Mitarbeitende verdienen, dass wir ­Datenschutz können

Im ICT-Management und bei der Umsetzung von Projekten ging es von jeher um die Abwägung von Risiken und Chancen. Die vollständige Kontrolle, die absolute Sicherheit, dass etwas jetzt und auch künftig sicher ist, ist gerade heutzutage in der ICT schlicht unmöglich und kann auch kein Ziel sein. Dass der Datenschutz die Position vertritt, dass die Daten grundsätzlich sicher sein müssen, ist zwar verständlich. Deshalb aber die Flinte ins Korn zu werfen, wäre ein fataler Rückschluss. Bevor eine öffentliche Verwaltung in die Cloud wechselt, gilt es jedoch, ein paar Punkte zu beachten.

Mitarbeiterzentrierung – wieso Cloud?

Vor der Umsetzung des Projekts ist es lohnenswert, sich mit allen involvierten Parteien über die künftige Ausrichtung auszutauschen. Diesbezüglich bedarf es interner Analysen, wie die Mitarbeitenden jetzt arbeiten möchten, sowie den Beizug der Expertise, wie Mitarbeitende künftig arbeiten könnten. Die ICT-Lösung darf kein Top-down-Entscheid ohne Einbezug der Basis sein. Das finale Produkt ist nur so gut, wie die User auch letztlich damit arbeiten. Es bringt nichts, einen Ferrari in der Garage zu haben, wenn niemand den Schlüssel dazu hat. Die Erfahrung zeigt, dass die Cloud sowohl für Angestellte als auch für Kundinnen und Kunden erhebliche Vorteile bringt.

Der Unterschied zu On-Prem

Die Diskussion um Datenschutz in der Cloud wird oft zu einseitig geführt und der Fokus zu sehr auf den legalen Datenzugriff gesetzt. Oft wird die «Cloud» dabei in einem negativen Licht betrachtet (Cloud Act). Umgekehrt gilt es aus Sicht des Datenschutzes teilweise im Kontext des legalen Datenzugriffs als legitim, wenn Daten bei einer Schweizer Einzelfirma in deren Keller gespeichert werden.

Das zentrale Anliegen sollte sein, die Daten insbesondere auch vor illegalen Zugriffen zu schützen, denn die Angriffe der Vergangenheit zeigen insbesondere darin eine erhebliche Gefahr. Und bei einem Cloud-Anbieter setzt sich eine deutlich höhere Anzahl Personen für den Schutz vor immer komplexeren Cyberangriffen ein.

Anforderungen, Massnahmen und Sensibilisierung

Die Anforderungen, die seitens des Datenschutzes beschrieben werden, müssen natürlich erledigt sein. So muss etwa eine ausgereifte, ausführliche und umfassende Risikoanalyse erfolgen. Diese ermöglicht dem Management, kompetent mit den Risiken umzugehen. Doch der Datenschutz muss auch in der Praxis umgesetzt werden. Hier braucht es ein transparentes Berechtigungsmodell, klare Zuständigkeiten und vertragliche Regelungen mit den involvierten Partnern. Insbesondere im Umgang mit besonders schützenswerten Daten bedarf es eines sensiblen Aufbaus der Datenstrukturierung und Zugriffsberechtigungen.

Doch selbst damit können Daten per E-Mail verschickt oder Fotos von sensiblen Daten via Whatsapp geteilt werden. Eine vollständige Sicherheit gibt es nie. Wichtig ist darum,  laufend die Mitarbeitenden zu sensibilisieren und zu befähigen, kompetent und sicher damit umzugehen. Nicht im Sinne einer Kontrolle, sondern dass sie sich auch gerne mit dieser heiklen Thematik beschäftigen. Unser Credo lautet, dass wir mehr Zeit und finanzielle Ressourcen in die Befähigung der Mitarbeitenden investieren als in die technische Lösung.

Wenn diese Kriterien berücksichtigt werden, lassen sich die Weichen für ein erfolgreiches Cloud-Projekt mit Fokus auf den Datenschutz stellen. Wir gewährleisten so einen verantwortungsvollen Umgang mit (sensiblen) Daten und schaffen gleichzeitig eine Arbeitsumgebung für die Mitarbeitenden und Kunden, die heutzutage nicht nur gewünscht wird, sondern die auch Optimierungen und zusätzliche Effizienz bei den Prozessen zulässt.