Kaum ein Job ist heute in Schweizer KMU so gefragt, wie derjenige des Datenschutzverantwortlichen. Der CAS Datenschutz & Datensicherheit an der HWZ Zürich ist die Antwort auf den steigenden Bedarf an Datenschutzexperten.

Dr. David Wicki-Birchler, Partner von LEANmade, und Dr. Marc Holitscher, Microsoft Schweiz, leiten den CAS.

Im Interview geben sie Auskunft zur Lage des Datenschutzes in der Schweiz sowie Voraussetzungen und Inhalten der Weiterbildung.

Weshalb brauchen Schweizer Unternehmen Datenschutzverantwortliche?

David Wicki: Der Schweizer Datenschutz garantiert EU-Bürgern nicht das Schutzniveau der Europäischen Datenschutz-Grundverordnung (EU-DSGVO). Diese verlangt, dass Unternehmen ab 200 Mitarbeiten über einen Datenschutzverantwortlichen verfügen. Wollen Schweizer Unternehmen wir bisher mit der EU wirtschaften, müssen sie die Anforderungen des europäischen Regelwerks erfüllen. Mit dem CAS-Diplom machen wir KMU mit ihren IT- und Datenschutzverantwortlichen fit für Europa.

Wie fit sind Schweizer KMU in Bezug auf die neuen Anforderungen an den Datenschutz in Europa?

David Wicki: Wir stellen fest, dass Aufholbedarf besteht. Wichtig wäre es, dass Unternehmen selbst über das notwendige Knowhow verfügen und die zuständigen Personen den Betrieb massgeschneidert unterstützen können. Häufig fehlt es an der Bereitschaft, die notwenigen Ressourcen für den Datenschutz bereitzustellen.

Womit müssen Schweizer KMU künftig im Handel mit der EU rechnen?

David Wicki: Viel hängt hier davon ab, ob die EU unser revidiertes Datenschutzgesetz als gleichwertig zur EU-Gesetzgebung anerkennt. Die EU-Kommission wird voraussichtlich im Herbst 2020 einen Entscheid fällen. Ohne Datenschutz-Äquivalenz müssten Schweizer KMU im Geschäftsverkehr mit der EU in jedem Einzelfall ein angemessenes Datenschutzniveau nachweisen. Das ist sehr aufwändig und mit hohen Kosten verbunden.

Sind sich kleinere Firmen bewusst, was auf sie zukommt, falls sie die Bedingungen nicht erfüllen?

David Wicki: Ja und Nein.

Wo liegen die Probleme?

David Wicki: Datenschutz ist oft eine Budget- und Priorisierungsfrage. Investitionen in den Datenschutz und die Datensicherheit schlagen sich nicht sofort im Betriebsergebnis (EBITDA) eines Unternehmens nieder. Entsprechend braucht es den strategischen Willen, beim Datenschutz und der IT-Sicherheit vorausschauend die Weichen richtig zu stellen.

Einem Datenschutzverantwortlichen  in einem KMU kommt eine Schlüsselrolle zu. Was muss er können?

David Wicki: Damit er seinen Auftrag erfüllen kann, muss er die Datenlandschaft und -prozesse im Betrieb kennen und die Geschäftsabläufe im Detail verstehen. Der Verantwortliche muss wissen, welche Daten wo gespeichert und wie genutzt werden. Generell vorausgesetzt wird dazu auch das Wissen um die gesetzlichen Grundlagen in den Bereichen Datenschutz und Datensicherheit.

… aber eine Cyber-Attacke lässt sich damit ja noch verhindern. Wie heisst es so schön: Die Frage ist nicht ob, sondern wann eine Firma angegriffen wird.

Marc Holitscher: Das kann man so sagen. Wenn man jedoch grundlegende Cybersecurity-Massnahmen beachtet, kann man sich schon sehr gut schützen. Die Hacker sind ja in der Tendenz auch ökonomisch getrieben, sie suchen also den Weg des geringsten Widerstandes. Zeigt ein KMU, dass es einem Eindringling die Sache nicht leicht macht, wird sich dieser eher ein leichteres Opfer suchen.

Richtet sich der CAS Datenschutz & Datensicherheit ausschliesslich an Datenschutzverantwortliche in Unternehmen?

David Wicki: Nein, denn jede Person, die in einem Betrieb mit Datensicherheit in Berührung kommt, kann davon profitieren. Wenn man die Abläufe und den Umgang mit den Daten besser versteht, kann man diese auch optimal lenken und die Firma strategisch positionieren. In der produzierenden Industrie beispielsweise ist die ganzheitliche Kontrolle und das sinnvolle Management von Datenflüssen absolut entscheidend und ein Erfolgsfaktor auf dem Markt.

Welche Voraussetzungen muss ein CAS-Student mitbringen?

David Wicki: Studierende müssen eine der folgenden Voraussetzungen mitbringen. Einen Hochschulabschluss (Universität, FH) und mindestens zwei Jahre studienrelevante Berufserfahrung in einer Haupt- oder Nebenfunktion. Einen höheren Abschluss (zum Beispiel TS, HF, eidg. Fachausweis, eidg. Diplom) und mindestens zwei Jahre studienrelevante Berufserfahrung. Andere äquivalente Bildungsabschlüsse mit Praxiserfahrung können nach Prüfung des Dossiers ebenfalls anerkannt werden.

Sie leiten gemeinsam den Studiengang Datenschutz und Datensicherheit an der HWZ Zürich. Wie ist der Kurs aufgebaut?

Marc Holitscher: Wir streben im Kurs eine ganzheitliche Betrachtung des Themas an. Neben den juristischen Grundlagen setzen wir den Fokus auf ethische Fragen im Umgang mit Daten – ein Thema, das in Corona Zeiten auch für eine breite Öffentlichkeit relevant wurde. Stichwort: Contact-Tracing. Weiter schauen wir uns die Entwicklungen im Bereich von Artificial Intelligence, Big Data und Cloud Computing an und zeigen Lösungen auf. Es ist uns ein Anliegen, die interdisziplinären Aspekte im Umgang mit Daten aufzuzeigen.

Marc Holitscher, Sie kommen von der IT her. Muss man für den Studiengang programmieren können?

Marc Holitscher: Nein, es ist einzig eine gesunde Portion Neugierde gefordert, das Thema Datenschutz & Datensicherheit in all seinen Facetten anzupacken und sich mit dessen verschiedenen Dimensionen auseinanderzusetzen.

Datenschutz lässt sich in einem Betrieb nicht per Gesetz umsetzen. Welches juristische Wissen vermitteln Sie in Ihrem CAS?

David Wicki: Wir vermitteln die juristischen Grundlagen sowohl nach Schweizer als auch nach EU-Recht. Zudem bieten wir auch einen Einblick in die Gesetzgebung der USA, insbesondere dem US Cloud Act, das den gesetzlichen Zugriff der US-Behörden auf gespeicherte Daten im Internet regelt.

Lässt sich der CAS auch berufsbegleitend absolvieren?

David Wicki: Ja, wie alle Weiterbildungen der HWZ, kann man den Kurs auch berufsbegleitend absolvieren. Alle ca. zwei bis vier Wochen findet an der HWZ in Zürich ein Unterrichtblock von Donnerstag bis Samstag statt. Vor Ort können die Studierenden die digitale Infrastruktur der HWZ nutzen.