Am 28. Juni 2022 präsentierten die Kompetenzzentrum Records Management AG (krm) und die Karakun AG (karakun) in Zürich ihr gemeinsames «K2 PID Cockpit» zum Aufspüren personenbezogener Daten in internen Systemen. Den Auftakt bildete allerdings ein für Praktiker spannender Blick auf das Datenschutzrecht im europäischen Ausland: Dipl.-Kfm. Martin Fischer von Consulting Fischer in Speyer referierte zum Thema «Wo schlagen die Aufsichtsbehörden im EU-Raum seit Inkrafttreten der DSGVO zu?». In seinem Referat zeichnete er ein heterogenes Bild der Ahndungspraxis von Datenschutzbehörden im EU-Raum, was Sanktionshöhe, Prioritätensetzung nach Art der Verstösse, Fokussierung auf unterschiedliche Gruppen von Rechtsunterworfenen, etc. anbelangt. Das darf aber keineswegs zur Annahme verleiten, man könnte heute noch irgendwo darauf hoffen, dass die DSGVO toter Buchstabe bliebe. Vielmehr tun gemäss Herrn Fischer alle Unternehmen gut daran, sich über die eigene (Nicht-)Unterstellung unter die DGSVO gewahr zu werden und ggf. die entsprechenden Governance-Massnahmen sicherzustellen oder aber die «Portokasse» zur Bezahlung potentieller Bussen im nötigen Umfang zu speisen. Aufgrund des in der DSGVO verankerten Auswirkungsprinzips gilt dieser Ratschlag namentlich auch für CH-Unternehmen: Zwar wurde laut Herrn Fischer seit Inkrafttreten kein Schweizer Unternehmen aufgrund eines DSGVO-Verstosses gebüsst; über kurz oder lang werde es aber mit Gewissheit dazu kommen.

Dieser Vorspann rückte das Hauptthema der rund zweistündigen Veranstaltung vor einen ganz anderen Hintergrund. Beim nun vorgestellten K2 PID Cockpit könnte es sich nämlich um ein Schlüsselelement handeln, um datenschutzrechtliche Governance insbesondere in den Bereichen Auskunftsbegehren und Löschung herzustellen. Das sehr leistungsfähige Tool wurde vorgestellt von Dr. Bruno Wildhaber (krm) und von Dr. Holger Keibel (karakun), wobei nicht nur Abstraktes erläutert wurde, sondern auch ein eindrückliches Fallbeispiel präsentiert wurde. Bemerkenswert schien mir insbesondere, die schier unbegrenzte Zahl unterschiedlicher Quellsysteme, die hier einbezogen werden können. Als rettender «Karabinerhaken» könnte sich je nach Konstellation insbesondere die Fähigkeit dieses neuentwickelten Systems erweisen, die Daten nach ihrer Art innert Sekunden aufzuschlüsseln (Arbeitsvertrag, Lebenslauf etc.), ja – damit inhaltlich eng verbunden – sogar die Situation drohender rechtlicher Auseinandersetzungen innert nützlicher Frist anzuzeigen. Vor einer Anschaffung des PID Cockpits sollte aufgrund einer risikobasierten Analyse wohl einzig nüchtern analysiert werden, ob dieses unternehmensintern auch in qualitativem und quantitativem Ausmass genutzt werden kann/muss. Das ist allerdings nur eine unechte Einschränkung des nachhaltigen Eindrucks, den diese Softwarelösung beim anwesenden Publikum insgesamt zu hinterlassen haben scheint.

Angeregt durch diese Inputreferate folgte ein interessanter Fachaustausch zwischen allen Beteiligten im Rahmen des anschliessenden Apéros.

von Dr. Philipp Dannacher, Jurist im Rechtsdienst Arzneimittel von Swissmedic