Für die «Datenschutz Plaudereien» hatte ich das Vergnügen, von Maria Winkler einen Einblick in die Welt der Datenschutzberaterinnen und Datenschutzbeauftragten in der Schweiz zu erhalten.
Maria Winkler verfügt als Expertin und Unternehmerin über langjährige Erfahrung mit dem schweizerischen und europäischen Datenschutz- und IT-Recht. Sie gründete beispielsweise 2004 die IT & Law Consulting GmbH und engagiert sich unter anderem beim Verein Unternehmens-Datenschutz (VUD).
In unserem Podcast-Gespräch diskutierten wir unter anderem folgende Themen:
- Was sind die Besonderheiten für Datenschutzbeauftragte in der Schweiz?
- Was bedeutet es, dass Datenschutzbeauftragte in der Schweiz als «Datenschutzberater» bezeichnet werden?
- Wer ist für die Funktion als Datenschutzberater oder Datenschutzbeauftragte geeignet?
- Was ändert sich mit dem neuen Datenschutzrecht in der Schweiz?
- Wie ist die Rolle von externen Datenschutzbeauftragten zu beurteilen?
- Wie löst Maria Winkler das Problem mit dem Daten-Export in die USA?
Wir veröffentlichten das Gespräch in den nachfolgenden drei Episoden der «Datenschutz Plaudereien»:
Weblinks zu den drei Episoden: DAT139 Datenschutzbeauftragte in der Schweiz, DAT140 Wer ist als Datenschutzberater:in geeignet? und DAT141 Daten-Export in die USA.
Transkript: Podcast-Gespräch mit Maria Winkler
Das nachfolgende Transkript wurde mit dem AI-Dienst CastMagic automatisiert erstellt. Das Transkript kann Fehler enthalten und es gilt das gesprochene Wort.
Das Transkript zeigt, was ein AI-Dienst leisten kann – und was nicht. So gelingt es CastMagic nicht immer, die beiden Gesprächspartner voneinander zu unterscheiden. Auch scheitert CastMagic zum Teil an Abkürzungen wie EDÖB und VUD. Gleichzeitig kommt CastMagic mit den Dialekten der beiden Gesprächspartner alles in allem sehr gut klar.
Martin Steiger: Guten Tag, mein Name ist Martin Steiger. Herzlich willkommen bei den «Datenschutz-Plaudereien». Ich freue mich, einmal mehr einen Spezialgast begrüssen zu dürfen. Der heutige Spezialgast ist Maria Winkler. Sie ist sehr aktiv im Bereich des Datenschutzes. Sie ist zum Beispiel Geschäftsführerin der «IT&Law Consulting» GmbH. Sie leitet die Geschäftsstelle des Vereins Unternehmensdatenschutz, des VUD, ist als Datenschutzbeauftragte tätig usw. Herzlich willkommen, Maria, in der Datenschutzplauderei. Habe ich noch etwas Wichtiges vergessen?
Maria Winkler: Ganz herzlichen Dank, Martin, für die Einladung zu den Datenschutz-Blaubereien, die inzwischen sehr bekannt sind. Ich freue mich sehr, dass du mich eingeladen hast. Ich denke, du hast nichts Wichtiges vergessen zu meiner Person.
Martin Steiger: Vielen Dank, Maria, dass du dir Zeit nimmst. Sonst findet man dich auch online, z.B. Auf LinkedIn. Man kann dich auch ansprechen, wenn man mehr über dich wissen will. Ich habe dich eingeladen, weil ich mit dir einen Blick in die Welt der Datenschutzbeauftragten in der Schweiz werfen möchte. Was geht dort eigentlich ab? Und ja, ich weiss, gemäss DSG sagt man Datenschutzberaterin, Datenschutzberater, in der Schweiz Artikel 10 des neuen Datenschutzgesetzes. Ich verändere diesen Begriff unterdessen in einer Mischform. Das geht als erste Frage. Maria, worüber redest du, wenn es um diese Funktion geht?
Maria Winkler: Ich bemühe mich sehr, diesen Begriff «Datenschutzberater» immer über die Lippen zu bekommen. Es holpert immer ein wenig, weil sich der Begriff «Datenschutzbeauftragter» in der Praxis so manifestiert hat. Man muss eigentlich immer aktiv daran denken, den im Gesetz verankerten Begriff zu verwenden. Er geht nicht so leicht über die Lippen. Ich finde den Begriff im Schweizer Gesetz interessant, weil ich finde, es tüpft die Funktion fast besser als vielleicht Datenschutzbeauftragte
Martin Steiger: da wie immer im Gesetz nachzulesen. Dort steht sehr schön, was die Aufgaben sind aus der Schweizer Sicht. Dort steht Schulung, Beratung, Mitwirkung bei der Anwendung des Datenschutzrechts. Maria, was ist der Status quo in der Schweiz mit den Datenschutzberaterinnen und Beratern?
Maria Winkler: Status quo an und für sich, denke ich, ist, dass sehr viele Unternehmen meinen, sie müssten so jemanden haben. Also das finde ich ganz spannend. Das ist aber, glaube ich, etwas, was wirklich vielfach von der EU, DSGVO so als Halbwissen übernommen wird. Und was sich aber wahrscheinlich erst jetzt so richtig beginnt durchzusetzen ist die Erkenntnis bei den Bundesorganen, dass sie tatsächlich jemand haben müssen. Also die Privaten meinen oft sie müssen jemand haben, müssen sie aber gar nicht, weil es wirklich total freiwillig ist und die Bundesorgane, zu denen zählen eben auch viele privatrechtliche Unternehmen, die eine öffentlich-rechtliche Aufgabe vom Bund wahrnehmen, wissen häufig nicht, dass sie tatsächlich
Martin Steiger: eine solche Funktion besetzen müssen. Das ist richtig. Es gibt ein Obligatorium im öffentlich-rechtlichen Bereich. Auch in den kantonalen Datenschutzgesetzen ist das vorgesehen. Wieso sagt das den Behörden niemand? Es gibt doch eine Datenschutzaufsichtsbehörde.
Maria Winkler: Das ist eine spannende Frage. Weiss ich nicht. Soweit ich informiert bin, haben die kantonalen Datenschutzgesetze das meistens nicht übernommen. Ich glaube, es gibt nur ein oder zwei Kantone, die diese Pflicht übernommen haben. Eben, es ist neu jetzt im Eidgenössischen Datenschutzgesetz drinnen und ich weiss nicht genau, ob der EDEP mit der Zeit hiergehen wird. Die Unternehmen, die öffentlich- rechtliche Bundesaufgaben wahrnehmen, werden daran erinnern, dass sie so etwas machen müssen, wenn sie nicht freiwillig auf dem Meldewett.
Martin Steiger: Das ist auch etwas Interessantes, bei der Freiwilligkeit bei den Privaten, eben gewisses Obligatorium bei den Behörden. Wieso haben trotzdem viele Unternehmen auch heute schon Datenschutzberater oder Datenschutzbeauftragte? Wenn man in die Datenschutzerklärung von grossen Unternehmen schaut, trifft man das fast schon standardmässig an. Also geht es dem Fall offensichtlich nicht nur um ein Obligatorium.
Maria Winkler: Genau. Ich denke mir, man kann durchaus, neben dieser nicht vorhandenen Pflicht im privatrechtlichen Bereich, jemanden mit dieser Funktion tatsächlich zu betrauen, kann man eine solche Pflicht eigentlich auch indirekt herauslesen, einfach aus der Verpflichtung, Datenschutz umzusetzen im Unternehmen. Weil wie will man das machen, wenn man das Know-how im Unternehmen nicht hat? Also entweder im Unternehmen oder eben durch externe Beratung. Also die Unternehmen machen jetzt im Moment wirklich sehr viele Aktivitäten noch, so zum Schluss viele, um das revidierte DSG umzusetzen. Sie erkennen natürlich relativ schiel, dass sie da jemanden brauchen und am besten eben auch auf die Dauer jemanden haben, der sich gut bei dem Thema auskennt oder der zumindest mehr Wissen hat als die anderen. In diesem Zusammenhang begegnen mir häufig die grossen Begriffsverwirrungen
Martin Steiger: mit dem Datenschutzrecht. Es gibt viele Begriffe, mit denen Daten oder Datenschutz anfangen. Gerade in diesem Bereich gibt es schon die Differenz Datenschutzbeauftragte in Europa, Datenschutzberaterinnen in der Schweiz. Dann gibt es aber auch noch häufig Datenschutzverantwortliche. Wie siehst du das auch mit diesen Rollenverteilungen innerhalb einer Organisation, innerhalb eines Unternehmens?
Maria Winkler: Der Datenschutzverantwortliche, der Begriff, ist geprägt durch das geltende DSG. Diese Funktion heisst tatsächlich Datenschutzverantwortliche. Ich glaube, dieser Begriff des geltenden DSG war auch die Ursache dafür, dass es jetzt im revidierten DSG dann Datenschutzberater heißt, weil, glaube ich, wirklich viele davon ausgegangen sind, dass dann diese Datenschutzverantwortlichen wirklich verantwortlich seien für die Umsetzung des Datenschutzes im Unternehmen. Das ist eben ja genau nicht die Rolle und die Funktion eines Datenschutzberaters. Und deswegen wollte man das, glaube ich, dann wirklich genau mit dem Namen auch so hervorheben, was die Ausgaben sind von dieser Person.
Martin Steiger: Apropos Verantwortung. Ich werde häufig gefragt, die Datenschutzberaterin, Datenschutzberater, wie haften die denn? Können die sich auch strafbar machen? Wie siehst du das mit dem neuen Gesetz? Also ich würde es jetzt nicht komplett ausschliessen.
Maria Winkler: Natürlich wäre es gedacht, dass diese Funktion so implementiert wird im Unternehmen, dass wirklich eine beratende Funktion da ist, eine kontrollierende Funktion und diese Person an und für sich eigentlich keine Weisungsgewalt haben soll, auch nicht Entscheidungen treffen soll darüber, wie wirklich Datenbearbeitungen stattfinden. Aber ich würde sagen, ausgeschlossen ist es natürlich nicht. Also wenn jetzt insbesondere im Zusammenhang mit Informationspflichten oder aber auch mit der Beantwortung für Auskunftsbegehren beispielsweise denke ich, kann es schon sein, dass dann schlussendlich doch einmal eine Entscheidung gefällt wird oder eben eine Empfehlung als sehr verbindlich formuliert wird und deswegen auch Strafbarkeit da sein kann. Aber ich glaube, gerade was die Strafbarkeit betrifft, da fischen wir ja alle miteinander noch etwas in drüben und wir wissen ja noch gar nicht genau, wie sich das tatsächlich in der Praxis auswirkt.
Martin Steiger: Ja, das ist so. Ich muss auf diese Frage zweimal antworten. Einerseits muss ein Datenschutzberater intern klarmachen, was die Rollen sind. Man kann mehr als eine Rolle haben. Es ist häufig so, dass es kein Vollzeit-Pensom ist. Andererseits ist es häufig so, dass man gewisse Haftungen bei Arbeitnehmern oder Auftragnehmern hat. Das kann man oder extern machen. Viele Themen tauchen ja plötzlich beim Datenschutzrecht auf, die wir eigentlich schon sehr lang haben. Es ist völlig normal, dass Arbeitnehmerinnen und Arbeitnehmer unter gewissen Bedingungen haften, auch wenn sie nicht im Datenschutzrecht tätig sind. Ein weiterer Punkt, intern oder extern. In der Schweiz erlebe ich das nicht mit internen und externen Datenschutzberatern. In Deutschland sehe ich das sehr häufig. Es gibt sehr viele Angebote von externen Datenschutzbeauftragten. Wie siehst du diese Unterscheidung? Man könnte auch fragen, wer mühsamer ist.
Maria Winkler: Genau. Ich habe diese Funktion teilweise bei einzelnen Unternehmen oder teilweise jetzt auch im öffentlich-rechtlichen Bereich. Ich denke mir, dass es auch dann, wenn man jemand Externes hat, es extrem wichtig ist, dass trotzdem intern jemand sich recht gut im Datenschutz auskennt. Also ich erlebe das genau bei einzelnen Mandaten, die ich habe, wo ich diese Funktion dann ausübe. Ich kann das gar nicht machen, ohne dass ich nicht intern eine Ansprechperson habe, die dann wirklich so im Daily Business mitbekommt, was denn so abläuft, welche Projekte beispielsweise geplant werden. Also man braucht intern immer jemanden, der sich vermehrt auskennt in diesen Bereichen und auch sehr sensibilisiert ist in dem Bereich. Also jetzt diese Funktion ganz an jemand extern auszulagern, funktioniert nur dann, wenn man diese Person dann wirklich sehr eng in die innerbetrieblichen Abläufe einbindet und vor allem die Informationen wirklich sehr regelmäßig zur Verfügung stellt.
Martin Steiger: Ich sagte, Datenschutzbeauftragte und Datenschutzberaterinnen werden zum Teil als mühsam wahrgenommen. Darum finde ich die Freiwilligkeit bei der Privat in der Schweiz sehr spannend. Das bedeutet, dass man es tatsächlich zeigen muss, dass man einen Nutzen hat, dass man einen Mehrwert bietet. Wie gelingt dir das? Oder Wo stösst du auf Probleme in deiner Praxis?
Maria Winkler: Das sind sehr gute Fragen. Ich versuche, es so umzusetzen, dass bei mir die Beratung tatsächlich im Vordergrund steht und dass ich bei der Beratung tatsächlich den Vordergrund stelle, dass ich nicht zum Vorhinein die Nein-Sagerin bin, sondern dass ich mir überlege, welche Ziele eigentlich die Unternehmen bei einzelnen Projekten beispielsweise verfolgen und wie man diese Ziele datenschutzkonform erreichen kann. Man muss sehr aufpassen, dass man bei der Beratung nicht zu sehr in die Empfehlung von konkreten Massnahmen hineingeht. Aber ich glaube, man muss auch wirklich versuchen, den Mehrwert hinzubringen für die Unternehmen.
Martin Steiger: Dass du den Mehrwert bringen kannst, brauchst du ja natürlich Fachkenntnis, Erfahrung. Wie bist du dazu gekommen? Wir können alle im Gesetz stehen, es sind erforderliche Fachkenntnisse. Ganz direkt gefragt, Was macht dich zu einer guten Datenschutzberaterin? Und was ist eine Person, die geeignet ist, um die Funktion auszufüllen?
Maria Winkler: Das ist eine sehr spannende Frage. Bei mir ist es schon die langjährige Erfahrung im Bereich Datenschutz und aber auch im Bereich IT-Verträgen und IT-Projekten, wo ich Unternehmen jetzt wirklich über so viele Jahre schon begleite. Generell, Personen, die diese Funktion im Unternehmen ausüben wollen, sollen, die müssen sich interessieren für unternehmerische Abläufe. Das finde ich wirklich ganz wichtig. Die müssen gerne in Prozessen auch denken und ein wenig über die Grenzen hinausdenken vom eigenen Fachbereich. Ich erlebe es relativ häufig, dass wenn Personen diese Funktion inne haben, die wirklich rein aus dem technischen Bereich kommen, dass sie den Datenschutz als sehr, sehr technisch sehen und wirklich auf Datensicherheit reduzieren. Da fehlt der materiell rechtliche Teil des Datenschutzes in der Umsetzung.
Martin Steiger: Man muss anfangen, wenn man selber interessiert ist, so eine Funktion auszufüllen. Wer könnte das machen? Man will nicht jemanden extern beauftragen. Taktisch und strategisch sagt man, man will das know-how aufbauen. Wie siehst du dort einen möglichen Anfang? Wir alle müssen ja irgendwo anfangen, oder haben wir angefangen?
Maria Winkler: Ja, ich betreue einige Unternehmen, die klar gesagt haben, sie wollen am Anfang Unterstützung haben, möchten aber ganz klar jemanden intern aufbauen. Bei ein paar grösseren Unternehmen sind es dann Personen, die aus dem Qualitätsmanagement kommen, wo ich finde, die bringen vorhaus schon einmal dieses Prozessverständnis mit und auch eben die erforderliche Unabhängigkeit, die fachliche. Wenn Sie Qualitätsmanagement machen, sonst im Unternehmen, dann entscheiden Sie an und für sich eben nicht über Datenbearbeitungen und bringen daher verhausen eigentlich schon diese fachliche Unabhängigkeit auch mit. Das beispielsweise, finde ich, ist eine gute Voraussetzung. Generell sind es natürlich Schulungen, die man machen sollte. Eben in dem Bereich, wo man noch nicht so viel know-how hat sollte man eine ausbildung machen und diese Ausbildung nicht nur einmal machen und dann liegen lassen, sondern sich wirklich informieren. Generell habe ich aber auch sehr gute Erfahrungen damit gemacht, dass Unternehmen dann schauen, dass sie eben nicht nur eine Person haben, die sich mit dem Thema beschäftigt, sondern dass so etwas wie eine Datenschutzorganisation aufgebaut wird. Je grösser das Unternehmen, umso wichtiger finde ich, dass diese Aufgaben, aber auch das Know-how von mehreren Personen gehört.
Martin Steiger: Ich bin ganz bei dir, Maria, wenn du das Qualitätsmanagement erwähnst. Das ist auch meine Erfahrung, dass das ein sehr guter Bereich ist. Auch sonst zu Compliance-Themen, weil dort sind sich die Menschen auch gewohnt, genau zu arbeiten, auch zu dokumentieren, zum Beispiel. Bei der Aus- und Weiterbildung gibt es ja heute sehr viele Angebote. Wir haben auch schon in den Datenschutz- plaudereien über den CAS oder ZHAW gesprochen, wo man sich im Datenschutz ausbilden kann. Dann ist es halt trivial, Datenschutzmanagement, letztlich ist es ein Prozess, wie so vieles im Leben. Das ist zum Teil ernüchternd, auch für Mandantinnen und Mandanten, weil man sagen muss, jetzt haben wir mal etwas gemacht, aber es ist leider nicht fertig, sondern es hört wahrscheinlich gar nie mehr auf. Wie gehst du damit um, dass es wie ein Uferlos ist, es kommen immer neue Sachen dazu, neue Rechtsprechungen, neue Erlass, neue Meinungen? Ist das nicht Schwierig, damit umzugehen? Nein.
Maria Winkler: Das ist ja so unser tägliches Brot und auch das, was es spannend macht. Ich glaube, das ist jetzt gerade der interessante Teil unserer Arbeit, dass Datenschutz an und für sich ein sehr breites Thema ist, das in allen Branchen und bei allen Unternehmen einfach grundsätzlich nutzensetzen ist. Aber es macht natürlich einen riesengroßen Unterschied, ob ich das bei einem Versicherer umsetzen muss, in einem Spital oder in irgendeinem Industriebetrieb, wo es hauptsächlich Mitarbeitende gibt. Deswegen finde ich hauptsächlich die Unternehmen sehr spannend, die Spezialgesetze zu berücksichtigen haben. Und wo man sich diese Know-how betreffenden Spezialgesetze dann auch lokal eignen muss.
Martin Steiger: Ja, die Spezialgesetze gehen gerne vergessen. Aus ganz unterschiedlichen Gründen. Häufig ist es natürlich so, aus meiner Sicht, dass ich schon froh bin, wenn jemand die Basics des Datenschutzgesetzes umsetzt. Das ist ja schon mal ein Anfang, kann man darauf aufbauen. Aber das ist tatsächlich so und diese Spezialgesetze nehmen ja auch zu. Jetzt so nahe der Spezialgesetze aus Schweizer Sicht ist nach wie vor die Datenschutzgrundverordnung, DSGVO. Wie erlebst du das Zusammenspiel? Wir haben unterdessen fünf Jahre DSGVO. Wie funktioniert das aus der Schweiz? Auch mit Blick darauf, dass viele verantwortliche Schweizer grenzüberschreitend tätig sind.
Maria Winkler: Eigentlich erlebe ich es so, dass ich zumindest nach meinem Gefühl die Aufregung relativ gelegt habe. Sehr viele von meinen Kunden sind jetzt in Konzernstrukturen, wo sie dann eigentlich, mir dann mindestens ich jetzt relativ stark konzentrieren, dann auf die Umsetzung des Schweizer Datenschutzgesetzes, aber auch da aufbauen können, dass sie die DSGVO im Unternehmen Arbeit für sich schon auch umgesetzt haben. Aber es hat sich bei vielen der Erkenntnisse auch durchgesetzt, dass, wenn sie in einem Konzern drinnen sind, hauptsächlich eben die Tochtergesellschaften oder die andere Konzerngesellschaften in der EU betroffen sind. Das ist in der Struktur meiner Kundinnen und Kunden klar. Sie haben etliche Augen, die DSGV direkt umzusetzen. Sie haben sie umgesetzt. Das hilft ihnen bei der Umsetzung des revidierten DSG an und für sich.
Martin Steiger: Wie beurteilst du gerade im neuen DSG die paar Sachen, die so ein bisschen Swissness signalisieren? Für mich das Paradebeispiel auch im Bereich, wo du es gerade beschrieben hast, das Konzernprivileg. Hilft das wirklich?
Maria Winkler: Gute Frage. Ich kann es im Moment noch gar nicht wirklich beantworten. Ich kann es gar nicht so häufig vor in der Praxis vor, dass wir diese Frage beantworten müssen. Aber wahrscheinlich auch deswegen, weil diese Unternehmen dann häufig wirklich jemand im Internet haben oder oft eine ganze Datenschutzorganisation haben, die sich dann mit diesen Themen auseinandersetzen. Deswegen würde ich sagen, an und für sich, natürlich schon aus Schweizer Sicht, aber insgesamt aus der EU-Sicht oder wenn man den ganzen Konzern betrachtet, dann häufig nicht so wahnsinnig viel.
Martin Steiger: Ich bin gespannt, was man in der Praxis sehen wird. Für die im Publikum, die sich nicht mehr daran erinnern, das Konzernprivileg bedeutet, dass Konzerngesellschaften unter gewissen Bedingungen, bei gewissen Themen nicht als Dritte gelten im datenschutzrechtlichen Sinn. Was ein Vorteil sein kann, z.B. Bei der Informationspflicht, bei der Auskunftspflicht. Ich vermute aber auch, dass das nicht so ein riesiges Ding sein wird, weil gerade im Konzern international ist man eh schon im Normalfall oder im Idealfall abgesichert, dass man all die Flüsse unter Kontrolle hat.
Martin Steiger: Da interessiert mich, ob du die gute Lösung hast. Eines der grössten Themen bei den Datenflüssen ist der Datenexport, das Outsourcing in die USA. All die Cloud-Dienste, die wir alle nutzen, oder fast alle nutzen, die davon abhängig sind, Da kommen die Einschüsse immer näher. Da gibt es in Europa immer wieder EUGH-Urteile. In Deutschland läuft etwas und Aufsichtsbehörden und, und, und. In der Schweiz schauen wir zu, was es erleichtert für die Verantwortlichen. Kann das auf Dua gut gehen? Hoffen wir, dass irgendwann eine Lösung gefunden wird?
Maria Winkler: Ich glaube, das ist im Moment sicher das frustrierendste datenschutzrechtliche Thema überhaupt, weil man an und für sich in der Beratung nicht wirklich Rechtssicherheit bieten kann. Im Moment bleibt einem in der Schweiz an und für sich nur übrig, die Kunden darüber aufzuklären, wie die Situation gerade ist und dass hier auch Rechtsunsicherheit vorhanden ist. Und man will im Moment einfach nicht die fertige Lösung bieten kann. Es hoffen alle auf das neue Abkommen zwischen der EU und den USA und dann auf eine möglichst schnelle Umsetzung, dann auch in der Schweiz. Aber klar, wir hoffen nicht, dass sich dieses Problem plötzlich in Luft auflösen wird.
Martin Steiger: Da bin ich neugierig. Einerseits kommt die Lösung mit dem aktuellen Meta-Entscheid. Es ist genau diese Frage. Da gibt es einen Umsetzungsfrist. Man könnte darauf spekulieren, dass diese gerade getimt ist, dass wir doch noch rechtzeitig eine Lösung finden können. Was die Schweiz macht, ist wieder ein Thema für sich. Da müssen wir immer daran denken. Es ist ja vielleicht toll, wenn Europa und die USA eine Lösung finden, aber wenn wir nicht dabei sind, haben wir noch das Problem. Zumal wir neue Strafbestimmungen im neuen Datenschutzgesetz haben. Denkst du, das wird Auswirkungen auf den Druck haben, auch bei den internen Entscheidungen? Wenn man zum Beispiel Datenschutz beauftragt, wird man vielleicht deutlich auf die Risiken beim Datenexport in die USA hinweisen.
Maria Winkler: Ja, also ganz klar. Also es hat Auswirkungen da, wo die Unternehmen tatsächlich auch andere Alternativen zur Verfügung haben Und wo es dann plötzlich wirklich darum geht, dass jemand diese Entscheidung für irgendein Tool treffen müsste mit dieser Strafbarkeit vor Augen. Also ich sehe es schon, dass sie bei gewissen Tools sich dann überlegen, ob sie nicht auch eine europäische Alternative hätten. Aber bei den grossen Hypersquellen sehe ich keine Auswirkungen. Ich hatte erst heute seine Besprechung, als wir die Kunden dann sagten, wir können ja gar nicht anders. Man kann ja gar nicht, man hat keine Alternativen. Deswegen
Martin Steiger: machen wir es jetzt einmal und hoffen, dass es gut geht. Ja, man hofft, man wird nicht getüpft. Aber es stimmt, es gibt häufig tatsächlich keine echte Alternative. Viele Adultis, die man prüft, erweisen sich als Ski-Alternativen. Leider. Das ist aus meiner Sicht auch ein Problem, dass viele Anbieter in Europa auf das setzen. Sie sagen, sie seien in Europa und vergessen leider die Funktionalität. Die ist für Kundinnen und Kunden am Schluss doch am wichtigsten. Gehen wir noch mal zurück auf die Praxis. Vielleicht kannst du noch aus dem Nähkästchen plaudern. Was begegnet dir an gängigen Problemen, an gängigen Missverständnissen, wo du dann sagst, was ist da los?
Maria Winkler: Also in der Beratung oder In der Funktion betreffend Datenschutzberater,
Martin Steiger: Beraterin, meinst du? Vor allem in dieser Funktion, aber vielleicht auch sonst. Vielleicht auch beim VUD. Das sind ja alles tolle Unternehmen mit ganz vielen Datenschutzressourcen. Aber dort haben die einen oder vielleicht die anderen auch noch Schwachpunkte?
Maria Winkler: Beim VAUDE ist es sicher so, dass das Schöne ist, dass wir ganz viele Experten untereinander sind, wo du dann siehst, dass alle mit dem selben Trebel zu kämpfen haben. Und dass niemand allwissend ist und alle sich beühen, die korrekten und gangbaren Lösungswege vorzuschlagen. Also das ist eigentlich wirklich eine sehr, sehr gute Möglichkeit, sich auszutauschen. Generell vielleicht, wenn du fragst nach so gängigen Missverständnissen, was jetzt vielleicht auch ein wenig zurückführend betreffend der Datenschutzberater ist, dann erlebe ich schon häufig, dass die Unternehmen wirklich meinen, wenn sie da jetzt jemanden bezeichnen, da kaufen sie sich praktisch jemanden, der dann bestraft wird, wenn es nicht gut geht. Und sie dann relativ vertäuscht sind, wenn man ihnen sagt, das ist eigentlich genau die Person, die nicht strafbar werden sollte, wenn man es richtig aufsetzt und richtig implementiert. Es ist schon tatsächlich, manche meinen, sie müssten so jemanden haben, und
Martin Steiger: das sei die Person, die verantwortlich ist. «Kauf» ist ein gutes Stichwort. Wenn man ein bisschen googlet, findet man in Deutschland Angebote für externe Datenschutzberater, die reichen für kleinere Unternehmen, so im Bereich 150 bis 250 Euro pauschal pro Monat. Maria, ich frage ganz offen, kommt man dich für 250 Euro pro Monat als externe Datenschutzberaterin
Maria Winkler: über? Nein. Ganz sicher nicht. Das wäre der Mondstrahl für ganz viele. Ich verstehe es auch. Ich habe sehr viel Verständnis dafür, dass das jetzt zusätzlich zu all den anderen Themen, die die Unternehmen abzudecken haben, was jetzt nicht etwas ist, worauf sie auch genug gewartet haben. Und auch diese Hoffnung, diese Dienstleistung möglichst billig einkaufen zu können. Aber um das wirklich gut abdecken zu können, braucht es Zeit. Und wie du selber weisst, bedeutet Zeit auch Geld, wenn man sich engagiert. Und für 250 Euro im Monat wird man das nicht umsetzen können.
Martin Steiger: Ja, das tunkt mir offensichtlich. Wichtig tunkt mir auch noch, es geht nicht nur primär um die Zeit. Ich sage immer, die Zeit ist eine Hilfsgrösse, um abzurechnen, sondern letztlich geht es ja auch, wenn ich dich zum Beispiel beauftrage als Unternehmer, Maria, dass ich die Hoffnung habe, dein Fachwissen, deine Erfahrung mitzunehmen. In dem Zeitfeister, wo ich dich vielleicht dafür zahle, wenn wir nicht ein paar Schale vereinbaren. Aber das geht, finde ich, sehr gerne vergessen. Was auch fast gemein sein kann, weil je nachdem, wirst du für zu viel Erfahrung, zu viel Effizienz in dieser Zeit überbringst, fast bestraft, kommerziell.
Maria Winkler: Genau so ist es, ja. Das ist eine spannende Geschichte, dass auch manche das realisieren, dass der Stubensatz nicht zwingend etwas damit zu tun hat, welches Resultat man erhält in welcher Zeit.
Martin Steiger: Und die, die es nicht verstehen, müssen es vielleicht erklären. Maria, zum Schluss noch eine Frage an dich über jemanden, der auch Datenschutzbeauftragter ist und heisst, nämlich der eigenes Datenschutz- und Öffentlichkeitsbeauftragte, EDEP. Ich halte in Kürze ein Referat über das Thema, was wir vom EDEP mit dem neuen Datenschutzgesetz erwarten dürfen. Ich versuche jetzt die Gelegenheit zu nutzen und von dir Input mitzunehmen. Was würdest du aus Sicht der Verantwortlichen, vor allem der Unternehmen, vom E-Dip und dem neuen Datenschutzgesetz erwarten? Er kommt ja doch viele neue Möglichkeiten über.
Maria Winkler: Also, was würde ich erwarten? Erwarten und Wünschen Liegt natürlich sehr nahe einander. Ich würde mir von ihm eigentlich wünschen, dass er mehr, so wie andere Datenschutzaufsichtsbehörden, auch Leitlinien, Hilfsmittel ein wenig zur Verfügung stellt. Es gibt da wirklich sehr viele Unternehmen, die sich nicht beraten lassen, vielleicht auch, weil sie die Ressourcen nicht haben. Die wären sehr angewiesen darauf, dass man ihnen einfachere Hilfsmittel zur Verfügung stellt oder klare Aussagen zu gewissen Themen macht. Das wäre hilfreich.
Martin Steiger: In diesem Zusammenhang finde ich übrigens Liechtenstein immer ein gutes Vorbild. Es ist eine sehr kleine Behörde, aber wenn man auf die Website schaut, findet man unglaublich viele Informationen. Das andere, was ich immer bedenken kann, ist, auch beim E-Dip nach dem heutigen Gesetz, er orientiert sich am Gesetz, aber geht häufig darüber aus. Ein Thema, das mir immer wieder begegnet, ist die Einwilligung. Wir haben in der Schweiz bei der DSG das Thema der Einwilligung eigentlich nicht. Das ist die grosse Ausnahme. Wenn man dem, was er heute schon veröffentlicht hat, folgt, sieht man häufig, dass er eine Einwilligung fordert, die nicht erforderlich ist. Oder halt auch, dass Ja, das andere, die Unklarheit. Edep heute lässt ja vieles offen, auch beim Datenexport. Es gibt immer Chancen, Risiken und das und das und das andere. Rechtlich gesehen ist es ja auch Spielraum.
Maria Winkler: Ja, also man wünscht sich von einer Aufsichtsbehörde eigentlich immer, dass sie weniger die Aufsicht wahrnimmt, sondern mehr so auf diesen Beratungs… Eigentlich diesen Beratungsauftrag auch in die Hand nehmen und das verwirklichen. Ich weiß zwar selbstverständlich, dass die Ressourcen endlich sind und dass, wenn sie plötzlich alle beraten würden, sie sehr viele Juristen noch anstellen müssten. Aber der Teil sollte nicht verloren gehen für dich.
Martin Steiger: Vielen Dank für den Wunschzettel. Man lässt sich beraten vom E-Dub, und Wenn man beratungsresistent ist, gibt es eine Verfügung. Genau. Vielen Dank, Maria, dass du dir Zeit genommen hast für den heutigen Austausch. Es hat mir grossen Spass gemacht. Wir machen die Aufnahmen remote, für die, die das nicht wissen. Da sieht man sich auch. Wir haben uns sehr viel lachend Happy angeschaut. Das ist ein gutes Zeichen.
Maria Winkler: Ganz herzlichen Dank. Ich fand es sehr angenehm. Ich hoffe, wir konnten spannende Informationen weitergeben. Angenehm empfunden und ich hoffe, wir haben doch spannende Informationen weitergeben können.
Bild: Microsoft Bing Image Creator.