. Ich gehe aber davon aus, dass mit der zunehmenden Datenbewirtschaftung und den zusätzlichen Mitteln, die man für diese in Unternehmen spricht, auch mehr Geld für den Datenschutz ausgegeben wird und dieser schlussendlich in vielen Unternehmen ein eigenes Budget erhält.

Ebert: Das ist tatsächlich ein grosses Problem, denn die Systeme wurden nicht gebaut, um zu vergessen. Im Gegenteil: Sinn und Zweck von Legacy-Systemen war es, die Daten möglichst sicher und am besten für alle Ewigkeit ab­zulegen. Das wieder rückgängig zu machen, ist zwar möglich, aber sehr schwierig und kostspielig. Mir ist der Fall einer Versicherung bekannt, die Millionen dafür ausgeben musste, um gewisse Daten wieder löschbar zu machen.

Aber auch bei aktuelleren Systemen gibt es Datenschutzprobleme. Ich denke da an viele Newsletter-Tools. Wenn Sie als Endanwender bei diesen einen Newsletter abbestellen wollen, erhalten Sie zwar keinen Newsletter mehr. Ihre Daten bleiben aber dennoch im System erhalten. Hier braucht es oft tiefe Eingriffe in die Software, um das zu ändern. Ganz schwierig wird es bei ERP-Systemen, bei denen gewisse Daten ja wegen der Aufbewahrungspflicht länger gespeichert werden müssen, während andere löschbar sein sollten. Hier sind definitiv noch einige technische Knacknüsse zu lösen.

Ebert: Sehr richtig. Denn der Ausgangspunkt des «Designs» sollte ja der Endanwender sein und nicht die Behörde, für die man den Datenschutz verwirklicht. Das fängt schon bei einfachen Dingen an. So sollten schon die Datenschutz­bestimmungen so formuliert werden, dass sie auch jedem verständlich werden.

Ebert: Interessant wäre sicherlich primär herauszufinden, ob die Auskunftsanfragen von Verbrauchern mit Einführung der neuen Regelungen zugenommen haben in den Firmen. Dann könnte man den Umsetzungsgrad erforschen. Haben Firmen sich schon um Privacy by Design gekümmert oder haben sie erst grundlegende Dinge erledigt wie das Erstellen eines Verfahrensverzeichnisses.

Ein weiterer Punkt wäre herauszufinden, ob die Datenschutzbemühungen der Firmen aus Sicht des Konsumenten überhaupt wirksam sind. Ist das Datenschutzniveau gestiegen oder wird nur ein bürokratischer Overhead mit viel Papier erzeugt? Das wäre eine spannende Frage.

Ein weiterer Forschungspunkt wäre herauszufinden, inwiefern der Datenschutz als Wettbewerbsvorteil sichtbar wird. Wäre es zudem möglich, das Mehr an Datenschutz auch mit höheren Preisen zu belegen? In der Schweiz gibt es ein paar Start-ups, die genau dies versuchen wie ProtonMail, SnowHaze und Threema. Meine Frage lautet hier: Wenn Anwender dem Datenschutz eine grössere Bedeutung zukommen lassen, sind sie dann auch bereit, hierfür mehr zu zahlen?

Ebert: Hier beobachten wir einen grossen Unterschied zwischen der Einstellung und dem Verhalten. Wenn man die Konsumenten fragt, ob der Datenschutz für sie ein wichtiges Thema ist, dann bejahen sie dies meist. Das konkrete Verhalten ist dann aber meist anders und sehr situativ. Hier obsiegt dann oft die Bequemlichkeit. Aber auch hier erwarte ich mit zunehmender «Awareness» der Bevölkerung datenschutzorientierteres Verhalten.