«Wir müssen mit Daten umgehen wie mit Geld»

1. Wo liegen Ihre Herausforderungen in der täglichen Arbeit?

Nicolas Passadelis: Die Komplexität im Bereich der Telekommunikation und der IT hat in den letzten Jahren weiter zugenommen. Gleichzeitig werden die gesetzlichen und regulatorischen Anforderungen an die Verarbeitung von Daten stetig verschärft. In diesem Umfeld ist die Umsetzung von Anforderungen an die Datenverarbeitung durchaus herausfordernd.

2. Was sind die Compliance-Grundlagen bei Swisscom?

Swisscom betreibt ein Managementsystem für den Daten- und Geheimhaltungsschutz und natürlich für die Datensicherheit. Wir wenden dabei international anerkannte Standards an wie zum Beispiel verschiedene ISO-Normen. Das Managementsystem ist ein integrierter Bestandteil des Compliance-Managementsystems, das wir konzernweit unterhalten. Zusätzlich haben wir ein Datenethik-Framework aufgebaut, das uns hilft, ethische Fragestellungen im Zusammenhang mit der Verarbeitung von Daten respektive der Nutzung von neuen Technologien zu klären.

3. Wo liegen die Datenschutz-Herausforderungen für Swisscom? Und wie gehen Sie sie an? 

Die Daten, die Swisscom jeden Tag verarbeitet, unterliegen vielen verschiedenen rechtlichen Anforderungen. Hinzu kommt, dass die mit der Datenverarbeitung verbundenen Risiken sehr unterschiedlich ausfallen. Die Herausforderung ist, all diesen Anforderungen gerecht zu werden, ohne dabei die technischen und operativen Prozesse zu behindern. Wir haben deshalb ein umfangreiches Portfolio von technischen, operationellen und personellen Massnahmen aufgebaut, das uns hilft, im Einzelfall die bestmögliche Lösung zu wählen. 

4. Welchen Einfluss haben die Einstufung als «kritische Infrastruktur» respektive die rechtlichen Vorgaben für Telekommunikation auf Compliance- und Datenschutz-Anforderungen?

Infrastrukturen und Daten müssen grundsätzlich den bestmöglichen Schutz erhalten. Kompromisse lassen sich gegenüber unseren Kund*innen nicht rechtfertigen. Sie vertrauen uns ihre Daten an und erwarten, dass diese Daten bei uns stets gut geschützt sind. Es ist aber klar, dass gewisse Daten und Infrastrukturen einen noch besseren Schutz brauchen. Diesem Bedürfnis müssen wir natürlich ebenfalls gerecht werden. 

5. Was bedeuten unsere Compliance-Anforderungen für unsere Partner, wie Lieferanten oder IT-Partner für KMU?

Daten müssen immer gut geschützt sein. Ob sie durch uns oder durch einen unserer Partner verarbeitet werden, macht keinen Unterschied. Da die Kundenbeziehung meistens über uns läuft, sind wir auch in der Verantwortung, für den Schutz der Daten durch unsere Partner zu sorgen. Partner, mit denen wir zusammenarbeiten, müssen deshalb bereit sein, unsere Anforderungen zu übernehmen.

6. Welche Rolle spielt der Faktor Mensch im Datenschutz?

Der Mensch spielt im Moment noch eine sehr grosse Rolle. Da praktisch alle von uns täglich mit Daten arbeiten, müssen wir lernen, wie man mit Daten stets sorgfältig umgeht. Das bedeutet, dass wir die Daten, mit denen wir arbeiten, ebenso gut kennen müssen wie die technischen Mittel, die wir dazu brauchen. Zudem müssen wir ein Gefühl für die Risiken haben, die bei einer bestimmten Datenverarbeitung bestehen. Das kann im Einzelfall eine Herausforderung sein. Eine Alternative gibt es aber nicht. Im Grunde genommen müssen wir mit Daten umgehen wie mit Geld. Da passieren uns auch kaum mehr Fehler. 

7. Welchen Einfluss hat «New Work» mit Arbeitsformen wie Homeoffice auf Compliance und Datenschutz?

Es spielt grundsätzlich keine Rolle, unter welchen Umständen Daten verarbeitet werden. Der Schutz muss in jedem Fall gewährleistet sein. Tatsache ist aber auch, dass neue Arbeitsformen im Vergleich zur klassischen Arbeit im Büro ein unterschiedliches Risikoprofil aufweisen. Dieses Risikoprofil erfordert andere Massnahmen. So kann es zum Beispiel notwendig sein, die Verarbeitung bestimmter Daten in weniger vertrauenswürdigen Ländern technisch einzuschränken oder sogar zu unterbinden. 

8. Was bedeutet für Swisscom das neue Schweizer Datenschutzgesetz, das am 1. September 2023 in Kraft tritt? 

Wir haben zur Umsetzung des neuen Datenschutzgesetzes schon vor zwei Jahren ein umfassendes Programm aufgesetzt und werden am 1. September 2023 bereit sein. Grössere Anpassungen unseres Managementsystems braucht es aber nicht. Es gab ja schon vorher ein wirksames Datenschutzgesetz. Ausserdem untersteht Swisscom in einigen Bereichen der EU-Datenschutz-Grundverordnung (DSGVO). Viele Anforderungen ergeben sich zudem aus unseren Verträgen. Die Revision ist aber ein guter Aufhänger, um unser Managementsystem zu überprüfen und punktuell zu optimieren.