„Wir schützen nicht daten,

sondern Menschen"

Das neue Datenschutzgesetz (nDSG) nimmt Unternehmen und Mitarbeitende ab sofort stärker in die Verantwortung im Umgang mit Personendaten. Datenschutzberater Jeremy-David Benjamin sagt, welche Folgen das neue Gesetz für KMU hat. Welche Macht von Daten ausgeht. Und welche Chancen sich eröffnen, wenn wir sie «nobel» einsetzen – und nicht nur zum eigenen Profit.

Herr Benjamin, unsere Kommunikation wird immer stärker zum Minenfeld. Wie schützen Sie als professioneller Datenschützer Ihre Daten?

Die meisten Daten geben wir mit dem Handy frei. Ich habe deshalb ein Virenschutzprogramm sowie ein VPN installiert. Letzteres steht für «Virtual Private Network» – es schützt meine Daten dann, wenn ich ein öffentliches Netzwerk nutze. Dank diesen Programmen weiss ich, wie meine Daten behandelt werden, wo sie sich befinden und ob meine Passwörter noch sicher sind. Aber noch viel wichtiger ist mein Verhalten.

 

Inwiefern?

Es sind nicht die Apps, die meine Daten stehlen – ich bin es, der meine Daten verteilt und verschenkt. Daher ist es wichtig, dass ich mir die Frage stelle, welche Informationen ich teilen will.

 

Haben wir denn eine Wahl? Wie können wir das Internet nutzen, ohne Spuren zu hinterlassen?

Ja, wir haben eine Wahl! Ich bestimme, wie viele Apps ich auf meinem Handy installiere – bei mir sind es nicht hunderte. Ausserdem entscheide ich, wofür ich mein Handy nutze: Zocke ich darauf? Oder bezahle ich meine Rechnungen? Das ist datentechnisch nicht das gleiche. Vorsichtig bin ich bei Gratis-Apps. Muss ich einer App Zugang zu meinen Kontakten geben, damit ich diese nutzen kann? Will ich das? Mir persönlich geht das zu weit. Auch ein Persönlichkeitsprofil erstelle ich nur in jenen Apps, deren Mehrwert für mich gross genug ist, um mit Daten dafür zu bezahlen. Als Weinliebhaber ist dies beispielsweise die App Vivino. Bei einer Musik-App bin ich schon wieder vorsichtiger. Denn je mehr Daten eine App über mich sammelt, desto präziser wird mein Profil – und desto leichter kann das Unternehmen mich beeinflussen. Höre ich beispielsweise monatelang melancholische Musik, weiss das Unternehmen, dass ich tendenziell eher depressiv bin. Wer erhält diese Info? Meine Krankenkasse? Mein Arbeitgeber? Es stört mich auch nicht, wenn mein Kreditkarteninstitut meine Daten hat. Aber wenn plötzlich der Staat in deren Besitz ist, dann ist das ein grosses Problem. Wir glauben, wir sind einzigartig. Aber wir sind es nicht – es ist ziemlich einfach, uns in ein Cluster einzuordnen.

 

Seit September gilt in der Schweiz das neue Datenschutzgesetz (nDSG). Gibt dieses nicht auch der «anderen Seite», also den Unternehmen, die Daten sammeln und nutzen, mehr Verantwortung?

Das ist so. Das nDSG definiert neue Bestimmungen über Sanktionen, falls der Datenschutz verletzt wird. Bisher haftete ein Unternehmen nur in gewissen Fällen mit bis zu 50 000 Franken, wenn es gegen das Datenschutzgesetz verstiess. Nun haften die Schlüsselpersonen mit ihren persönlichen Vermögen bis 250 000 Franken pro Fall. Das ist ein «Game Changer».

 

Die EU bestraft nach wie vor die Unternehmen und nicht einzelne Personen. Weshalb ging die Schweiz einen anderen Weg?

Die EU sieht Millionenbussen für Unternehmen vor. Sie will damit Angst verbreiten und unvorsichtige Unternehmen bestrafen. Diese Absicht hatte die Schweiz nicht. Bei uns werden Arbeitgeber als wichtige Elemente der Gesellschaft betrachtet, man will sie nicht so behandeln. Und trotzdem will man sie in die Pflicht nehmen. Mit dem nDSG setzt die Schweiz ein Zeichen: Alle Mitarbeitenden müssen nun begreifen, dass der Datenschutz wichtig ist. Und dass sie die Verantwortung dafür tragen, wie sie mit Daten umgehen. Statt mit hohen Bussen erreichen wir dies eher indem wir Schlüsselpersonen mit niedrigen Beträgen bestrafen – und so sicherstellen, dass die Unternehmen die nötigen Schritte tun, um Daten besser zu schützen.

 

Was bedeutet das nDSG konkret für ein Unternehmen?

Einfach gesagt: Wer nichts für den Datenschutz tut, wird mit persönlichem Vermögen haften. Nun bewegen sich die Leute plötzlich. Sie spüren: Es ist Zeit zum Handeln. Jedes Unternehmen – auch ein Kleinstbetrieb – ist nun in der Verantwortung, das nDSG bei sich zu implementieren (siehe Kasten).

 

Und falls es dies nicht tut, haftet der unvorsichtige Mediamatiker mit seinem persönlichen Vermögen?

Nein, nicht er. Aber sein Chef und die Geschäftsleitung. Die Datenschutzbehörde wird meist auch erst dann aufmerksam, wenn etwas passiert ist.

 

Wann zum Beispiel?

Der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) verfügt parallel zu den Strafbestimmungen über erweiterte Untersuchungskompetenzen. Er erlässt beispielsweise dann eine Untersuchung, wenn es zum Datenabfluss kommt, also Personendaten gestohlen werden und diese im Darknet landen. Nun muss das betroffene Unternehmen aufzeigen, dass es das nDSG eingehalten und vorgängig alles unternommen hat, um eine solche Gefahr zu verhindern. Hat es dies nicht, kann dies zu massiven Reputationsschäden führen – und die Verantwortlichen müssen mit strafrechtlichen und administrativen Konsequenzen rechnen.

 

Ist es für ein kleines KMU überhaupt realistisch, die nötigen Vorkehrungen zu treffen?

Ja, denn auch Kleinstunternehmen haben eine Informationspflicht. Manchmal braucht es nicht viel. Bei einer Quartierbäckerei reicht vielleicht eine Datenschutzerklärung auf der Internetseite. Falls sie Ihre Daten jedoch noch in Excel-Sheets auf dem zentralen Server im Keller speichert, braucht es vielleicht eine technische Modernisierung, um den Zugang zu den Daten besser zu sichern. Eine andere Ausgangslage haben wir natürlich bei einem KMU, das auf Umfragen spezialisiert ist, über eine Datenbank von 150 000 Adressen verfügt und diese auch weiterverkauft. Es kommt nicht umhin, viel umfassendere Sicherheitsvorkehrungen zu treffen. Mit ein paar einfachen Schritten kann es schon viel erreichen.

 

Apropos Daten kaufen und verkaufen – bis jetzt war dies in der Schweiz erlaubt, beispielsweise für Marketingzwecke. Was gilt unter dem nDSG?

Meiner Meinung nach wird dies heikel. Und auf jeden Fall ist es unschön – jedenfalls, wenn die entsprechenden Personen weder eingewilligt haben noch informiert wurden. Ich kann mir gut vorstellen, dass ein Gericht irgendwann entscheidet, dass dies nicht erlaubt ist. Mal sehen, wie die EU gegen Google & Co vorgeht: Müssen sie in Zukunft die Einwilligung der betroffenen Personen einholen? Müssen sie preisgeben, was sie mit ihren Daten tun? Wenn ja, wird auch das Geschäft mit dem Verkauf von Daten in der Schweiz gefährdet sein. Übrigens ist auch höchst umstritten, ob es erlaubt ist, gewisse Dienstleistungen einer Webseite nicht zugänglich zu machen für jene Leute, die nicht alle Cookies oder Trackings akzeptieren. Auch darüber wird der Europäische Gerichtshof entscheiden – und die Schweizer Praxis entsprechend beeinflussen.

 

Die AST & FISCHER AG hilft Kunden, mit Marketing-Automation zu einer besseren Kommunikation. Diese basiert darauf, Daten zu sammeln, auszuwerten und mit den Erkenntnissen die Marketing-Aktivitäten zu steuern. Wird das nDSG dies erschweren?

Ich glaube nicht. Das Problem ist nur, wenn die Erwartungen der Leute nicht mit dem übereinstimmen, was sie tatsächlich erhalten. Wenn etwa eine Person Ihre Daten nicht für Marketing-Zwecke zur Verfügung stellen will, dann aber zweimal wöchentlich einen Newsletter erhält. Massgeschneiderte Werbung ist gut. Die Frage ist jedoch immer häufiger: Wie komme ich zu den Daten? Jede Person muss einverstanden sein und einwilligen. Sonst haben wir ein Problem.

 

Am Anfang des Gesprächs betonten Sie die Verantwortung der Nutzenden. Doch: kümmert es die Menschen überhaupt, was mit ihren Daten passiert?

Nach wie vor ist den meisten Menschen nicht bewusst, welchen unermesslichen Wert Daten haben. Wir verschenken sie, währenddessen Google & Co Milliarden mit ihnen verdienen. Trotzdem ist Datenschutz immer mehr ein Thema. Als ich vor fünf Jahren ein CAS in Datenschutz begann, waren wir die ersten Teilnehmenden. Heute gibt es hunderte Weiterbildungen, einen Master in Digitalization und in IT-Recht. Jüngste Vorfälle, in denen Daten im grossen Stil gestohlen wurden, sensibilisieren Bevölkerung und Unternehmen. Junge Menschen würden nie sagen, dass sie ihre Daten nicht schützen, weil sie nichts zu verstecken haben. Nein! Meine Personendaten gehören mir! Erst wenn sich immer mehr Menschen weigern, Ihre Daten zu verschenken, wird sich grundsätzlich etwas ändern.

 

Eine letzte Frage: Ihre Begeisterung für Daten ist in jedem Satz spürbar. Was fasziniert Sie an ihnen?

Alles! Wie viel Macht sie über uns haben und wie schnell wir zu ihren Sklaven werden. Und trotzdem habe ich Vertrauen in die Zukunft. Denn wir dürfen nicht vergessen: Daten sind eine Gefahr, aber sie sind auch eine riesige Chance. Mit ihnen könnten wir viele Probleme verhindern – beispielsweise Krankheiten dank Gesundheitsdaten oder Unfälle dank Früherkennung. Es geht immer um die Frage der Verhältnismässigkeit zwischen Persönlichkeitsrecht und Nutzen. Das Wichtigste ist deshalb, dass wir im Umgang mit Daten – oder mit Künstlicher Intelligenz – nicht die Kontrolle über sie verlieren. Doch dies setzt enorm viel Moral und Ethik bei uns Menschen voraus. Daher: Wir Datenschützer machen nicht «L’art pour l’art»! Wir schützen nicht Daten, sondern Menschen in ihren Eigenschaften. Meine und Ihre Integrität. Und unsere Freiheit, als Mensch in einer Gesellschaft zu leben.

«Daten sind eine Gefahr, aber sie sind auch eine riesige Chance.»

«Erst wenn sich immer mehr Menschen weigern, Ihre Daten zu verschenken, wird sich grundsätzlich etwas ändern.»

Bild eines Mannes zum Thema Datenschutz

Zur Person

David Benjamin berät als Datenschutzberater die Schweizer Armee sowie für seine eigene Firma Secure4u.ch GmbH kleine und mittlere Unternehmen in Sachen Datenschutz.

Das neue Datenschutzgesetz – was KMU nun beachten müssen

1. Thematisieren Sie den Datenschutz. Informieren Sie Kunden, Mitarbeitende, Webseitenbesuchende und Stakeholder – und zwar korrekt. Sie müssen wissen, was mit ihren Personendaten passiert. Schulen Sie Ihr gesamtes Team – nicht nur das Kader! – regelmässig über Ihre Datenschutzstrategie. Sie müssen ihre Pflichten und Rechte kennen.




2. Organisieren Sie Ihre Prozesse.
Legen Sie fest, wer Zugang zu Ihren Daten hat und wer diese bearbeiten darf. Definieren Sie alle Prozesse – von der Erhebung bis zum Löschen der Daten. Ab 250 Mitarbeitenden sind Sie verpflichtet, ein Datenbearbeitungsverzeichnis zu führen. In diesem wird jede Nutzung und Bearbeitung von Personendaten registriert. Das Verzeichnis empfiehlt sich jedoch auch für Unternehmen unter dieser Schwelle, denn das Management erhält dadurch einen guten Überblick, wie und von wem Daten im Unternehmen verarbeitet werden.

3. Implementieren Sie Massnahmen.
Laden Sie eine Datenschutzerklärung auf Ihre Webseite, in der Sie aufzeigen, dass Sie Daten nur für eigene Zwecke nutzen. Für mehr Verbindlichkeit lassen Sie diese juristisch absegnen. Installieren Sie technische Barrieren – etwa mit Passwörtern –, um den Zugang zu Personendaten auf berechtigte Personen einzuschränken. Speichern Sie Daten besser in einer Cloud statt auf einem zentralen Server und verabschieden Sie auch eine interne Datenschutzweisung.

4. Kontrollieren Sie den Erfolg Ihrer Massnahmen.
Erhalten Personen, die ihre Betroffenenrechte in Anspruch nehmen, tatsächlich innert 30 Tagen eine Antwort von Ihnen? Und zwar inklusive aller Angaben darüber, welche Daten Sie von ihnen gespeichert und wie Sie diese genutzt hatten? Löschen Sie Daten auf Anfrage tatsächlich? Wenn ja, haben Sie ihre Prozesse rund um den Datenschutz im Griff. Wenn nein, stehen Sie in Erklärungsnot.


5. Sorgen Sie für den Worst Case vor.
Denn sollte es zu einem Datenabfluss kommen, müssen Sie sehr schnell reagieren: Das nDSG verpflichtet Sie, einen Vorfall so rasch wie möglich beim EDÖB zu melden. Die Frist richtet sich nach der EU und beträgt 72 Stunden. Dies schafft nur, wer effiziente Prozesse hat.




6. Bestimmen Sie einen Datenschutzberater oder eine -beraterin.
Intern oder – noch besser – extern. Er sorgt dafür, dass Sie alles im Griff haben und dies im Ernstfall beweisen können. Und er kennt die Gesetzeslage. Wussten Sie beispielsweise, dass ein Bewerbungsdossier spätestens nach sechs Monaten gelöscht werden muss? Ist der Zugang zu den Bildern Ihrer Überwachungskamera im Lager gesichert? Wo werden die Videos gespeichert und wie lange werden sie aufbewahrt?

7. Übernehmen Sie Verantwortung.
Nehmen Sie den Datenschutz ernst. Respektieren Sie die Persönlichkeit der Menschen. Schützen Sie das Recht auf Auskunft sowie das Recht auf Vergessen. Die Datenschutz-Strategie gehört zur Führung Ihres Unternehmens. Und: Nutzen Sie Daten «nobel» – und nicht nur, um Profit daraus zu schlagen. Vielleicht ist dies sogar die bessere Marketingstrategie.