«Datenschutz kann eine grosse Chance sein»

Fehlende Datenschutz-Budgets

CW: Gemäss Ihrer Studie haben fast 90 Prozent der Schweizer Unternehmen kein Budget für den Datenschutz. Was ist Ihre Erklärung?
Ebert: Das hat auf jeden Fall etwas mit der Prioritäten­setzung zu tun. Denn Ausgaben werden ja für den Datenschutz getätigt, wenn zum Beispiel eine Datenschutzerklärung ausgearbeitet wird. Würde man dem Datenschutz ein Budget zuweisen, würde dieser einen höheren Stellenwert erlangen. Schliesslich gibt es für andere Aspekte der Unternehmensführung wie das Marketing auch ein Budget.
CW: Wird sich das noch ändern?
Ebert: Das ist sehr spekulativ. Ich gehe aber davon aus, dass mit der zunehmenden Datenbewirtschaftung und den zusätzlichen Mitteln, die man für diese in Unternehmen spricht, auch mehr Geld für den Datenschutz ausgegeben wird und dieser schlussendlich in vielen Unternehmen ein eigenes Budget erhält.
Zur Studie
ZHAW-Studie: Aufhol­bedarf beim Datenschutz
Die Studie «Datenschutz in Schweizer Unternehmen 2018» von Nico Ebert und Michael Widmer zeigt, dass Anspruch und Rea­lität in Bezug auf den Datenschutz in Schweizer Unternehmen auseinanderklaffen. So zeigt die ZHAW-Untersuchung einerseits, dass ein Grossteil der befragten Unternehmen dem Datenschutz eine hohe Bedeutung beimisst. Andererseits zeigt die Erhebung aber, dass für den Datenschutz in Schweizer KMU kaum Ressourcen zur Verfügung gestellt werden.
So gaben fast 90 Prozent der Firmenverantwortlichen an, nicht über ein Datenschutzbudget zu verfügen. Knapp 70 Prozent haben zudem keinen Datenschutzbeauftragten.
Die komplette Studie steht hier zum Download bereit.
CW: Gemäss DSGVO sind Unternehmen verpflichtet, Kundendaten auf Wunsch oder Antrag zu löschen. In vielen Legacy-Systemen ist das gar nicht möglich. Kann das überhaupt angepasst werden?
Ebert: Das ist tatsächlich ein grosses Problem, denn die Systeme wurden nicht gebaut, um zu vergessen. Im Gegenteil: Sinn und Zweck von Legacy-Systemen war es, die Daten möglichst sicher und am besten für alle Ewigkeit ab­zulegen. Das wieder rückgängig zu machen, ist zwar möglich, aber sehr schwierig und kostspielig. Mir ist der Fall einer Versicherung bekannt, die Millionen dafür ausgeben musste, um gewisse Daten wieder löschbar zu machen.
Aber auch bei aktuelleren Systemen gibt es Datenschutzprobleme. Ich denke da an viele Newsletter-Tools. Wenn Sie als Endanwender bei diesen einen Newsletter abbestellen wollen, erhalten Sie zwar keinen Newsletter mehr. Ihre Daten bleiben aber dennoch im System erhalten. Hier braucht es oft tiefe Eingriffe in die Software, um das zu ändern. Ganz schwierig wird es bei ERP-Systemen, bei denen gewisse Daten ja wegen der Aufbewahrungspflicht länger gespeichert werden müssen, während andere löschbar sein sollten. Hier sind definitiv noch einige technische Knacknüsse zu lösen.
CW: Setzt hier die DSGVO-Vorgabe der sogenannten «Privacy by Design» an, dass also technische Abläufe künftig mit dem Datenschutz im Auge entwickelt werden müssen?
Ebert: Sehr richtig. Denn der Ausgangspunkt des «Designs» sollte ja der Endanwender sein und nicht die Behörde, für die man den Datenschutz verwirklicht. Das fängt schon bei einfachen Dingen an. So sollten schon die Datenschutz­bestimmungen so formuliert werden, dass sie auch jedem verständlich werden.


Das könnte Sie auch interessieren