Compliance-Anforderungen, sich verändernde Datenschutzgesetze und neue Arbeitsformen wie Homeoffice: Die Arbeit von Nicolas Passadelis, dem obersten Datenschützer bei Swisscom, hält viele Herausforderungen bereit. Im Interview gewährt er Einblick.
Text: Andreas Heer, Bilder: Swisscom
30. September 2022
Nicolas Passadelis: Die Komplexität im Bereich der Telekommunikation und der IT hat in den letzten Jahren weiter zugenommen. Gleichzeitig werden die gesetzlichen und regulatorischen Anforderungen an die Verarbeitung von Daten stetig verschärft. In diesem Umfeld ist die Umsetzung von Anforderungen an die Datenverarbeitung durchaus herausfordernd.
Swisscom betreibt ein Managementsystem für den Daten- und Geheimhaltungsschutz und natürlich für die Datensicherheit. Wir wenden dabei international anerkannte Standards an wie zum Beispiel verschiedene ISO-Normen. Das Managementsystem ist ein integrierter Bestandteil des Compliance-Managementsystems, das wir konzernweit unterhalten. Zusätzlich haben wir ein Datenethik-Framework aufgebaut, das uns hilft, ethische Fragestellungen im Zusammenhang mit der Verarbeitung von Daten respektive der Nutzung von neuen Technologien zu klären.
Die Daten, die Swisscom jeden Tag verarbeitet, unterliegen vielen verschiedenen rechtlichen Anforderungen. Hinzu kommt, dass die mit der Datenverarbeitung verbundenen Risiken sehr unterschiedlich ausfallen. Die Herausforderung ist, all diesen Anforderungen gerecht zu werden, ohne dabei die technischen und operativen Prozesse zu behindern. Wir haben deshalb ein umfangreiches Portfolio von technischen, operationellen und personellen Massnahmen aufgebaut, das uns hilft, im Einzelfall die bestmögliche Lösung zu wählen.
Infrastrukturen und Daten müssen grundsätzlich den bestmöglichen Schutz erhalten. Kompromisse lassen sich gegenüber unseren Kund*innen nicht rechtfertigen. Sie vertrauen uns ihre Daten an und erwarten, dass diese Daten bei uns stets gut geschützt sind. Es ist aber klar, dass gewisse Daten und Infrastrukturen einen noch besseren Schutz brauchen. Diesem Bedürfnis müssen wir natürlich ebenfalls gerecht werden.
Daten müssen immer gut geschützt sein. Ob sie durch uns oder durch einen unserer Partner verarbeitet werden, macht keinen Unterschied. Da die Kundenbeziehung meistens über uns läuft, sind wir auch in der Verantwortung, für den Schutz der Daten durch unsere Partner zu sorgen. Partner, mit denen wir zusammenarbeiten, müssen deshalb bereit sein, unsere Anforderungen zu übernehmen.
Der Mensch spielt im Moment noch eine sehr grosse Rolle. Da praktisch alle von uns täglich mit Daten arbeiten, müssen wir lernen, wie man mit Daten stets sorgfältig umgeht. Das bedeutet, dass wir die Daten, mit denen wir arbeiten, ebenso gut kennen müssen wie die technischen Mittel, die wir dazu brauchen. Zudem müssen wir ein Gefühl für die Risiken haben, die bei einer bestimmten Datenverarbeitung bestehen. Das kann im Einzelfall eine Herausforderung sein. Eine Alternative gibt es aber nicht. Im Grunde genommen müssen wir mit Daten umgehen wie mit Geld. Da passieren uns auch kaum mehr Fehler.
Es spielt grundsätzlich keine Rolle, unter welchen Umständen Daten verarbeitet werden. Der Schutz muss in jedem Fall gewährleistet sein. Tatsache ist aber auch, dass neue Arbeitsformen im Vergleich zur klassischen Arbeit im Büro ein unterschiedliches Risikoprofil aufweisen. Dieses Risikoprofil erfordert andere Massnahmen. So kann es zum Beispiel notwendig sein, die Verarbeitung bestimmter Daten in weniger vertrauenswürdigen Ländern technisch einzuschränken oder sogar zu unterbinden.
Wir haben zur Umsetzung des neuen Datenschutzgesetzes schon vor zwei Jahren ein umfassendes Programm aufgesetzt und werden am 1. September 2023 bereit sein. Grössere Anpassungen unseres Managementsystems braucht es aber nicht. Es gab ja schon vorher ein wirksames Datenschutzgesetz. Ausserdem untersteht Swisscom in einigen Bereichen der EU-Datenschutz-Grundverordnung (DSGVO). Viele Anforderungen ergeben sich zudem aus unseren Verträgen. Die Revision ist aber ein guter Aufhänger, um unser Managementsystem zu überprüfen und punktuell zu optimieren.