Den Datenschutz intern oder extern bewerkstelligen?
Die Datenschutzverantwortung intern oder extern bewerkstelligen?
Wir übernehmen für unsere Kunden die Rolle des externen Datenschutzkoordinatoren und Datenschutzverantwortlichen
Effektiv und kostensparend durch Nutzung der marktführenden und von uns ständig weiterentwickelten Schweizer Informationssicherheitsmanagementlösung (ISMS) SIDAS. Mit den folgenden Informationen können Sie herausfinden, was für Ihre Institution die passende Lösung ist.
Ausgangslage
Das Schweizer Gesundheitswesen verändert sich fortlaufend – geprägt von zunehmender Komplexität, wachsenden gesetzlichen Vorgaben und einer steigenden Verantwortung für Institutionen und deren Mitarbeitende.
Regulatorien wie das neue Datenschutzgesetz (DSG), kantonale Bestimmungen oder das Informationssicherheitsgesetz (ISG) erhöhen die Anforderungen an Fachwissen und Umsetzungsverantwortung deutlich.
Selbst moderne, digitale Datenschutzlösungen wie unser SIDAS können den internen personellen Aufwand nicht vollständig kompensieren. Gleichzeitig verschärfen aktuelle Herausforderungen wie Fachkräftemangel und hohe Personalfluktuation den Druck auf bestehende Ressourcen weiter.
Vor diesem Hintergrund stellt sich für Institutionen des Gesundheitswesens die Frage, ob es sinnvoll ist, den Datenschutz ganz oder teilweise auszulagern.
Mit der Erfahrung, wie die Sirius Consult AG Datenschutz und Datensicherheit in über 600 Institutionen mitgestaltet, begleitet und immer wieder weiterdenkt, beleuchten wir im Folgenden relevante Aspekte interner und externer Datenschutzverantwortung.
Als besonders entscheidungsrelevante Aspekte sehen wir:
- Personelle Ressourcen
- Monetäre Ressourcen
- Technische Ressourcen (Datenschutzsoftware)
- Einbindung und Sensibilisierung der Mitarbeitenden
- Delegation der Verantwortung
Aspekte für die Entscheidungsfindung
Personelle Ressourcen
Der zentrale Aspekt bei der Entscheidung, ob Datenschutzaufgaben ausgelagert werden sollen, ist die Verfügbarkeit interner personeller Ressourcen. Idealerweise sollten die Aufgaben auf zwei Personen verteilt werden, um eine kontinuierliche Vertretung sicherzustellen. Die beteiligten Personen müssen nicht zwangsläufig Experten in den Bereichen Recht, IT und Organisation sein. Der Aufbau von Datenschutz-Know-how ist keineswegs ein unüberwindbares Hindernis. Viel wichtiger sind Kenntnisse der internen Abläufe, ein grundlegendes Verständnis der Systeme und Programme sowie die Fähigkeit, die Relevanz von Datenschutzfragen pragmatisch einordnen zu können. Idealerweise sind interne Datenschutzverantwortliche bereits länger bei der Institution tätig oder haben sich bei anderen Organisationen umfassendes Know-how zu den organisatorischen Abläufen der Branche aneignen können. Zudem sollte davon ausgegangen werden, dass diese Personen langfristig im Unternehmen bleiben. Auszubildende oder Hilfspersonal eignen sich hingegen nicht gut für den Aufbau und die langfristige Sicherung von Know-how innerhalb der Institution.
Monetäre Ressourcen
Die Auslagerung der Datenschutzverantwortung an externe Dienstleister kann kostspieliger als die interne Umsetzung der Datenschutzaufgaben sein. Dies liegt nicht nur am höheren Stundensatz externer Berater, sondern auch an dem zusätzlichen Koordinationsaufwand, den eine externe Person im Vergleich zu einer internen benötigt. Bei einer vollständigen Auslagerung aller Datenschutzaufgaben kann als grober Richtwert der Monatslohn einer qualifizierten Administrationskraft herangezogen werden.
Technische Ressourcen (Datenschutzsoftware)
Neben den finanziellen Aspekten ist auch der zeitliche Initialaufwand zu berücksichtigen, den jede neue externe Fachperson benötigt, um sich in das bestehende Datenschutzkonzept sowie die spezifischen Abläufe der Institution einzuarbeiten. Um diesen Aufwand bei einem allfälligen Wechsel möglichst gering zu halten, ist es ratsam, auf eine etablierte und professionelle Softwarelösung zur Datenschutzdokumentation zu setzen. Die zentrale Frage lautet: Macht der Einsatz unserer Datenschutzmanagement-Software SIDAS auch dann Sinn, wenn eine externe Beratung beauftragt wird? Unsere klare Antwort: Ja – unbedingt! Denn SIDAS reduziert den Aufwand spürbar – unabhängig davon, ob intern oder extern damit gearbeitet wird. Alle Daten, Vorlagen und Fortschritte bleiben zentral dokumentiert und institutionell verankert. So gehen bei einem Wechsel der Beratung weder Informationen verloren noch entsteht zusätzlicher Aufwand. Gleichzeitig verhindert SIDAS Format-Chaos, Medienbrüche, unnötige Schnittstellenverluste und teure Doppelarbeiten. Unser Angebot für Sie: ein umfassendes Gesamtpaket bestehend aus Software und unserer externen Datenschutzverantwortung. Gleichzeitig bleiben Sie flexibel – auch hybride Lösungen sind möglich, etwa durch die Nutzung von SIDAS in Kombination mit weiteren Fachpersonen Ihres Vertrauens.
Einbindung und Sensibilisierung der Mitarbeitenden
Eine der zentralen Aufgaben im Datenschutz ist die kontinuierliche Einbindung und Sensibilisierung der Mitarbeitenden – denn letztlich sind sie es, die täglich mit personenbezogenen Daten arbeiten, diese verarbeiten, weiterleiten und im direkten Kontakt mit Kunden, Klientinnen und Bewohnern stehen. Aus unserer Sicht gehört daher die Schulung und Sensibilisierung der Mitarbeitenden zwingend zu jedem Datenschutzprojekt – auch und gerade dann, wenn die Datenschutzverantwortung an externe Stellen ausgelagert wird. Das bestens bewährte Schulungskonzept von Sirius ist in unserem Dienstleistungspaket natürlich immer dabei.
Delegation der Verantwortung
Was gerne suggeriert wird ist, dass man jegliche Verantwortung los ist, wenn der Datenschutz in die Hand von externen Beratern gelegt wird. So einfach ist es jedoch leider nicht, geben die rechtlichen Bestimmungen doch klar Auskunft, wer in welchem Fall zur Verantwortung gezogen werden kann. Auch Reputationsschäden betreffen nicht nur den Dienstleister, sondern stets auch die Institution selbst. Dennoch: unsere durchdachte und kompetente externe Beratung hilft, Risiken zu minimieren – und zeigt Handlungsspielräume auf, bevor es kritisch wird.
Fazit
Bei der Entscheidung, ob die Datenschutzverantwortung ausgelagert werden soll oder nicht, steht eine Frage an erster Stelle: Stehen überhaupt ausreichende personelle Ressourcen intern zur Verfügung? Ist dies nicht der Fall, folgt unmittelbar die nächste Überlegung: Ist eine externe Vergabe finanziell realisierbar? Sollten beide Optionen auf Hürden stoßen, kann eine Hybridlösung eine sinnvolle Alternative darstellen – bei der die Aufgaben sinnvoll zwischen internen und externen Ressourcen aufgeteilt werden.
Unabhängig von der gewählten Lösung lässt sich durch den Einsatz unserer Datenschutzsoftware SIDAS in jedem Fall ein spürbarer Aufwandsvorteil erzielen – sowohl bei einmaligen als auch bei laufenden Datenschutzaufgaben. Das gilt insbesondere auch für den nahtlosen Übergang von Verantwortlichkeiten, etwa bei einem Wechsel innerhalb des Teams oder zu einem externen Berater. Ein Aspekt darf dabei nie vernachlässigt werden: Die Schulung und Sensibilisierung der Mitarbeitenden ist – und bleibt – ein zentraler Erfolgsfaktor, um Datenschutzkonformität in der Organisation nachhaltig sicherzustellen.
Und nicht zuletzt gilt: Die Verantwortung für den Datenschutz lässt sich nicht vollständig auslagern. Selbst bei externer Unterstützung liegt die letztendliche Verantwortung immer bei der Organisation selbst.
Unser Angebot
Wir bieten unseren Kunden punktuelle Datenschutzberatung und -projektbegleitung zu individuellen Themen oder wir übernehmen die Rolle des Datenschutzverantwortlichen/-koordinatoren, wenn Sie das Thema Datenschutz auslagern möchten.
Haben Sie Fragen zu dem Thema?
Daniel Patsch beantwortet gerne Ihre Fragen.
Tel.: +423 233 55 66
