Erstmals haben Studierendenteams der OST das neue Praxisprojekt «Legal Services» umgesetzt. Damit gibt es auch im Studiengang Management & Recht eine «Königsklasse» – die «Legal Services» erfolgen im letzten Semester. Ein Jahr davor wird das Praxisprojekt «Compliance Check» umgesetzt. Sefar AG war die erste Auftraggeberin eines Praxisprojekts «Legal Services».
Gerhard Burtscher ist bei Sefar für die IT-Sicherheit verantwortlich und begleitete bereits sein zweites Praxisprojekt. Aufgrund des neuen und verschärften Datenschutzgesetzes liess Sefar bereits im Vorjahr einen Compliance Check von Studierenden der OST durchführen. «Die Initiative kam aus unserer Personalabteilung», erzählt Gerhard Burtscher. «Wir wollten von den Studierenden wissen: Was kommt regulatorisch genau auf uns zu? Haben wir Defizite? Was müssen wir tun, um rechtskonform zu sein?»
Mitarbeitende müssen beispielsweise heute informiert werden, was zu welchem Zweck mit ihren Daten geschieht. «Daten werden an zahlreiche Partner weitergegeben – nicht nur an staatliche Stellen oder Vorsorgeeinrichtungen», so Gerhard Burtscher. Dazu gehörten beispielsweise Anbieter von Cloudlösungen für HR-Software oder Videokonferenz-Tools.
Gerhard Burtscher sagt, dass seine Erwartungshaltung nicht besonders hoch war. Oft verschwänden die Ergebnisse von «Praktikantenprojekten» in der Schublade. «Ich war dann äusserst positiv überrascht, als ich merkte, dass Resultate mit Hand und Fuss kommen – und dass sehr effizient gearbeitet wird.» Deshalb gab Sefar gleich bei der Schlusspräsentation des ersten Projekts ein Folgeprojekt in Auftrag, um die Handlungsempfehlungen eins zu eins umsetzen lassen – vom gleichen Team. «Dank der Begleitung fachkundiger Dozierenden darf man bei den Praxisprojekten Resultate erwarten, die rechtlich wasserdicht sind.» Zudem war der Auftraggeber froh, die aufwendige «handwerkliche» Arbeit an motivierte Studierende abgeben zu können. «Die Studierenden erschienen sehr gut vorbereitet zu den Briefings und arbeiteten sodann erstaunlich selbständig», erzählt Gerhard Burtscher.
Insgesamt gestalteten die Studierenden drei neue Prozesse: Wie soll Sefar gesetzeskonform reagieren, wenn Betroffene von ihrem Auskunftsrecht über die Datenverwendung Gebrauch machen? Was gilt es im Falle von Datenpannen tun – beispielsweise, wenn Daten unerlaubterweise an Dritte gelangen? Wie kann man im Falle einer Datenpanne das Risiko für die Betroffenen ermitteln – und es den zuständigen Stellen melden?
Nebst den Prozessen erarbeitete das Projektteam vier neue Dokumente. Ein Verarbeitungsverzeichnis hält fest, bei welchen Prozessen Personendaten verarbeitet werden. Eine Datenschutzerklärung informiert Mitarbeitende, was mit ihren Daten geschieht. Wenn Fotos oder Videos mit Mitarbeitenden für Werbezwecke verwendet werden, verfügt Sefar nun über eine Einverständniserklärung. Zu guter Letzt haben die Studierenden eine Vereinbarung erstellt für Vertragspartner, damit sich diese ebenfalls datenschutzkonform verhalten.
Die Auftraggeberin zeigt sich zufrieden mit den Ergebnissen des ersten Legal-Services-Praxisprojekts: «Die neuen Prozesse werden bis Ende Jahr implementiert. Den Dokumenten geben wir nur noch die Sefar-Handschrift und setzen sie dann so ein.»