Seit die Europäische Union 2015 klare Signale sendete, dass ein neues, strengeres Datenschutzgesetz in Aussicht ist, mussten alle Unternehmen, die in irgendeiner Form Personendaten von EU-Bürgern verarbeiten, zwingend reagieren. Auch beim Schweizer Energiedienstleister
Alpiq wurde die Verordnung schon früh zum Thema, und so entschied das Executive Board Ende 2015, dass die Schaffung der Stelle des internen Datenschützers die Voraussetzung für eine saubere Umsetzung der neuen Datenschutznormen ist. Seit dem Frühjahr 2017 besetzt Friedrich Bohl diese Stelle und hält somit den Titel des Group Data Privacy Officers, der dafür verantwortlich ist, Alpiq auf die DSGVO vorzubereiten und den Datenschutz über die gesamte Gruppe zu orchestrieren. Im Gespräch mit "Swiss IT Magazine" berichtet er vom laufenden Prozess, den Herausforderungen und den Plänen, die das Unternehmen im Bereich Datenschutz verfolgt und umsetzt.
Die Organisationsstruktur ist zentral für das Vorhaben. (Quelle: Alpiq)
'Machen Sie Datenschutz zur Chefsache.' Friedrich Bohl, Group Data Privacy Officer, Alpiq (Quelle: Alpiq)
Eine Herausforderung für einen Veteranen
Bohl, der seinen Erfahrungsschatz im Bereich Datenschutz vor allem während seines langjährigen Engagements bei Robert Bosch und danach beim Datenschutzbeauftragten des Kantons Solothurn erweitern konnte, ist offensichtlich begeistert von dieser Aufgabe. "Mit dieser Verantwortung für die ganze Gruppe im Hinblick auf die DSGVO kann man einiges bewegen. Obwohl ich erst neun Monate beim Kanton arbeitete, war es einfach eine Challenge, bei der ich nur schwer nein sagen konnte", gibt er zu Protokoll. Er scheint die passende Challenge gefunden zu haben.
Aber warum reagierte die Firmenführung mit so konsequenten Massnahmen? Als Schweizer Unternehmen ist
Alpiq in erster Instanz zwar nicht von der Europäischen Gesetzgebung betroffen, wenn man aber die starke Position im internationalen Energiehandel oder die europäische Stromproduktion ansieht sowie die Anzahl und Streuung der Tochterfirmen betrachtet, welche die Gruppe unter sich vereint, wird schnell klar, dass Alpiq in so gut wie allen EU-Staaten vertreten ist. Aber selbst dann – warum ist ein klassisches B2B-Unternehmen in Sachen Personendatenschutz so vorsichtig? "Digitalisierung zieht natürlich nicht an uns vorbei", argumentiert Bohl. Alpiq habe diesen Wachstumsbereich frühzeitig gezielt ausgebaut und 2017 im Accenture-Digitalisierungsranking Platz 1 belegt.
Aber auch bei gewissen Produkten ist konsequenter Datenschutz ein absolutes Muss. So lanciert das Unternehmen aktuell beispielsweise ein Pilotprojekt für Elektro-Mobilität in Deutschland, bei dem sich Kunden über eine Web-Konsole ein Leasing-Paket inklusive Fahrzeug, Strom und zusätzlichen Dienstleistungen zusammenstellen können. Ein weiteres Thema sind digitale Verträge mit Endkunden, bei denen die Identitätsprüfung online abgewickelt wird. Auch hier findet eine grosse Verarbeitung von Personendaten statt. Ein ausgezeichnetes Beispiel für Privacy by Design, wo die Frage nach dem Datenschutz schon als Teil der Entwicklung angesehen wird.
Planung ist die Mutter der Datenkiste
"Wenn man vor dem sehr umfangreichen Paket DSGVO steht, ist es nicht ganz einfach, das Wichtige von Unwichtigem zu trennen", stellt Bohl klar und erläutert das strukturelle Vorgehen. So lag der Fokus auf drei Basisfragen, die
Alpiq sich stellte: Das Was, das Wo und das Wie. Als erstes wurde also geklärt, was die Anforderungen an das Unternehmen im Rahmen der DSGVO sind. Das Ergebnis definierte die Schwerpunkte des Projektes auf der Planungsebene.
Für die Beantwortung der zweiten Frage "Wo ist der Datenschutz relevant?" wurden die Risiken jedes Tochterbetriebes analysiert und in eine von drei Risikostufen eingeteilt. Diese Analyse dient im Projekt als Ausgangslage dafür, welche Betriebe DSGVO-ready gemacht werden müssen.
Die abschliessende Frage zielt darauf ab, die Art der Massnahmenimplementierung zu definieren, also zu klären, wie sich die Umsetzung gestalten wird. Dies beantwortet Alpiq mit einem einleuchtenden Hierarchiekonzept. Auf GroupEbene entstand das Core Team, welches aus Experten unterschiedlicher Disziplinen besteht. Mit dem Group-Projekt konnte verhindert werden, dass jeder Tochterbetrieb den Datenschutz für sich interpretieren muss und mehrfache Ausgaben für Berater und Juristen entstehen. Auf lokaler Ebene wurden in allen betroffenen Betrieben sogenannte Local Privacy Partner ernannt, die jeweils für den Datenschutz innerhalb ihrer Rechtseinheit verantwortlich sind. "Das sind die Datenschutzverantwortlichen der ersten Stunde, sie erhalten von uns intensive Schulungen, Vorlagen und Hilfestellungen und müssen dafür ihrerseits unsere Vorgaben lokal implementieren", erläutert Bohl. "So sind wir eng verzahnt mit den lokalen Einheiten und erhalten direktes Feedback, wenn wir nicht mehr weiterkommen."
Die Datenkrake an die kurze Leine nehmen
Angesprochen auf die Priorisierung in einem solchen Dschungel von Auflagen und Massnahmen, nennt der Alpiq-Datenschutzbeauftragte als ersten Punkt die Inventarisierung der Daten im Unternehmen. "Wenn man das Projekt mit der Inventarisierung beginnt, weiss man danach, wo überhaupt Handlungsbedarf besteht", betont er und pocht auf den Mehrwert von transparentem Datenschutz. "Wir generieren mit dem transparenten Datenschutz Added Value nach aussen, zum Kunden, aber es gibt auch Added Value nach innen. Durch die gruppenweite Analyse konnten wir viele Einblicke in laufende Prozesse gewinnen und innerhalb der Gruppe mehr Klarheit erzielen. Die Dateninventarisierung ist harte Arbeit, aber es zahlt sich aus." Wer aus einer Pflicht einen Nutzen für sich ziehen kann, kommt weiter, wie es scheint.
Als weitere Priorität nennt Bohl den öffentlichen Auftritt des Unternehmens, also die Anpassung der Websites sowie der Datenschutz-Policies und allfällige Änderungen an Verträgen mit Partnern, Third Parties und Mitarbeitern. Auch alle Prozesse müssen bereit sein, wenn es zum Ernstfall kommen sollte. "Wir wollen vorbereitet sein, wenn es eine Auskunftsanfrage oder eine Data-Breach-Meldung gibt und schon heute wissen, wie wir damit umgehen werden."
Was tun, wenn es ernst wird?
Der Aussicht, dass Löschungs- oder Auskunftsbegehren bei
Alpiq eingehen sollten, steht das Unternehmen vorbereitet gegenüber, denn dank der Inventarisierung sind die Daten übersichtlich zugänglich. "Wir bieten die obligatorischen Ansprechpunkte für Konsumenten", sagt Bohl und ergänzt, dass es noch weitere verantwortliche Instanzen wie etwa die Local Privacy Partner als eine interne Schlichtungsstelle gibt. Eine grössere Herausforderung sieht Bohl in den Prozessen. "Ein Auskunftsbegehren ist einfach, da können und werden wir nach der Identifikation der betroffenen Personen relativ schnell liefern. Ein Löschungsbegehren werden wir aber unter Umständen nicht sofort oder auch gar nicht befriedigen können, da wir beispielsweise kaufmännische Aufbewahrungspflichten befolgen müssen." Dies sind die Punkte, in denen sich der Datenschutz mit der bestehenden Gesetzgebung schneidet, in diesem konkreten Fall schreibt das OR gewisse Fristen für die Aufbewahrung von Daten vor, die eingehalten werden müssen. In solchen Situationen ist eine Löschung der Daten vorläufig ausgeschlossen.
Zur Timeline und der Umsetzung des Projektes äussert sich Bohl positiv: "Bisher sind uns keine nennenswerten Blocker oder Stolpersteine bekannt. Wir berichten zweiwöchentlich an das Executive Board und sind nach dem heutigen Stand auf der Timeline." Das Projekt ist also auf Kurs, und auch inhaltlich zeigt sich Bohl selbstbewusst. "Dank der starken Vorarbeit kann man uns nicht vorwerfen, dass wir uns um einzelne Punkte nicht gekümmert hätten oder dass wir noch Überraschungen erleben werden", versichert er. "Ende Mai sind wir für die DSGVO bereit."
Datenschutz kommt von innen
Schon heute wird ein Folgeprojekt geplant, im Rahmen dessen vor allem zielgruppenorientierte Trainings für Mitarbeiter durchgeführt werden sollen, um den Datenschutz konsequent umzusetzen. Der Data Privacy Officer von
Alpiq ergänzt: "Das, was wir hier erarbeiten, kann nur dann funktionieren, wenn der Datenschutz den Weg in die Köpfe der Menschen findet. Denn solange es nicht von innen gelebt wird, können wir trotz guter Vorbereitung scheitern." Als zweites Instrument des Folgeprojekts dienen Assessments in den lokalen Betriebseinheiten, in denen man untersucht, wie die DSGVO-Vorgaben umgesetzt wurden und ob es unter Umständen Fehlinterpretationen gab. Bohl sieht den Nutzen der Assessments vor allem darin, weiter zu lernen und den Datenschutz in der Gruppe noch besser zu justieren.
Besonderes Augenmerk richtet er auch auf die Fehlannahme einiger Beteiligten, dass man den Datenschutz externen Instanzen überlassen solle. "Externe können vielleicht die Initialisierung übernehmen, aber den Datenschutz operativ leben, das können wir nur intern, das ist unsere Hausaufgabe als Unternehmen."
Ein übergreifendes Thema, welches Bohl im Verlauf des Gespräches mehrfach anspricht, ist der Mehrwert, den das Projekt liefert: "Alpiq sieht den Datenschutz nicht als eine Bedrohung an, sondern als Chance, die wir in unsere digitalisierten Produkte integrieren können." Der zusätzliche Nutzen für Kunden, Partner und das Unternehmen selbst, vor allem durch den Vertrauensbeweis durch transparenten Datenschutz, steht für ihn im Zentrum. Sowohl für Kunden, aber auch für Mitarbeiter, kann dies ein schlagkräftiges Argument sein, um das Vertrauen zu stärken.
Mögliche Diskrepanzen zwischen den Interessen der Firmenführung und denen des Datenschützers als Kontrollorgan sieht man bei
Alpiq nicht als Problem. "Bei den bisherigen Diskussionen gab es keinen Punkt, auch nicht beim Middle Management, an dem wir feststellen mussten, dass uns der Datenschutz das Business verunmöglichen würde", versichert er. "Wir konnten immer eine Lösung finden, um die Belange des Unternehmens zu berücksichtigen wie auch die Prinzipien des Datenschutzes einzuhalten, das lässt der Spielraum in der Verordnung durchaus zu. Datenschutz ist kein Blocker für das Geschäft – er ergänzt es. Die praktische Anwendung über akademische Lösungen zu stellen, ist wichtig; das muss gut durchdacht sein."
Das Prinzip Alpiq ist skalierbar
Obwohl er seine Erfahrungen hauptsächlich in Grossunternehmen gesammelt hat, antwortet Bohl auf die Frage, wie er ein KMU bezüglich DSGVO beraten würde, mit einer Kurzfassung der Alpiq-Strategie. "Ich würde dieselben Fragen stellen, wie wir es hier getan habe. Ich würde versuchen, das 'Was, wo und wie?' zu beantworten und dann entsprechend priorisieren." Zu externen Hilfestellungen stellt er aber klar: "Wichtiges von Unwichtigem zu trennen, das kann auch ein externer Experte machen. Das Ganze aber endgültig umzusetzen, in die Prozesse zu bringen und letztlich zu funktionieren, wie im Beispiel der Löschungsbegehren professionell abzuwickeln, das muss man schon selbst tun." Externe könnten also klar eine grosse Hilfe sein, aber für einen grossen Teil sollten Unternehmen selbst die Verantwortung übernehmen. Mit seinem letzten Rat spricht er dann auch direkt die oberste Etage an: "Machen Sie Datenschutz zur Chefsache, auch wenn es im ersten Moment so aussieht, als ob man damit kein Geld verdienen kann, und beziehen Sie die Überlegung mit ein, dass Datenschutz einen Mehrwert mit sich bringt und bereits von einigen Kunden nachgefragt wird, besonders im Bereich der Digitalisierung."
(win)