Daniel Link ist Datenschutzbeauftragter der Kyberna AG in Vaduz. Er spricht darüber, wie das IT-Unternehmen mit der DSGVO in der Praxis umgeht und wie das KMU mit 50 Mitarbeitenden die Auflagen des Papiertigers bewältigt hat.
Interview: Dorothea Alber
Wie gut läuft es bei der Kyberna selbst mit der Umsetzung der DSGVO?
Für uns als IT-Unternehmen und Service Provider sind die Anforderungen höher als bei anderen KMU. Daher hat das Thema für uns einen sehr hohen Stellenwert und wird nicht nur beiläufig behandelt. Wir verfügen über eine Vielzahl an Kundendaten und haben durch die Betreuung unserer Kunden in einzelnen Fällen auch Zugriff auf deren Daten – hier muss die Sicherheit der Kundendaten selbstverständlich gewährleistet sein. Wir selbst sind aus unserer Sicht DSGVO-konform. Dies auch zum grossen Teil durch die Unterstützung unseres Partners der Sirius AG.
Wie sind Ihre Erfahrungen bisher bei den Kunden der Kyberna. Nehmen Sie die DSGVO ernst?
Mein Eindruck ist, dass in Liechtenstein sicher zwischen 40 und 50 Prozent der Firmen das Thema noch nicht ernst nehmen oder es gibt gar welche, die die Datenschutzgrundverordnung überhaupt nicht interessiert.
Haben jene Firmen keine Angst vor den horrenden Strafen oder davor, angreifbar zu sein von Konkurrenten?
Angst spüre ich aktuell noch keine. Ich denke spätestens dann, wenn man von Verfahren der Datenschutzstelle hier im Land lesen kann, wird sich das ändern. Wenn wir von einem kleineren KMU ausgehen, das vielleicht eine Excel-Tabelle mit Kundendaten führt, dann ist das Regelwerk für ihn recht weit weg. Einer unserer ky4workplace-Kunden war zum Beispiel unlängst bei mir bezüglich der DSGVO. Ich erklärte ihm, dass er für seine Kunden und Lieferanten unter anderem eine Datenschutzerklärung oder Auftragsverarbeitungsvereinbarung anfertigen müsste. Er war überrascht und musste erkennen, dass die Umsetzung doch umfangreicher ist, als er anfangs erwartet hat. Zudem erklärte ich ihm, dass das Thema DSGVO noch weitere Tätigkeiten erfordert, wie z. B. die sogenannten TOMs (Technische und Organisatorische Massnahmen), welche auch zum Schutz der Daten beitragen, und wo letztendlich auch der grösste Aufwand ist.
Woran hakt es konkret?
In meinen Augen, wissen die meisten Unternehmen noch zu wenig, was zu tun ist. Wenn man die wichtigsten Massnahmen auf einem A-4-Blatt zusammentragen würde und dadurch Unternehmen gezielter informiert, wäre sicher vielen geholfen.
Passt der Papiertiger DSGVO überhaupt auf ein A4-Blatt?
Ja, wenn man die wichtigsten Punkte und Aufgaben zusammenfasst, sicher. Wichtig sind weniger die einzelnen Paragraphen, sondern die technisch, organisatorischen Massnahmen – sprich, wie Unternehmen die Daten in ihrer Firma konkret schützen, welche Infrastruktur sie dafür benötigen und welche Massnahmen sie einleiten sollten.
Einige Firmen kopieren einfach allgemeine Datenschutzerklärungen aus dem Internet. Ist das der falsche Ansatz?
Selbstverständlich, das Problem an Erklärungen aus dem Internet ist, dass es beispielhafte Dokumente sind. Sie enthalten oft zu viel oder zu wenig Informationen über das, was das Unternehmen tatsächlich benötigt. Dazu kommt der Punkt, dass die Dokumente statisch sind. Wenn sich etwas ändert, dann müssen alle Dokumente händisch angepasst werden. Wir lösen das Thema insofern, dass wir den Betroffenen unsere Business Cloud Lösung «ky4workplace» zur Verfügung stellen können. Dadurch wird bereits ein Grossteil der DSGVO-relevanten Themen abgedeckt. Ebenso ist in unserer Cloud die DSGVO-Software der Sirius AG optional verfügbar. Bei Fragen unserer Kunden, rate ich immer, sich professionelle Hilfe zu holen. Zum Thema Business Cloud Lösung «ky4workplace» haben wir im April 2019 einen IT Brunch bei der Kyberna, für den noch Anmeldungen möglich sind. Die DSGVO ist dennoch mit Aufwand verbunden und vor allem mit Kosten.
Die Kyberna mit 50 Mitarbeitern hat sie umgesetzt. Welche Kosten hat das verursacht?
Intern ist es nötig, dass sich einer der Mitarbeiter auf das Thema spezialisiert und eine Schulung macht. Ich war einige Tage in Wien auf Weiterbildung und bin nun zertifizierter Datenschutzbeauftragter. Die Schulung kostete etwa 1500 Euro, die investierte Zeit ist kaum zu rechnen. Neben dem normalen Tagesgeschäft ist es kaum zu managen. Man sollte sich dem Thema schon richtig annehmen. Anpassungen, welche Unternehmen bei internen Prozesse vornehmen müssen, sind durch eine Person allein nicht zu bewerkstelligen. Hier ist ein Zusammenarbeiten der einzelnen Abteilung zwingend notwendig. Durch die Einstufung als Internet-Service-Provider sind die Kosten bei uns höher als bei einem normalen Unternehmen mit 50 Mitarbeitern.
Es ist also Ihrer Ansicht nach sinnvoll für KMU, dass ein Mitarbeiter eine Weiterbildung absolviert?
Das ist eine Möglichkeit. Die andere wäre ein externer Datenschutzbeauftragter. Ein Unternehmer muss dann wohl abwägen, welche Variante die geringeren Kosten verursacht. Natürlich muss man auch einen Mitarbeiter finden, der sich dafür zur Verfügung stellt. Immerhin bedeutet es für ihn mehr Aufwand und eine grössere Verantwortung. Wenn in einem Unternehmen etwas schiefläuft, dann ist der Datenschutzbeauftragte dafür der erste Ansprechpartner. Das bedeutet auch ein berufliches Risiko. Daher ist es für ein kleines Unternehmen sicher sinnvoll, auf einen externen Berater zuzugehen, der bei der Umsetzung mithilft und den Betrieb regelmässig reviewt. Das Thema ist keine einmalige Angelegenheit. Die Dokumente, Prozesse etc. sind bei Veränderungen im Unternehmen wieder anzupassen und eventuelle Massnahmen wieder umzusetzen.
