Swiss Infosec: Datenschutz-Umfrage - Luft nach oben bei der regelmässigen, bereichsübergreifenden Datenlöschung

Optimierungspotential besteht nach Ansicht der Datenschutzexpertinnen und -experten der Swiss Infosec AG bei der regelmässigen, bereichsübergreifenden Löschung von Daten und wenn es darum geht, neue Vorhaben mit Personendatenbezug generell auf die Einhaltung des Datenschutzes zu prüfen.

An der Swiss Infosec Heartbeat-Umfrage zum Thema Datenschutz haben 115 Personen teilgenommen. Die meisten davon (40%) arbeiten in der IT-Abteilung ihres Unternehmens. Zahlreiche Antworten kamen aber auch aus den Abteilungen Legal und HR und – was sehr positiv auffällt - aus dem Bereich Verwaltungsrat/Geschäftsleitung. Die Tatsache, dass Datenschutz auf Verwaltungsrat- und Managementebene als wichtiges Thema wahr- und ernstgenommen wird, stimmt zuversichtlich und spricht für einen höheren Stellenwert des Datenschutzes.

Gutes Zeugnis punkto interner Datenschutzvorgaben

83% der Organisationen, die an der Umfrage teilgenommen haben, verfügen über ein internes Dokument mit Datenschutzvorgaben. 12% haben kein solches Dokument und die verbleibenden 5% wissen nicht ob es interne Vorgaben zum Datenschutz gibt. Das Vorhandensein interner Datenschutzvorgaben zeigt, dass sich die Organisationen mit dem Thema Datenschutz/Datenschutzgesetz befassen und der Umgang mit Datenschutz nicht beliebig ist, sondern auf das Unternehmen bezogen klar festgeschrieben werden. Das schafft Sicherheit und Kontinuität. 66% der Organisationen setzen im übrigen Data Owner (Dateneigner) ein, die für einen bestimmten Teil der Daten innerhalb der Organisation verantwortlich sind.

Nur wenige Unternehmen haben noch keine Datenschutzerklärung

104 der 115 teilnehmenden Personen oder 90% bestätigen, dass ihre Organisation über eine Datenschutzerklärung (DSE) verfügt. Dieser hohe Wert ist erfreulich. Allerdings stellen sich die Datenschutzexpertinnen und -experten der Swiss Infosec AG die – in der Umfrage nicht explizit gestellte - Frage, ob diese DSE auch die Datenbearbeitungen jenseits der Webseite abdecken. Erfahrungsgemäss dürfte dies nicht überall der Fall sein. Im Hinblick auf das neue Datenschutzgesetz müssten diese Datenbearbeitungen aber durch die Datenschutzerklärungen abgedeckt sein.

Luft nach oben bei der regelmässigen, bereichsübergreifenden Datenlöschung

Nicht ganz unerwartet ist das Optimierungspotential bei der Datenlöschung am grössten. Zwar geben immerhin 39% der Umfrageteilnehmerinnen und -teilnehmer an, dass in ihrer Organisation Daten regelmässig und bereichsübergreifend gelöscht würden. In 43% der Unternehmen findet eine solche Datenlöschung aber nicht statt und die übrigen 8% der Antwortenden haben keine Kenntnis darüber. Eugen Roesle, Head of Legal and Data Privacy bei der Swiss Infosec AG, spricht in diesem Zusammenhang von der «letzten Meile des Datenschutzes», die noch viele Unternehmen zu absolvieren hätten, auch wenn sich bezüglich Datenlöschung mit dem NDSG rein rechtlich nichts ändere. Personendaten, die nicht mehr benötigt werden, weil sie ihren Zweck erfüllt haben, sind nach aktuell gültigem Recht nämlich bereits jetzt zu löschen.

Datenschutz- Governance berücksichtigen

Eine Kernforderung der Datenschutz-Governance ist die Implementierung eines Prozesses, der bei neuen Vorhaben mit Personendatenbezug die Einhaltung des Datenschutzes überprüft. 57% der teilnehmenden Organisationen erfüllen diese Forderung, 43% nicht beziehungsweise eher nicht. Handlungsbedarf im Bereich Datenschutz-Governance ist angezeigt, zumal die rechtzeitige und bestenfalls automatische Überprüfung der Einhaltung des Datenschutzes bei neuen Vorhaben Zeit spart und Unsicherheiten und böse Überraschungen eliminiert.

Unterstützung durch spezifische Tools/Softwarelösungen?

Organisationen, die im Bereich Datenschutz auf spezifische Tools/Softwarelösungen setzen, sind laut der Umfrage untervertreten. Immerhin 40% der Unternehmen nehmen solche Unterstützung in Anspruch, 60% (noch) nicht. Ob die Grösse des Unternehmens oder seine Komplexität die Entscheidung, Tools zu benutzen, beeinflussen oder entsprechende Angebote und ihre massgeschneiderten Lösungen zu wenig bekannt sind, bleibt offen.

Swiss Infosec AG
Reto C. Zbinden
Rechtsanwalt, CEO
Centralstrasse 8A
6210 Sursee
Schweiz
reto.zbinden@infosec.ch
Direkt +41 79 446 83 00