Quelle: Swiss Infosec
Kolumne «Security Post»: Von wegen eindimensional
Von Reto C. Zbinden
Artikel erschienen in IT Reseller 2026/05
Artikel erschienen in IT Reseller 2026/05
Lieber Datenschutzbeauftragter (DSB)
Ich weiss, du leidest etwas unter dem eindimensionalen Eindruck, den man von dir hat. Datenschutz! Und sonst nichts? Vom Bild der eierlegenden Wollmilchsau (ELWMS), die deinen Kollegen CISO charakterisiert, bist du etwa so weit entfernt wie der heutige Datenschutz von seinen Anfängen. Und die reichen bis ins 19. Jahrhundert zurück (Aufsatz «The Right to Privacy» von Warren und Brandeis, 1890)! Die Materie, mit der du dich befasst, ist demnach kein Produkt des digitalen Zeitalters, sondern war immer eng mit dem gesellschaftlichen Bedürfnis verknüpft, die Privatsphäre des Individuums gegenüber neuen Technologien und staatlicher Macht zu schützen. Ein Bedürfnis also, das Zeiten überdauert. Die Bezeichnung ELWMS hingegen gibt es erst seit den 1950er Jahren. Ein Punkt für dich.
Und Datenschutz ist selbstverständlich keineswegs eindimensional, sondern sehr komplex. Deshalb sind vertiefte Kenntnisse des Datenschutzrechts natürlich unabdingbar, genauso wie Fachwissen in technischen Standards zur Datensicherheit. Ausserdem brauchst du ein gutes Verständnis für IT-Architekturen, Informationssicherheit, Prozesse, Governance und Risikomanagement sowie die Fähigkeit, komplexe Anforderungen in praktikable betriebliche Massnahmen zu übersetzen. Genau diese Umsetzung ist eine der grössten Herausforderungen in der Praxis. Ich denke da an die Schnittstellen zu Informationssicherheit und Compliance oder die Frage, wie Datenschutz frühzeitig in Projekte integriert werden kann. Insbesondere bei risikoreichen Bearbeitungen, etwa mit neuen Technologien (KI) oder umfangreicher Bearbeitung besonders schützenswerter Daten, steigt die Komplexität deutlich.
Ich weiss, du leidest etwas unter dem eindimensionalen Eindruck, den man von dir hat. Datenschutz! Und sonst nichts? Vom Bild der eierlegenden Wollmilchsau (ELWMS), die deinen Kollegen CISO charakterisiert, bist du etwa so weit entfernt wie der heutige Datenschutz von seinen Anfängen. Und die reichen bis ins 19. Jahrhundert zurück (Aufsatz «The Right to Privacy» von Warren und Brandeis, 1890)! Die Materie, mit der du dich befasst, ist demnach kein Produkt des digitalen Zeitalters, sondern war immer eng mit dem gesellschaftlichen Bedürfnis verknüpft, die Privatsphäre des Individuums gegenüber neuen Technologien und staatlicher Macht zu schützen. Ein Bedürfnis also, das Zeiten überdauert. Die Bezeichnung ELWMS hingegen gibt es erst seit den 1950er Jahren. Ein Punkt für dich.
Und Datenschutz ist selbstverständlich keineswegs eindimensional, sondern sehr komplex. Deshalb sind vertiefte Kenntnisse des Datenschutzrechts natürlich unabdingbar, genauso wie Fachwissen in technischen Standards zur Datensicherheit. Ausserdem brauchst du ein gutes Verständnis für IT-Architekturen, Informationssicherheit, Prozesse, Governance und Risikomanagement sowie die Fähigkeit, komplexe Anforderungen in praktikable betriebliche Massnahmen zu übersetzen. Genau diese Umsetzung ist eine der grössten Herausforderungen in der Praxis. Ich denke da an die Schnittstellen zu Informationssicherheit und Compliance oder die Frage, wie Datenschutz frühzeitig in Projekte integriert werden kann. Insbesondere bei risikoreichen Bearbeitungen, etwa mit neuen Technologien (KI) oder umfangreicher Bearbeitung besonders schützenswerter Daten, steigt die Komplexität deutlich.
Gerade weil alles so komplex ist, magst du es organisatorisch klar und einfach. Idealerweise hast du einen direkten Zugang zur Geschäftsleitung, wahrst jederzeit deine Unabhängigkeit und agierst mit Nähe zu Compliance und Governance. Auf eine Vermischung oder die Integration in Fachbereiche wie HR, Vertrieb oder IT reagierst du allergisch. Das ist neben dem leichten Zugang zu Informationen, ausreichenden Ressourcen und dem Rückhalt des Managements das Wichtigste, um wirkungsvoll arbeiten zu können.
Obwohl es in der Schweiz für private Unternehmen keine generelle Pflicht gibt, einen DSB zu ernennen, lohnt es sich, dich ins Boot zu holen. Nicht einmal nur dann, wenn regelmässig viele Personendaten be- und sensible Daten verarbeitet werden, HR- und Kundendaten in grossem Umfang genutzt oder KI eingesetzt wird (um nur ein paar Beispiele zu nennen). Auch kleine und mittlere Unternehmen profitieren von dir, gerade weil dort aufgrund mangelnder Zeit- und Personalressourcen und/oder fehlendem Fachwissen Datenschutz oft stiefmütterlich behandelt wird. Da trifft es sich gut, dass du auch als externer DSB unterwegs sein darfst, weil du nicht zwingend in einem arbeitsvertraglichen Verhältnis zum Unternehmen stehen musst. Ich habe den CISO in meiner letzten Kolumne als VIP bezeichnet. Diese Bezeichnung passt aber auch zu dir (und wohl zu jedem Mitarbeiter und jeder Mitarbeiterin). Der Stellenwert deiner Funktion ist hoch, weil Datenschutz längst kein Randthema der Rechtsabteilung mehr ist, sondern Teil moderner Unternehmenssteuerung.
Von wegen eindimensional! Alles Gute, lieber DSB.
MfG Reto C. Zbinden
Obwohl es in der Schweiz für private Unternehmen keine generelle Pflicht gibt, einen DSB zu ernennen, lohnt es sich, dich ins Boot zu holen. Nicht einmal nur dann, wenn regelmässig viele Personendaten be- und sensible Daten verarbeitet werden, HR- und Kundendaten in grossem Umfang genutzt oder KI eingesetzt wird (um nur ein paar Beispiele zu nennen). Auch kleine und mittlere Unternehmen profitieren von dir, gerade weil dort aufgrund mangelnder Zeit- und Personalressourcen und/oder fehlendem Fachwissen Datenschutz oft stiefmütterlich behandelt wird. Da trifft es sich gut, dass du auch als externer DSB unterwegs sein darfst, weil du nicht zwingend in einem arbeitsvertraglichen Verhältnis zum Unternehmen stehen musst. Ich habe den CISO in meiner letzten Kolumne als VIP bezeichnet. Diese Bezeichnung passt aber auch zu dir (und wohl zu jedem Mitarbeiter und jeder Mitarbeiterin). Der Stellenwert deiner Funktion ist hoch, weil Datenschutz längst kein Randthema der Rechtsabteilung mehr ist, sondern Teil moderner Unternehmenssteuerung.
Von wegen eindimensional! Alles Gute, lieber DSB.
MfG Reto C. Zbinden
Reto C. Zbinden
Reto Zbinden hat 1989 Swiss Infosec gegründet. Das Unternehmen Sitz in Sursee (LU) gehört in der Schweiz zu den führenden, unabhängigen Beratungs- und Ausbildungsunternehmen in den Bereichen Informationssicherheit, Datenschutz und IT-Sicherheit. Es beschäftigt zusammen mit den verbundenen Gruppenunternehmen Swiss GRC AG und Team Visual AG über 130 Mitarbeitende.
Reto Zbinden hat 1989 Swiss Infosec gegründet. Das Unternehmen Sitz in Sursee (LU) gehört in der Schweiz zu den führenden, unabhängigen Beratungs- und Ausbildungsunternehmen in den Bereichen Informationssicherheit, Datenschutz und IT-Sicherheit. Es beschäftigt zusammen mit den verbundenen Gruppenunternehmen Swiss GRC AG und Team Visual AG über 130 Mitarbeitende.
Artikel kommentieren
