Optimierungspotential besteht nach Ansicht der Datenschutzexpertinnen und -experten der Swiss
Infosec AG bei der regelmässigen, bereichsübergreifenden Löschung von Daten und wenn es darum
geht, neue Vorhaben mit Personendatenbezug generell auf die Einhaltung des Datenschutzes zu
prüfen.
An der Swiss Infosec Heartbeat-Umfrage zum Thema Datenschutz haben 115
Personen teilgenommen. Die meisten davon (40%) arbeiten in der IT-Abteilung ihres Unternehmens.
Zahlreiche Antworten kamen aber auch aus den Abteilungen Legal und HR und – was sehr positiv
auffällt - aus dem Bereich Verwaltungsrat/Geschäftsleitung. Die Tatsache, dass Datenschutz auf
Verwaltungsrat- und Managementebene als wichtiges Thema wahr- und ernstgenommen wird, stimmt
zuversichtlich und spricht für einen höheren Stellenwert des Datenschutzes.
Gutes Zeugnis
punkto interner Datenschutzvorgaben
83% der Organisationen, die an der Umfrage
teilgenommen haben, verfügen über ein internes Dokument mit Datenschutzvorgaben. 12% haben
kein solches Dokument und die verbleibenden 5% wissen nicht ob es interne Vorgaben zum
Datenschutz gibt. Das Vorhandensein interner Datenschutzvorgaben zeigt, dass sich die
Organisationen mit dem Thema Datenschutz/Datenschutzgesetz befassen und der Umgang mit
Datenschutz nicht beliebig ist, sondern auf das Unternehmen bezogen klar festgeschrieben werden.
Das schafft Sicherheit und Kontinuität. 66% der Organisationen setzen im übrigen Data Owner
(Dateneigner) ein, die für einen bestimmten Teil der Daten innerhalb der Organisation verantwortlich
sind.
Nur wenige Unternehmen haben noch keine Datenschutzerklärung
104 der 115
teilnehmenden Personen oder 90% bestätigen, dass ihre Organisation über eine
Datenschutzerklärung (DSE) verfügt. Dieser hohe Wert ist erfreulich. Allerdings stellen sich die
Datenschutzexpertinnen und -experten der Swiss Infosec AG die – in der Umfrage nicht explizit
gestellte - Frage, ob diese DSE auch die Datenbearbeitungen jenseits der Webseite abdecken.
Erfahrungsgemäss dürfte dies nicht überall der Fall sein. Im Hinblick auf das neue
Datenschutzgesetz müssten diese Datenbearbeitungen aber durch die Datenschutzerklärungen
abgedeckt sein.
Luft nach oben bei der regelmässigen, bereichsübergreifenden
Datenlöschung
Nicht ganz unerwartet ist das Optimierungspotential bei der Datenlöschung
am grössten. Zwar geben immerhin 39% der Umfrageteilnehmerinnen und -teilnehmer an, dass in
ihrer Organisation Daten regelmässig und bereichsübergreifend gelöscht würden. In 43% der
Unternehmen findet eine solche Datenlöschung aber nicht statt und die übrigen 8% der Antwortenden
haben keine Kenntnis darüber. Eugen Roesle, Head of Legal and Data Privacy bei der Swiss Infosec
AG, spricht in diesem Zusammenhang von der «letzten Meile des Datenschutzes», die noch viele
Unternehmen zu absolvieren hätten, auch wenn sich bezüglich Datenlöschung mit dem NDSG rein
rechtlich nichts ändere. Personendaten, die nicht mehr benötigt werden, weil sie ihren Zweck erfüllt
haben, sind nach aktuell gültigem Recht nämlich bereits jetzt zu löschen.
Datenschutz-
Governance berücksichtigen
Eine Kernforderung der Datenschutz-Governance ist die
Implementierung eines Prozesses, der bei neuen Vorhaben mit Personendatenbezug die Einhaltung
des Datenschutzes überprüft. 57% der teilnehmenden Organisationen erfüllen diese Forderung, 43%
nicht beziehungsweise eher nicht. Handlungsbedarf im Bereich Datenschutz-Governance ist
angezeigt, zumal die rechtzeitige und bestenfalls automatische Überprüfung der Einhaltung des
Datenschutzes bei neuen Vorhaben Zeit spart und Unsicherheiten und böse Überraschungen
eliminiert.
Unterstützung durch spezifische Tools/Softwarelösungen?
Organisationen,
die im Bereich Datenschutz auf spezifische Tools/Softwarelösungen setzen, sind laut der Umfrage
untervertreten. Immerhin 40% der Unternehmen nehmen solche Unterstützung in Anspruch, 60%
(noch) nicht. Ob die Grösse des Unternehmens oder seine Komplexität die Entscheidung, Tools zu
benutzen, beeinflussen oder entsprechende Angebote und ihre massgeschneiderten Lösungen zu
wenig bekannt sind, bleibt offen.
Swiss Infosec AG
Reto C. Zbinden
Rechtsanwalt,
CEO
Centralstrasse 8A
6210 Sursee
Schweiz
reto.zbinden@infosec.ch
Direkt +41 79 446 83
00