«Daten sind das ‘Blut’ jeder Bildungsinstitution»

30.04.2024

Am 1. September 2023 ist das neue Datenschutzgesetz, das den Schutz der Persönlichkeits- und Grundrechte natürlicher Personen stärkt, in Kraft getreten. Für viele ist Datenschutz aber immer noch ein Buch mit sieben Siegeln. Der Sicherheitsbeauftragte der ibW, Damian Tomaschett, klärt auf.

Was versteht man unter Datenschutz und wie wird dies in der Firmenpolitik der ibW angewendet?
Datenschutz ist ja nicht neu, auch nicht für die ibW. Die ibW als Bildungsinstitution verarbeitet viele Daten mit verschiedenen Zwecken. Eine Firma ist gesetzlich in der Pflicht, mit Sorgfalt und Augenmass mit den Daten umzugehen. Dem Schutz der persönlichen Daten wird dabei ein besonderes Augenmerk zugeteilt, da diese «das Blut» jeder Bildungsinstitution sind.

Was hat sich 2023 zum bestehenden Datenschutzgesetz verändert?
Primär zielt das revidierte Gesetz auf den Schutz der Daten von natürlichen Personen. Dieser Schutz wird strenger und klarer als bisher geregelt. Sowohl die Verarbeitung, z.B. das Sammeln, Erfassen, Speichern, Verwenden, Ändern und Weitergeben wie auch die Löschung von personenbezogenen Daten wird dabei tangiert.

Sie sind Datenschutzberater bei der ibW. Was sind konkret ihre Aufgaben?
Meine Aufgabe ist es, zu sensibilisieren und zu beraten und dort hinzuschauen, wo Personendaten verarbeitet werden, z.B. bei interner Verarbeitung von Kundendaten oder der Weitergabe von Daten, bei Verträgen zwischen Partnern und der ibW usw. Eine weitere Aufgabe ist die Identifikation von Risiken im Bereich des Datenschutzes und der Datensicherheit sowie die regelmässige Bewertung der Risiken mit Einleitung von geeigneten Massnahmen.

Weltweit wird oft vor den Gefahren von Datendiebstahl gewarnt. Wo liegen diese Risiken konkret für ein Unternehmen oder auch für Einzelpersonen?
Leider ist es so, dass wir heute mit den digitalen Kommunikationsmitteln sehr gläsern sind und vor Datendiebstählen nicht verschont bleiben, wenn wir uns nicht genügend schützen. Es gibt verschiedene Möglichkeiten von Datendiebstahl, meistens über den Einfall ins Netz der Unternehmung. Wobei man sagen muss, dass die Daten oft nicht gestohlen werden, sondern das Betriebssystem der Unternehmung lahmgelegt wird, sprich: die Firma nicht mehr arbeiten kann. Mit Erpressung wird dann versucht, an hohe Geldsummen zu kommen. Bis heute habe ich allerdings nie gehört, dass eine Bildungsinstitution lahmgelegt wurde. Angriffe auf unsere Systeme sind aber an der Tagesordnung. Der Datenschutz ist damit in der täglichen Praxis angekommen. So müssen wir genau wissen, welche Auskünfte wir bei Anfragen geben dürfen. Dies betrifft beispielsweise Auskünfte über Noten unserer Studierenden, auch wenn die Anfragen von ihren Arbeitgebern kommen. Bei diesem Beispiel braucht es neu immer die schriftliche Einwilligung der entsprechenden Person.

Wie stellen sie sicher, dass die Mitarbeitenden zum Thema Datenschutz geschult sind?
Wir führen zweimal pro Jahr einen halben Ausbildungstag zum Thema Schutz und Sicherheit durch, dort wird unter anderem auch der Umgang mit Personendaten geschult. Es werden verschiedene Situationen durchgespielt und das Verhalten erklärt.

Damian Tomaschett

Welche Arten von personenbezogenen Daten erfasst die ibW und zu welchem Zweck? Wie wird sichergestellt, dass die Datenerfassung und -verarbeitung den gesetzlichen Vorgaben entspricht?
Die ibW erfasst Kunden- und Mitarbeitendendaten. Bei den Mitarbeitenden sind es zum Teil besonders schützenswerte Daten wie z.B. biometrische, gesundheitsbezogene, soziale, religiöse, politische oder gewerkschaftliche Daten. Diese werden hauptsächlich im HR benötigt und verarbeitet. Die Mitarbeitenden des HR sind speziell sensibilisiert und müssen wissen, wie sie solche Daten bearbeiten und bei Bedarf weitergeben dürfen. Die kundenspezifischen Daten werden von Mitarbeitenden der Teilschulen verarbeitet. Diese Daten gehören zwar seltener zu den besonders schützenswerten Daten, aber auch diese werden natürlich immer unter besonderem Augenmerk verarbeitet.

Wie werden Daten vor Verlust, Diebstahl oder Hacking geschützt?
Die elektronischen Daten sind bei uns nach dem heutigen Stand der Technik durch spezifische Sicherheitsmassnahmen unserer IT gesichert. Natürlich ist dies eine permanente Arbeit, da die Angreifer immer dreister werden, so dass auch unsere IT immer mehr in die Sicherheit investieren muss. Die Systeme werden in regelmässigen Abständen überprüft und aktualisiert.

Wie gewährleistet die ibW die Rechte der betroffenen Personen, wie z.B. das Recht auf Auskunft,
Berichtigung, Löschung oder Einspruch gegen die Datenverarbeitung?

Mit dem revidierten Datenschutzgesetz gilt die Regelung des «Vergessen dürfen», das heisst, jeder Mitarbeitende oder Kunde hat das Recht auf Auskunft und Löschung seiner Daten. Solange man angestellt ist, kann man dies natürlich nicht verlangen, weil das Unternehmen die Informationen braucht, um beispielsweise den Lohn zu bezahlen. Bei einem Austritt darf man aber eine Löschung der Daten verlangen. Was man in keinem Fall darf, sind besonders schützenswerte Daten ohne explizite Einwilligung weiterzugeben, beispielsweise Auskünfte für Referenzen. Es ist auch wichtig zu wissen, dass gewisse Daten, z.B. Anstellungsverträge, Lohndaten, Diplome und Noten, einer Aufbewahrungspflicht unterstellt sind und nicht einfach so gelöscht werden dürfen. In dieser Sache sind unsere HR- und IT-Spezialistinnen und Spezialisten bestens ausgebildet und sensibilisiert.

Wie haben Sie persönlich in Ihrer Rolle die Umstellung des Datenschutzgesetzes erlebt?
Eigentlich wusste man längst, dass dieses Gesetz kommen würde. Auch das Bundesparlament liess sich aber Zeit mit der Verabschiedung des Gesetzes, sodass die Zeit bis zum Inkrafttreten schliesslich sehr kurz war. Bis zuletzt war daher unklar, welche Auswirkungen das Gesetz auf unser Unternehmen haben würde. Wir haben mit einem kleinen Team die wichtigsten Elemente eruiert, um das Gesetz innert kürzester Frist einzuhalten. Dazu gehörte auch, ein Datenschutzreglement zu erstellen, unsere Webseite zu checken, eine neue Datenschutzerklärung aufzuschalten und diese intern zu kommunizieren. Ein grösserer Aufwand war es, die Themen zu verinnerlichen. Das Datenschutzgesetz ist trotz vieler Umstellungen eine wichtige Grundlage. Personendaten sind durch das revidierte Gesetz besser geschützt. Man hat nun ein Recht zu wissen und zu entscheiden, was mit den eigenen Personendaten geschieht. Auch für die Unternehmen ist es gut, weil man nun zwar in der Pflicht ist, aber gleichzeitig verbindlich weiss, was man darf und was muss. Das schafft auch Rechtssicherheit.