Am 28. Januar ist Europäischer Datenschutztag – ein guter Anlass, um hinter die Kulissen zu schauen: Wie lebt man Datenschutz im Alltag eines IT-Unternehmens?
Wir haben mit Aljaz Galof, Risk & Compliance Officer und Datenschutzbeauftragter bei Aveniq, gesprochen.
Laut ihm ist Datenschutz mehr als ein Gesetzestext: Es ist Vertrauensarbeit.
Mit seinem Hintergrund in internationalem Recht und langjähriger IT-Erfahrung bewegt er sich an der Schnittstelle von Recht, Technik und Unternehmenskultur.
Neben Datenschutz und Compliance verantwortet er auch das unternehmensweite Risikomanagement.
Warum ist Datenschutz heute entscheidender denn je?
Weil es um Vertrauen geht. Datenschutz ist längst kein reines IT- oder Legal-Thema mehr – er betrifft jede Interaktion: vom Vertrieb über Projekte und Betrieb bis hin zur Kommunikation.
Kund*innen, Partner*innen, Lieferant*innen und nicht zuletzt unsere Mitarbeiter*innen erwarten, dass ihre personenbezogenen Daten sicher und vor Missbrauch geschützt sind. Dies umso mehr in der heutigen Zeit, wo Daten – oft mit Personenbezug – als Treiber der Digitalisierung gelten und die Grundlage für die künstliche Intelligenz bilden. Unternehmen müssen zeigen, dass sie Verantwortung übernehmen. Transparenz und Sorgfalt sind dabei zentral. Datenschutz ist Vertrauensmanagement – wer das versteht, schafft in meinen Augen nicht nur Compliance, sondern echte Glaubwürdigkeit.
Viele denken: ‚Dafür ist ja die oder der Datenschutzbeauftragte zuständig‘. Stimmt das?
Ganz und gar nicht. Datenschutz ist Teamarbeit, kein Solo-Act. Alle Mitarbeitenden tragen Verantwortung – vom ersten Kundengespräch bis zur Rechnungsstellung. Meine Rolle ist in erster Linie beratend: Ich kläre den rechtlichen Rahmen, gebe Orientierung zu Vorgaben und unterstütze bei der Umsetzung von Massnahmen – die Entscheidung liegt aber schlussendlich beim Fachbereich. Genauso wie die Informationssicherheit ist der Datenschutz unser aller Beitrag zum Unternehmenserfolg. Bestenfalls ist der Datenschutz bereits ein integraler Bestandteil der Geschäftsprozesse sowie Teil einer gelebten Unternehmenskultur, wie das bei Aveniq der Fall ist.
Was unterscheidet Datenschutz im Unternehmen vom Datenschutz im privaten Umfeld?
Im Unternehmen geht es um Verantwortung und Fürsorgepflicht gegenüber unseren Mitarbeitenden – und das ist schlussendlich auch mein Auftrag als Datenschutzbeauftragter.
Privat trägt jede*r die Risiken selbst: Wer etwa seine Fotos in der Cloud speichert, persönliche Informationen wie z.B. Standortdaten über sich freigibt oder seine Daten mit aller Welt teilt, entscheidet selbst zwischen Nutzungskomfort und dem Schutz seiner Privatsphäre. Hier gilt es individuell abzuwägen, was einem wichtig ist.
Im Unternehmen haben die Mitarbeitenden diese Wahlmöglichkeit nicht, sie können nicht entscheiden, welche Lösungen sie einsetzen und mit wem ihre Daten geteilt werden. Hier ist das Unternehmen verpflichtet, die Persönlichkeitsrechte der Mitarbeitenden angemessen zu schützen. Entsprechend müssen klare Richtlinien gelten und Personen, Prozesse und Tools zusammenspielen.
Warum erleben viele Unternehmen den Datenschutz als so komplex?
Weil sich drei Welten überlagern: gesetzliche Vorgaben, die Anforderungen und Wünsche des Business und nicht zuletzt die technischen Möglichkeiten in der Umsetzung. Die Umsetzung des Datenschutzes bedingt insbesondere einen gewissen Reifegrad im Umgang mit Daten. Nur wenn ich weiss, welche Daten ich habe und ihren Lebenszyklus kenne, kann ich sie effektiv schützen. Und wer in seine Data Governance investiert, legt zugleich die notwendigen Grundlagen für Digitalisierung und KI.
Welche Themen beschäftigen Datenschutzbeauftragte aktuell am meisten?
Ganz vorne steht natürlich die KI, deren Einsatz neben grossen Chancen auch Risiken mit sich bringt. Hier ist aktuell viel in Bewegung, auf rechtlicher wie auch auf technischer Seite. Ein weiteres spannendes Thema ist die Datensouveränität, bzw. die Fragestellung, welche Kontrolle ich über meine Daten in der Cloud noch habe, welche Risiken sich aus der Abhängigkeit von globalen Dienstleistern ergeben. Neben diesen grossen Themen zählt aber vor allem die kontinuierliche Verbesserung des Datenschutzes im Unternehmen.
Welchen abschliessenden Tipp sollten Unternehmen unbedingt beherzigen?
Privacy by Design intern als Credo zu verankern. Datenschutz darf kein isolierter Eiffelturm sein – er muss von Grund auf in alle Geschäftsprozesse integriert und laufend verbessert werden. Dazu gehört auch, dass der Datenschutzbeauftragte von Beginn an in die Vorhaben und Projekte eingebunden wird und sich konstruktiv in der Lösungsfindung einbringt. Das geht nur über den regelmässigen Austausch mit den Fachbereichen. Datenschutz funktioniert nur, wenn Verantwortliche über Abteilungsgrenzen hinweg zusammenarbeiten.
Dürfen wir Sie beim Thema Datenschutz und IT-Sicherheit unterstützen?
Unsere umfassende Beratung deckt alle Aspekte der IT-Sicherheit ab. Profitieren Sie von Know-how und Do-how mit fundierter Best-practice-Erfahrung zu diversen IT-Security-Themen aus einer Hand.
Hier erfahren Sie mehr über die Consulting-Dienstleistungen von Aveniq.
