Was war das doch für ein epochaler Moment für den Schweizer Datenschutz, als du am 1. September 2023 deinen Vorgänger abgelöst hast. Mit deinem forschen Auftritt hast du nicht wenige ziemlich unsanft aus dem Datenschutz-Dämmerzustand aufgeweckt. Ähnliches waren sich da nur Schweizer Unternehmen gewohnt, die von der nicht minder strengen EU-Datenschutz-Grundverordnung (DSGVO) betroffen sind, weil sie zum Beispiel ihre Waren und Dienstleistungen direkt auch in der EU anbieten. Die DSGVO war es denn auch – da bleiben wir fair –, die dir in vielen Bereichen exzellente Steilpässe geliefert hat. Der Schweizer Gesetzgeber hat diese dankbar angenommen, den Ball aber nicht etwa gedankenlos über das Tor gepfeffert. Vielmehr hat er ihn mit einer grossen Portion Swissness als DSG gefühlvoll ins Netz gekickt.
So haben wir dich nun. Ein Datenschutzgesetz, das sich zwar an die DSGVO anlehnt, aber ganz gut allein stehen kann. Dieses Selbstbewusstsein ist dir in die Wiege gelegt worden. Mit griffigen Vorgaben und möglichen Sanktionen (sprich: Bussen) bei deren Nichteinhaltung etwa. Dies hat dafür gesorgt, dass lange vor deiner Inkraftsetzung das Thema Datenschutz in Unternehmen und Organisationen plötzlich ganz oben auf der Agenda stand und Begriffe wie Datenschutzerklärung und Bearbeitungsverzeichnis die Runde machten.
In der Zwischenzeit hast du einen festen Platz im Bewusstsein der Öffentlichkeit, aber auch in der Compliance von Unternehmen und als wichtiger Teil der Informationssicherheit. Nur in kleinen und mittleren Unternehmen hast du meiner Erfahrung nach noch einen etwas schweren Stand. Nicht, dass du ihnen egal wärst, ganz sicher nicht. Aber Datenschutz benötigt Fachwissen und insbesondere Ressourcen, die gerade in der heutigen Zeit nicht immer vorhanden sind.
Doch auch, wer über beides verfügt, tut sich mit dir manchmal ein wenig schwer. Beispielsweise beim Thema Auftragsbearbeitungsvertrag. Was ist zu tun, wenn der Auftragsbearbeiter in einem nicht sicheren Drittstaat tätig ist, also in einem Staat, der bezüglich Datenschutz nicht über den gleich hohen Schutzstandard verfügt? Auch Datenschutz-Folgenabschätzungen (DSFA) sind immer wieder Gegenstand bei Anfragen an unser Datenschutzteam. Und dann ist da noch eine wichtige Vorgabe von dir, die für den einen oder anderen Ablöscher sorgt – im wahrsten Sinne des Wortes, wie du gleich sehen wirst. Die Löschung – ich sage es ja – und Archivierung von Personendaten verursachen aktuell immer wieder Kopfzerbrechen. Einerseits, weil herkömmliche Aufbewahrungsfristen mit Löschvorgaben konkurrieren, andererseits, weil es IT-Systemen momentan noch nicht oder nur sehr begrenzt möglich ist, zum Beispiel nur einzelne Daten in einem bestimmten Kontext zu löschen. Mit anderen Worten: Du bist diesen Systemen noch um Längen voraus.
Als ob diese Baustellen nicht schon genug wären, ist ein sehr potenter Player auf den Plan getreten, der für das Thema Datenschutz und damit auch für dich eine nicht zu unterschätzende Herausforderung darstellt: die Künstliche Intelligenz (KI). Die KI mit ihrem unstillbaren Hunger nach Daten steht in natürlicher Konkurrenz zum Datenschutz. Diese Konstellation bedingt neue Herangehensweisen, einen erweiterten Blickwinkel und sorgfältiges Abwägen – notabene generell, wenn es um Sicherheit (Informationssicherheit, IT-Sicherheit etc.) geht. Mit anderen Worten: Das letzte Wort in Sachen Datenschutz ist sicher noch nicht gesprochen. Gut, dass du dich weiterentwickelst und dafür sorgst, dass du im Gespräch bleibst und uns weiter forderst. Langweilen können wir uns mit anderem.
Alles Gute, liebes DSG, und bis demnächst.
MfG
Reto C. Zbinden
Reto C. Zbinden hat 1989 Swiss Infosec gegründet. Das Unternehmen mit Sitz in Sursee (LU) gehört in der Schweiz zu den führenden, unabhängigen Beratungs- und Ausbildungsunternehmen in den Bereichen Informationssicherheit, Datenschutz und IT-Sicherheit. Es beschäftigt zusammen mit dem Schwesterunternehmen Swiss GRC über 100 Mitarbeitende.