«Datenschutz ist kein Sprint, es ist ein Marathon»

Daten in der Cloud oder Cloud-Lösungen werden oft noch als unsicher taxiert. Ist das so?

Andrea Tams: Das kommt ganz auf die jeweilige Cloud-Lösung an. Durch sorgfältige Auswahl des Cloud-Providers sollte aber unter Beachtung wichtiger Grundregeln ein hohes Niveau an Datensicherheit erreicht und die gewünschten Sicherheitsanforderungen erfüllt werden können. Wichtig sind dabei insbesondere folgende Informationen: Wie ist es um die IT-Sicherheit bestellt, ist sie ISO-zertifiziert, wo befindet sich der Serverstandort und ist dieser im Ausland? Kommt es zu Datentransfers an ein ausländisches Unternehmen? Gerade US-Mutterunternehmen und Serverstandorte ausserhalb der Schweiz und der EU können aktuell rechtliche Risiken bergen. Zu bevorzugen sind Schweizer Anbieter mit Serverstandorten in der Schweiz, wenn keine eigenen Server-Lösungen zur Verfügung stehen. Abacus setzt auf solche und versucht, helvetische Serverstandorte bei zertifizierten Dienstleistern zu nutzen wie etwa beim Unternehmen DeepCloud, das seine Cloud-Lösung ISO 27001 zertifizieren liess.

Wo befinden sich firmeneigene Daten von Abacus? Wie sind diese geschützt?

Grundsätzlich versucht Abacus – wo immer möglich – eigene IT-Lösungen auf eigenen Servern zu nutzen. Wenn Abacus Cloud-Lösungen für ihre Kunden anbietet wie bei Swiss21/AbaNinja – der Buchhaltungssoftware in der  Cloud –, wird grosser Wert auf eine hohe IT-Sicherheit gelegt, wenn möglich mit nachgewiesenen ISOZertifizierungen oder diesen entsprechenden Sicherheitsniveaus. Der von Abacus eingesetzte Cloud-Provider erfüllt perfekt diese Anforderungen. Nutzt der Kunde Abacus Software im Rahmen des Abacus Lizenzmodells, so befinden sich die Daten grundsätzlich bei ihm selbst, ausser er verwendet unabhängig von Abacus selbstständig eine Cloud-Lösung bei seinem Cloud-Provider.

Wo gibt es Cloud-Lösungen in der Abacus Welt?

Cloud-Lösungen direkt von Abacus sind bei 21.AbaNinja und 21.AbaSalary zu finden. Werden innerhalb der Abacus Software DeepBox-Dienste in Anspruch genommen, so steht ebenfalls eine Cloud-Lösung, nämlich die DeepBox, dahinter. Unabhängig von Abacus kann Abacus Software von Cloud-Anbietern im Rahmen von Abacus WebAbos genutzt werden. Hier ist aber nicht Abacus, sondern die jeweiligen Cloud-Anbieter für diese Clouds zuständig. Nur die in den Clouds nutzbare Software stammt von Abacus.

Wie funktioniert das Zusammenspiel zwischen den Angeboten von DeepCloud und der Abacus Software in Bezug auf den Datenschutz?

Der jeweilige Abacus Kunde ist für die Daten, die in seiner Abacus Applikation verarbeitet werden, für den Datenschutz verantwortlich. Wenn Daten aus der Abacus Software zu seiner DeepBox bei der Firma DeepCloud übermittelt werden, dann stimmt er diesem Transfer vorgängig zu. Die Übermittlung der Daten respektive der Dokumente erfolgt nach dem Stand der Technik auf eine sichere Weise – anschliessend werden die Daten und Dokumente in der ISO 27001 zertifizierten Cloud-Lösung der Firma DeepCloud gespeichert. Sowohl für Abacus als auch für DeepCloud haben Datenschutz und IT-Sicherheit höchste Priorität. 

Wie sehen die Datenströme bei Abacus DEEP aus, wenn die Kunden Deep-Dienste nutzen?

Das kommt auf den konkreten Deep-Box-Dienst an. Möchte beispielsweise ein Kunde aus seiner Abacus Software Dokumente an seine DeepBox senden oder sie mit DeepO analysiert haben, dann werden diese aus der Abacus Software in die Cloud-Lösung der Firma DeepCloud übermittelt, damit sie dort entweder gespeichert oder analysiert werden. DeepCloud setzt hier einen Cloud-Provider ein, der im Rahmen der DeepCloud-ISO-Zertifizierung ebenfalls
geprüft wurde.

Wo stehen wir mit der Revision des Datenschutzrechts in der Schweiz?

Das Schweizer Datenschutzrecht, das aus dem Datenschutzgesetz (DSG) und den Ausführungsbestimmungen dazu (Verordnung zum DSG/VDSG) besteht, wurde einer umfassenden Revision unterzogen, um es unter anderem
der Datenschutz-Grundverordnung (DSGVO) der EU anzunähern. Neu wird es auch eine Verordnung über Datenschutzzertifizierungen geben. Die Rechtstexte sind nun nach langen Diskussionen endgültig veröffentlicht und werden 2023 in Kraft treten. Abacus hat schon 2021 mit der Umsetzung der neuen Vorgaben begonnen. Damit lässt sich sicherstellen, dass nötige Änderungen, auch an der Abacus Software, noch vor Inkrafttreten des neuen Rechts, umgesetzt werden können. Gerade die Anforderungen an die Verantwortlichen zu Privacy by Design sind für einen Software-Hersteller von grossem Interesse. 

Was sieht das Gesetz neu vor?

Es enthält weitergehende Informationsund Dokumentationspflichten seitens der Unternehmen, die Einräumung umfangreicher Betroffenenrechte und eben Regelungen zu Privacy by Design sowie Privacy by Default. Privacy by Design bedeutet, dass schon bei Planung von Datenverarbeitungen der Datenschutz berücksichtigt werden muss. Aus diesem Grund ist diese Vorgabe bereits bei der Entwicklung unserer Software zu beachten. Privacy by Default zielt darauf ab, dass datenschutzfreundliche Voreinstellungen getroffen werden können, also eine Softwareapplikation beispielsweise so konfiguriert werden kann, dass sie bei der Voreinstellung nur so viele Daten wie nötig und nicht noch weitere erfasst, die eventuell gar nicht benötigt werden.

Was ist im Zusammenhang mit dem DSG wichtig zu wissen?

Im Grundsatz bleibt das revidierte dem aktuellen DSG ähnlich. Dennoch sind Unternehmen gut beraten, neue Anforderungen, die gestellt werden, zeitnah umzusetzen. Das revidierte DSG kennt keine Umsetzungsfrist, es wird ohne Übergangsfristen am 1. September 2023 in Kraft treten, ob ein Unternehmen darauf vorbereitet ist oder nicht. Daher ist es wichtig, sich bereits heute zu informieren, welche neuen Bestimmungen für das eigene Unternehmen
Änderungen bringen, um nötige Anpassungen zeitnah umzusetzen.

Auf welche verfügbaren Datenschutztechnologien sollten sich Unternehmen konzentrieren und sie so schnell wie möglich nutzen?

Es gibt ein grosses Angebot an Software, die Unternehmen einzig die Handhabung von datenschutzrechtlichen Anforderungen erleichtern will. Wir suchen bei Abacus eigene Lösungen im Zusammenspiel mit unserer Software, um diese Anforderungen zu erfüllen. Obwohl Technologie den Datenschutz oft nicht vereinfacht, sondern ihn eher erschwert, da mit ihr oftmals auch mehr Daten erfasst werden können, kann sie uns doch gewisse Aufgaben im Zusammenhang mit dem Datenschutz erleichtern. So ist es beispielsweise möglich, ein Löschkonzept technologisch so umzusetzen, dass Daten automatisch nach einer definierten Aufbewahrungsdauer gelöscht werden können wie zukünftig zum Beispiel beim Abacus Bewerbermanagement. Ich denke dabei auch an applikationsübergreifende Suchfunktionen, die das Finden von Informationen in der gesamten Abacus Software vereinfachen.
So können Auskunfts- oder Löschanfragen von Betroffenen erheblich schneller bearbeitet werden.

Welche Bedeutung hat das für Abacus?

Hier gibt es zwei Blickwinkel: Einerseits sind wir als Unternehmen selbst Verantwortlicher im datenschutzrechtlichen Sinne und müssen die neuen Anforderungen, die das Gesetz an uns stellt, umsetzen. So gibt es meine Rolle als Datenschutzverantwortliche schon seit über drei Jahren in der Abacus Gruppe. Es wurde eine Leitlinie zum Datenschutz für alle Unternehmen der Abacus Gruppe erarbeitet, wir schulen alle Mitarbeitenden zu Themen wie Datenschutz, IT-Sicherheit und vielem mehr. So stärken wir überall bei Abacus den Datenschutz. Diese Aufgaben bedeuten aber auch für alle unsere übrigen Unternehmen einen erheblichen Aufwand. Daher gibt es seit diesem Jahr ein konzernweites Datenschutzteam, das mich in meiner Arbeit unterstützt. Ich bin sehr dankbar, dass die Geschäftsleitungen der Abacus Unternehmen dies so tatkräftig fördern. Daran erkennt man, wie hoch der Stellenwert des Datenschutzes im Unternehmen ist. Zum anderen sehen wir uns als Software- Entwickler natürlich auch in der Pflicht, die Abacus Software so zu programmieren, dass unsere Kunden die datenschutzrechtlichen Anforderungen einhalten und bei sich möglichst einfach umsetzen können. Auch hierfür haben wir Konzepte erarbeitet, damit wir diese Aufgaben bis zum Inkrafttreten des revidierten Datenschutzgesetzes anbieten können. Wir sind da guter Dinge, dass uns dies gelingen wird.

Wo liegen jetzt und in Zukunft die grössten Herausforderungen?

Das Thema Datenschutz ist kein Sprint, es ist eher ein Marathon. Es begleitet einen in der täglichen Arbeit. Alle Mitarbeitenden setzen bei uns den Datenschutz um, sie sind die wichtigsten Vorkämpfer für dieses Thema. Das höchste Risiko für die Datensicherheit im Unternehmen liegt meines Erachtens – natürlich neben der geforderten IT-Sicherheit – nicht zwangsläufig in der Technologie, sondern bei uns selbst. Es liegt in der Natur des Menschen, Fehler zu machen. Daher sind Schulungen von Mitarbeitenden wichtig. Wir passen deswegen unsere Schulungskonzepte fortwährend an, um alle Mitarbeitenden auf dem aktuellen Stand zu halten. Eine weitere Herausforderung besteht auch aus juristischer Sicht: Seit dem EuGH-Urteil, dass ein Datentransfer in die USA nicht ohne Weiteres möglich ist, setzen wir verstärkt auf Schweizer Lösungen von helvetischen Anbietern. So haben wir zum Ziel – wo immer möglich – alle Daten entweder in der Schweiz oder in EU-Staaten, welche ein angemessenes Datenschutzniveau aufweisen, zu halten. Die USA verfügen momentan im Gegensatz dazu nicht über ein solches. Deswegen ist es auch wichtig, mit DeepBox und ihrer Datenhaltung in der Schweiz eine Alternative zu grossen US-Cloud-Anbietern zur Verfügung zu haben.