Anspruch und Realität in Bezug auf Datenschutz klaffen in Schweizer Unternehmen auseinander, wie die ZHAW-Studie «Datenschutz in Schweizer Unternehmen 2018» zeigt. Gemäss der Erhebung
stellen KMU kaum entsprechende Ressourcen zur Verfügung. In 70 Prozent der befragten Unternehmen fehlt es an Datenschutzbeauftragten.

Trotz der derzeitigen Relevanz des Themas «Datenschutz» in der Schweiz, der grossen öffentlichen Aufmerksamkeit und der absehbaren Verschärfung des Schweizer Datenschutzgesetzes existieren nur wenige Erkenntnisse darüber, wie Schweizer Unternehmen den Schutz der Personendaten von Kunden, Mitarbeitenden und weiteren Stakeholdern praktisch handhaben. Daher war das Ziel der Befragung von 265 Deutschschweizer Unternehmen, einen ersten Einblick in ebendiese Datenschutzpraxis zu erhalten. Die Grössenverteilung der befragten Unternehmen entspricht in etwa derjenigen von Unternehmen in der Schweiz. Demensprechend wurden vor allem kleine und mittlere Unternehmen (KMU) befragt. Gerade in grossen Unternehmen unterscheidet sich die Datenschutz-Praxis deutlich und die Professionalität des betrieblichen Datenschutzes ist ausgeprägter.

Der Grossteil der befragten Unternehmen beurteilt den Datenschutz als wichtig oder eher wichtig. Etwa die Hälfte der Unternehmen gibt an, sich zumindest in Teilen dem aktuellen Datenschutzgesetz der Schweiz auszukennen. Im Gegensatz dazu ist die neue EU-Datenschutzgrundverordnung (DSGVO), die auch Unternehmen mit Sitz in der Schweiz betreffen kann, deutlich weniger bekannt. Ausserdem geht lediglich rund ein Viertel der Unternehmen davon aus, überhaupt von der Verordnung der EU betroffen zu sein. Dies steht im Widerspruch zur Schätzung verschiedener Anwälte und Berater, die vom Gros der Schweizer Unternehmen ausgehen.

Die für den Datenschutz eingesetzten Ressourcen in den Unternehmen sind sehr beschränkt. Nur sehr wenige Unternehmen verfügen über ein eigenes Datenschutz-Budget, wie dies in anderen Bereichen (z. B. Marketing) üblich ist. Ebenfalls haben zwei Drittel der Unternehmen keinen Datenschutzbeauftragten. Dies ist nach aktueller Schweizer Gesetzeslage auch nicht erforderlich, kann jedoch für Firmen nach der DSGVO notwendig sein.

Die Befragten geben an zu wissen, in welchen Geschäftsprozessen und IT-Systemen Personendaten bearbeitet werden. Allerdings führt nur ein Viertel der Unternehmen ein entsprechendes Verzeichnis, das die betroffenen Bereiche auflistet. Das Verzeichnis ist nach Schweizer Recht nicht notwendig, kann aber nach DSGVO erforderlich sein und schafft häufig Transparenz über die tatsächlichen Bearbeitungsvorgänge von Personendaten. Knapp zwei Drittel der Unternehmen nutzen IT-Systeme bei externen Dienstleistern. Knapp die Hälfte dieser Unternehmen gibt an, die Einhaltung der Datenschutzvorschriften beim Dienstleister zu kontrollieren.

Nach Schweizer und EU-Recht steht den Personen, deren Daten bearbeitet werden, ein Auskunftsrecht zu. Knapp zwei Drittel der Unternehmen verfügen derzeit über keine strukturierten Prozesse, um etwa Personen Auskünfte zu erteilen. Höchstwahrscheinlich werden entsprechende Anfragen ad hoc und eher unsystematisch bearbeitet. Schulungen des eigenen Personals im Bereich Datenschutz bilden eher die Ausnahme: Knapp 60% der Befragten geben an, dass ihre Unternehmen nicht schulen. Vor Herausforderungen stellt viele Unternehmen auch die Frage, wie detailliert bei der Umsetzung der Datenschutzbestimmungen vorgegangen werden muss. Rund der Hälfte der Befragten hat ebenfalls Mühe, die Rechtmässigkeit der eigenen Datenbearbeitungen zu beurteilen. Die Unternehmen äussern zudem den Wunsch nach unterstützenden Branchenstandards und mehr Klarheit in Bezug auf die Relevanz und Umsetzung der DSGVO.

Insgesamt scheint die «Datenschutzrealität» dem subjektiv hoch beurteilten Stellenwert des Themas in den Unternehmen noch hinterherzuhinken. Hierauf deuten z. B. die oft nicht vorhandenen Budgets, nicht eingesetzten Datenschutzbeauftragten, selten formalisierten Abläufe oder kaum durchgeführten Schulungen hin. Neben der Wirtschaft selbst sind auch der Gesetzgeber, die Verwaltung und die Verbände gefordert, entsprechende Rahmenbedingungen und Hilfestellungen insbesondere für KMU zu schaffen. Dies auch vor dem Hintergrund der Revision und absehbaren Verschärfung des Datenschutzgesetzes.

Dr. Nico Ebert
Dozent Wirtschaftsinformatik, ZHAW School of Management and Law

Dieser Artikel erschien zuerst in der gemeinsamen Publikation vom Konsumer und dem SKV-Verbandsorgan «Erfolg» (Heft Nr. 11/12 2018). Sponsored by: www.zhaw.ch/iwi.