Wie würden Sie die Rolle des DPO in einer Organisation sowie innerhalb von Aequivalent beschreiben?
Der DPO hat in erster Linie eine beratende Funktion. Seine Hauptaufgabe ist es, die Organisation in allen Fragen der Datenverarbeitung zu beraten. Bei Aequivalent spielt das, wie bei auch allen anderen Firmen, eine wichtige Rolle, weil wir täglich sensible Daten von Kandidaten bearbeiten. In diesem Zusammenhang spielt der Datenschutzbeauftragte auch die Rolle des Ausbildners, um die Mitarbeiter bestmöglich zu unterstützen. Schliesslich verfügt der DPO über eine Unabhängigkeit, die es ihm erlaubt effektiv zu handeln.
Was war Ihre Laufbahn? Wie sind Sie zu dieser Position gekommen?
Ich für meinen Teil habe einen eher multidisziplinären Hintergrund, nämlich Recht (Schweizer Recht) und Wirtschaft (HEC Lausanne). Am Ende meines Masterstudiums habe ich bei Aequivalent begonnen, meine Diplomarbeit über die Internationalisierung unserer Dienstleistungen unter Berücksichtigung der unterschiedlichen datenschutzrechtlichen Rahmenbedingungen zu schreiben. Um noch weiter zu gehen ermöglichten mir das Unternehmen und meine Rolle, mich als ISO 27001 Lead Implementer auszubilden und zu zertifizieren.
Obwohl die Rolle des DPO nicht ganz neu ist, hat die Sichtbarkeit der DPO seither rapide zugenommen. Worauf ist dies Ihrer Meinung nach zurückzuführen?
Das ist richtig. Tatsächlich gibt es den Begriff „Datenschutzberater“ bereits seit 1992 im schweizerischen Datenschutzgesetz (‘’DSG’’, das derzeit geltende Gesetz), aber er war nur eine Option. Mit der Einführung der Allgemeinen Datenschutzverordnung (GDPR) im Jahr 2018 im europäischen Recht würde das Vorhandensein dieser Rolle bei Organisationen, die personenbezogenen Daten von Einwohnern innerhalb der Europäischen Union verarbeiten, bekräftigt.
Aequivalent ist ISO 27001 zertifiziert. Wie wichtig ist dieses Zertifikat in Ihrer Rolle als DPO? War es für Aequivalent obligatorisch, diese Zertifizierung zu erhalten?
Eine Zertifizierung im Bereich der Datenverarbeitung ist in der Schweiz nie eine Pflicht, im Gegensatz zu anderen Ländern, wo dies z.B. im medizinischen Bereich der Fall ist. Es handelt sich um einen rein freiwilligen und kontinuierlichen Verbesserungsprozess. Ansonsten ist die ISO 27001 ein Werkzeug, welches als Informationssicherheits-Managementsystem äusserst nützlich sein kann. Dies vor allem, da das Gesetz sehr abstrakt bleibt, wenn es vorschreibt, „die organisatorischen und technischen Massnahmen zu ergreifen“. Die ISO27001-Zertifizierung ermöglicht es uns auch, eine gemeinsame Sprache mit unseren Kunden sowie konkrete Verfahren und Antworten für die Menschen zu haben, deren Daten wir verarbeiten.
Wie kann sich eine Organisation auf eine Datenverletzung vorbereiten und wie geschieht dies innerhalb von Aequivalent?
Ich für meinen Teil würde sagen, dass alles an die Fähigkeit des Managements gebunden ist. Es muss sich der Finanz-, Rechts- und Reputationsrisiken bewusst sein, die ein solches Ereignis mit sich bringen kann. Denn Sicherheit ist eine Frage der Unternehmenskultur, aber auch des Budgets. Bei Aequivalent gab es viele Fragen, die uns zweifeln liessen, als wir sehr früh in unserer Existenz ankündigten, dass wir in einen ISO 27001-Zertifizierungsprozess eintreten würden – ein langer und riskanter Weg. Für unser Management gab es keinen Zweifel, denn „Datenschutz ist ein integraler Bestandteil des Kerngeschäfts von Aequivalent“.
Wie sieht die Zukunft des Datenschutzes in der Schweiz aus?
Das ist angesichts der aktuellen Ereignisse eine ausgezeichnete Frage. Sie haben es vielleicht in den letzten Tagen gelesen, aber der Ständerat und der Nationalrat haben sich endlich darauf geeinigt, das geltende Gesetz, das bald 30 Jahre alt ist, zu aktualisieren. Im Allgemeinen bewegen wir uns in die richtige Richtung, denn es war unwahrscheinlich, dass wir angesichts der von der DSGVO auferlegten Standards in der Lage sein würden, unsere Angemessenheit mit der Europäischen Kommission aufrechtzuerhalten. Ich lade Sie ein, meinen Kommentar zu dem soeben verabschiedeten Gesetzentwurf, der im Bereich HR in die Praxis umgesetzt wurde, HIER zu lesen.
Wie steht es bisher um das öffentliche Bewusstsein? Gibt es eine Reaktion und Interesse am Schutz ihrer persönlichen Daten?
Trotz mehrerer Fälle von Durchsickern von Personendaten (wir alle erinnern uns an die Swisscom-Affäre, von der mindestens 800’000 Kunden betroffen waren), scheint die allgemeine Meinung nicht schockiert zu sein. Heute entwickeln wir uns in einem Kontext, in dem die Benutzer weitaus mehr an Funktionalität als an Privatsphäre interessiert sind, entweder aus Unkenntnis und mangelndem Bewusstsein (insbesondere im Hinblick auf den monetären Wert dieser Daten) oder aus Faulheit (wir akzeptieren sehr oft alle Cookies standardmässig, ohne etwas zu anzupassen).
Was ist Ihrer Meinung nach die grösste Herausforderung für einen DPO?
Um nur eine auszuwählen, kann ein DPO manchmal als eine Art interner Prüfer angesehen werden, oder zumindest als jemand, der versucht, die Abläufe zu verlangsamen. Die Herausforderung besteht daher in der Kommunikation mit verschiedenen Abteilungen, unterschiedlichen Profilen, um ein besseres Verständnis der anstehenden Fragen zu erhalten. Leider sind, wie die Ausbildung im Bereich Change Management zeigt, einige Menschen automatisch resistent, und trotz der unternommenen Anstrengungen bleibt der Austausch kompliziert. Aber auch hier wird die Unterstützung des Managements entscheidend sein.
Datum Erstveröffentlichung : 11.11.2020
Autor: Marketing- und Sales-Team von Aequivalent
