Interview mit Rechtsanwältin Chantal Lutz zur Umsetzung des Datenschutzes in Schweizer KMU
Kleine und mittelständische Unternehmen (KMU) müssen sich seit dem 1. September 2023 an das revidierte Datenschutzgesetz (DSG) anpassen. Das DSG verbessert den Schutz von Personendaten und gewährt betroffenen Personen neue Rechte. Frau Chantal Lutz, Rechtsanwältin und DIN-Vorstandsmitglied für das Ressort Recht, beantwortet im DIN-Sommerinterview Fragen, wie KMU mit zunehmenden Regulierungen pragmatisch umgehen können. Die Umsetzung des DSG im Unternehmen ist essentiell, um Technologien wie KI konform und sicher einsetzen zu können.
Ursula Moonen: Welches ist Dein wichtigstes Anliegen zum neuen Datenschutzgesetz?
Ich möchte mit diesem Interview zur Entmystifizierung dieses Themas beitragen.
KMU müssen keine Angst vor Regulierungen haben. Vielmehr sollten sie diese als Chance begreifen, um ihre Geschäftsprozesse zu optimieren. Ein pragmatischer Ansatz besteht darin, die Datenschutzanforderungen schrittweise zu erfüllen. KMU sollten sich auf die wesentlichen Aspekte konzentrieren, wie zum Beispiel die Erstellung einer Datenschutzerklärung für Kundinnen* und Mitarbeitende, die Schulung der Mitarbeitenden und die regelmässige Überprüfung ihrer Datenbearbeitungen. Durch eine klare Kommunikation mit den Mitarbeitenden und die Integration von Datenschutzmassnahmen in die täglichen Abläufe können KMU die Umsetzung effizient gestalten.
*wo keine geschlechtsneutrale Formulierung existiert, wird in diesem Interview die weibliche Form verwendet. Es dürfen sich jedoch sämtliche Geschlechter und non-binäre Personen angesprochen fühlen.
Welche unternehmerischen Gründe veranlassen Unternehmen, sich mit dem Thema Datenschutz auseinanderzusetzen?
Die folgende Aufzählung gibt einen Überblick:
1. Vertrauen der Kundinnen: Datenschutzmassnahmen stärken das Vertrauen der Kundinnen. Geht ein Unternehmen sorgfältig mit den Personendaten seiner Kundinnen um, fühlen sich diese sicherer und sind eher bereit, Informationen von sich preiszugeben.
2. Image und Reputation: Kundinnen und Geschäftspartnerinnen achten zunehmend darauf, wie Unternehmen mit ihren Informationen umgehen. Ein Datenschutzverstoss kann zu einem erheblichen Imageverlust führen.
3. Wettbewerbsvorteil: Unternehmen, die Datenschutz ernst nehmen, haben einen Wettbewerbsvorteil. Kundinnen bevorzugen Unternehmen, die ihre Geheimsphäre respektieren und ihre Daten sicher aufbewahren.
4. Vermeidung von Datenlecks und Sicherheitsrisiken: Datenschutzmassnahmen tragen dazu bei, Sicherheitsrisiken zu minimieren. Unternehmen sollten bei der Einführung von Datenschutzmassnahmen immer auch die Wechselwirkung auf die IT-Sicherheit beachten. Der IT-Provider des Unternehmens ist hierbei ein wichtiger Sparringpartner.”
5. Rechtliche Anforderungen und Bussgelder: Mit dem Inkrafttreten des neuen Schweizer Datenschutzgesetzes sind die Anforderungen an den Datenschutz in Unternehmen verschärft worden. Bei Verstössen können Mitarbeitende, allen voran die Geschäftsleitung, gebüsst werden.
Welche Daten sind für Unternehmen besonders kritisch?
Das muss jedes KMU für sich bestimmen. Es geht hier um die sogenannten ‘Kronjuwelen’, wie sie in der Informationssicherheit genannt werden. Einerseits gibt es Geschäftsdaten, die keinen Personenbezug aufweisen, die für ein KMU überlebenswichtig sein können (beispielsweise die Rezeptur eines Getränks, das die Firma herstellt). Andererseits gibt es Personendaten, die besonders wichtig für ein Unternehmen sein können. Im Onlinemarketing sind das zum Beispiel Leads auf Social Media, in einer Gewerkschaft sind dies die Mitgliederdaten und im Spital die Gesundheitsdaten von Patientinnen. Je nachdem, wie gross das Schadenspotential eines Datenmissbrauchs ist, werden gewisse Personendaten als besonders schützenswert betrachtet. Diese sind im DSG abschliessend aufgezählt. Um festzuhalten, was die Kronjuwelen im Unternehmen sind, empfehle ich ein Datenbearbeitungsverzeichnis zu führen. Dies ist der Ausgangspunkt eines jeden Datenschutzprojekts.
Insgesamt ist es wichtig, dass KMU den Datenschutz als integralen Bestandteil ihrer Geschäftstätigkeit betrachten und kontinuierlich verbessern, um den Anforderungen gerecht zu werden.
Wie sieht eine konkrete und pragmatische Herangehensweise aus?
Es ist wichtig, ein solches Projekt risikoorientiert anzugehen. Unbedingt umsetzen sollte man jene Massnahmen, welche das Bussenrisiko und potentielle Reputationsschäden sowie zivile Haftungsrisiken minimieren. Folgende Massnahmen sind Beispiele hierfür:
1. Anonymisierung von Daten: Statt Personendaten direkt zu speichern, können anonymisierte oder pseudonymisierte Daten verwendet werden. Beispielsweise könnten sie beim Webtracking Tools einsetzen, die IP-Adressen der Websitenutzerinnen direkt anonymisieren.
2. Zugriffsbeschränkungen: Der Zugriff auf Personendaten innerhalb des Unternehmens sollte auf diejenigen Mitarbeitenden beschränkt werden, welche diese für ihre Arbeit benötigen. So wird das Risiko von Datenschutzverletzungen minimiert. Beispielsweise kommt es immer wieder vor, dass Lohnlisten unabsichtlich offengelegt werden, weil Berechtigungen nicht richtig eingestellt sind.
3. Verschlüsselung: Daten sollten verschlüsselt gespeichert und übertragen werden. Dies schützt vor ungewollten Datenabflüssen und unbefugten Zugriffen. Die grossen Cloudanbieter bieten in der Regel eine Grundverschlüsselung an. Bei besonders schützenswerten Daten kann eine zusätzliche Verschlüsselung sinnvoll sein, falls diese pragmatisch umsetzbar ist.
4. Regelmässige Schulungen: Mitarbeitende sollten regelmässig über die unternehmensinternen Datenschutzprozesse sowie Cybersicherheitsbedrohungen und die getroffenen Massnahmen geschult werden. Dies hilft, das Bewusstsein zu schärfen und Fehler zu minimieren.
5. Datenlöschung: Nicht mehr benötigte Personendaten sollten regelmässig gelöscht werden. Je weniger Personendaten vorhanden sind, desto kleiner ist das Schadenspotential bei einem Cyberangriff oder unbeabsichtigtem Datenabfluss.
6. Stete Verbesserung: Schliesslichsollten regelmässig Überprüfungen durchgeführt werden, um potenzielle Schwachstellen zu identifizieren und Schutzmassnahmen anzupassen.
Gelten diese Massnahmen für alle KMU?
Ja. Ich möchte ergänzen und betonen, dass jede Massnahme individuell auf die Bedürfnisse und Ressourcen des Unternehmens abgestimmt sein sollte. Es ist wichtig, pragmatische Lösungen zu finden, die den Datenschutz gewährleisten, ohne den Geschäftsbetrieb unnötig zu beeinträchtigen.
Mit welchem Aufwand muss ein KMU bei der Umsetzung rechnen?
Der Aufwand für ein Datenschutzprojekt hängt von der Unternehmensgrösse, den vorhandenen Ressourcen und den individuellen Anforderungen ab. Die Rechtsberatungskosten für ein Standardprojekt eines kleineren Unternehmens betragen ca. CHF 1500-5000, je nach Komplexität der Datenflüsse und des Schutzbedarfs der Personendaten. Bei regulierten Unternehmen sowie in Unternehmensgruppen können die Beratungskosten aufgrund der Komplexität oder den erhöhten rechtlichen Anforderungen ein Vielfaches betragen.
Der Mehrwert ist das steigende Vertrauen der Kundinnen und die Risikominimierung des Unternehmens. Eine Investition, die sich langfristig auszahlt. Beispielsweise lohnt es sich, Verträge mit Firmenkundinnen genauer zu prüfen, um ungewollte Konventionalstrafen für Datenschutzverletzungen auszuschliessen.
Wir schreiben Sommer 2024. Ist es zu bereits zu spät, um Massnahmen zu ergreifen?
Es ist nie zu spät, den Datenschutz im eigenen Unternehmen anzugehen. Selbst wenn bisher noch keine spezifischen Massnahmen ergriffen wurden, lohnt es sich, jetzt damit zu starten. Die Regulierungen in der Digitalisierung nehmen laufend zu. Es ist wichtig, damit Schritt zu halten.
Bei der Entscheidung, in Zukunft Künstliche Intelligenz (KI) im Unternehmen einzuführen, ist es essentiell, vorher den Datenschutz und die IT-Sicherheit zu prüfen, insbesondere in Bezug auf das Berechtigungsmanagement.
Die Medien berichten viel über das Thema KI und den neuen EU Artificial Intelligence Act. Inwiefern betrifft dies Schweizer KMU?
Der EU Artificial Intelligence Act (AI Act) ist ein Gesetz, das darauf abzielt, Regeln für KI aufzustellen. Obwohl der EU AI Act direkt auf die EU-Mitgliedsstaaten abzielt, können Schweizer KMU einige wichtige Schritte unternehmen, um sich auf KI Regulierungen vorzubereiten, welche in der Schweiz zurzeit diskutiert werden. Sobald Schweizer Unternehmen KI-Anwendungen im EU-Raum anbieten möchten, sind diese sowieso zur Umsetzung des AI Acts verpflichtet.
Mein Vorschlag zur Vorgehensweise nach der heutigen Gesetzeslage:
1. Informieren und Verstehen: Schweizer KMU sollten den AI Act und dessen Anwendungsbereich im Grundsatz verstehen, um abzuschätzen, ob sie den AI Act überhaupt beachten müssen.
2. Klassifizierung der KI-Systeme: Der AI Act kategorisiert KI-Systeme nach Risiko. KMU sollten ihre KI-Anwendungen bewerten, um festzustellen, ob sie als “hochriskant” gelten. Diese Systeme unterliegen strengeren Regeln und müssen bestimmte Anforderungen erfüllen, um Zugang zum EU-Markt zu erhalten.
3. Transparenz und Dokumentation: KMU sollten transparente Prozesse und technische Dokumentation für ihre KI-Systeme erstellen. Dies erleichtert die Einhaltung der Vorschriften und den Nachweis, dass die KI-Systeme den EU-Anforderungen entsprechen. Oftmals ist man diesbezüglich auf die Dokumentation der Anbieter der Sprachmodelle angewiesen.
4. Verbotene Praktiken: KMU müssen sicherstellen, dass ihre KI-Systeme keine verbotenen Praktiken wie kognitive Verhaltensmanipulation oder soziale Bewertung, sogenanntes Social Scoring, verwenden. Diese sind im AI Act ausdrücklich untersagt.
5. Governance-Strukturen: Betroffene KMU sollten jetzt Governance-Strukturen einführen, um vorbereitet zu sein, sobald das Gesetz vollständig in Kraft tritt.
Welchen Hinweis möchtest Du den Leserinnen mit auf den Weg geben?
Zuletzt möchte ich die KMU darauf hinweisen, dass sie den Datenschutz nicht länger ignorieren können, denn grosse Akteure wie Google können sie zur Umsetzung zwingen. Beispielsweise setzt Google neu den Cookie-Consent-Banner für Webseiten konsequent durch und macht ihn zur Pflicht, sobald man Google Analytics oder Google Ads verwendet, auch in der Schweiz.
Vielen Dank Chantal für deine ausführlichen Antworten und die konkreten Vorschläge.
Interviewt wurde Chantal Lutz, Rechtsanwältin und Vorstandsmitglied des Digital Impact Network, Ressort Recht. Chantal Lutz ist auf Datenschutz- und Informatikrecht spezialisiert. Sie berät insbesondere KMU sowie regulierte und öffentliche Unternehmen. Chantal Lutz betätigt sich ausserdem als Gastdozentin sowie als Verwaltungs- und Stiftungsrätin. Um eine zeitgemässe Beratung bieten zu können, bildet sie sich stets weiter und hat im Jahr 2023 ein CAS in Informationssicherheit und Cybersecurity an der FHNW absolviert.
Das Interview führte Ursula Moonen, Vorstandsmitglied Digital Impact Network, Content Curation. Die Niederländerin (inzwischen auch Schweizerin) verfügt über eine mehr als 25-jährige Berufserfahrung in der IT-Industrie. moonen communications GmbH unterstützt Unternehmen bei der Kommunikation in Transformationsprozessen. moonen consulting bietet im Gegensatz zu klassischen Personalagenturen einen innovativen Beratungsansatz zur Selbsthilfe, um dem IT-Fachkräftemangel erfolgreich zu begegnen.