Worin liegt der Unterschied zwischen Datenschutz und Data Governance?

Diese beiden Konzepte lassen sich nicht getrennt voneinander betrachten. Data Governance ist die operative Umsetzung der regulatorischen Vorgaben, die sich aus Regelwerken wie dem schweizerischen Datenschutzgesetz, dem FINMA-Rundschreiben 2023-01 oder NIS 2 sowie dem AI Act unserer europäischen Nachbarn ergeben. Governance übersetzt diese regulatorischen Anforderungen in konkrete Regeln für den Alltag. Der Datenschutz hingegen fokussiert sich auf personenbezogene Daten und die Rechte der betroffenen Personen. Letztlich sind diese beiden Ansätze untrennbar miteinander verbunden: Ohne Governance bleibt Datenschutz theoretisch.

An wen richtet sich die neu lancierte Ausbildung des ISFB?

An alle Personen, die im beruflichen Alltag mit Daten arbeiten. Die Ausbildung vermittelt praxisnahe Kenntnisse im Bereich Datenmanagement. Es geht nicht nur darum, Daten zu verstehen und zu kontrollieren, sondern auch darum, die mit Daten verbundenen Herausforderungen gezielt zu nutzen.

Richtet sich diese Ausbildung ausschliesslich an Fachpersonen aus dem Bankensektor?

Der Finanzsektor gehört zwar zur primären Zielgruppe. Dennoch kann grundsätzlich jede Person, die im Alltag mit Daten umgeht, von dieser Ausbildung profitieren – allein schon, um die zentralen Fragestellungen rund um Datenmanagement besser zu verstehen. Häufig werden Daten verarbeitet, ohne dass man sich dessen bewusst ist. IT-Fachpersonen hingegen zählen nicht zu den primären Zielgruppen, da die Ausbildung vor allem die Grundlagen der Datenbewirtschaftung vermittelt und sich an datenunerfahrene Personen richtet.

Wie ist es möglich, Daten zu verarbeiten, ohne sich dessen bewusst zu sein? Gibt es konkrete Beispiele?

Wenn man sich beispielsweise auf personenbezogene Daten konzentriert, gilt aus einer strengen Perspektive jede Information, die eine Person identifizierbar macht, als personenbezogene Angabe. Ein einfaches Beispiel ist das Kontrollschild eines Fahrzeugs: Es erlaubt die Identifikation des Fahrzeughalters und stellt somit eine personenbezogene Information dar. In der beruflichen Praxis ist jedoch nicht immer offensichtlich, dass Daten verarbeitet werden. Als DPO bin ich mehrfach auf Situationen gestossen, in denen Personen überzeugt waren, keine Daten zu bearbeiten – obwohl dies faktisch der Fall war.

Wann kann man sagen, dass Daten wirklich beherrscht werden?

Eine risikoadäquate und fundierte Datenbeherrschung ist zentral für Datenschutz und Data Governance. In der Praxis bedeutet dies unter anderem, die Art der verarbeiteten Daten genau zu kennen, zu wissen, ob sie für das Unternehmen wesentlich oder kritisch sind, ob sie aktuell und ausreichend geschützt sind. Ebenso wichtig ist die Kenntnis ihres Speicherorts – was bisweilen durchaus Überraschungen bereithält. Beim Thema Datenbeherrschung spielen zahlreiche Faktoren eine Rolle. Entscheidend ist zudem, dass diese Aspekte immer im Verhältnis zu den Risiken betrachtet werden, die aus der jeweiligen Datenverarbeitung entstehen können.

Wo steht die Schweiz in Bezug auf Datenschutz und Data Governance?

Die Schweiz profitiert von ihrem Ruf der Exzellenz, der auf einer konkreten Realität basiert. Eine solide Datenschutzpraxis und eine verlässliche Data Governance stellen einen echten Wettbewerbsvorteil dar. Unternehmen, die ihre Daten strukturiert und sicher verwalten, werden von Partnern als verlässliche Akteure wahrgenommen. Darüber hinaus wirken qualitativ hochwertige Unternehmensdaten als Katalysator für Innovation und den Einsatz von künstlicher Intelligenz. Denn KI ist nur dann zuverlässig, wenn die zugrunde liegenden Daten korrekt und strukturiert sind. Wie mir meine IT-Kollegen stets sagen: ganz einfach – garbage in, garbage out.

Mounira Lehbili

HSBC Schweiz

Mounira Lehbili ist Territory Data Protection Officer bei HSBC Schweiz. Als anerkannte Expertin auf dem Finanzplatz war sie zuvor unter anderem für den Datenschutz bei Lombard Odier sowie BNP Paribas Schweiz verantwortlich. Ihr beruflicher Werdegang – geprägt von interner Revision, Risikomanagement und Governance – verleiht ihr eine strategische Perspektive auf Daten als Hebel für Innovation, Compliance sowie Cloud- und KI-Sicherheit.