Personendaten: Sefar achtet Rechte seiner Mitarbeitenden

Erstmals haben Studierendenteams der OST das neue Praxisprojekt «Legal Services» umgesetzt. Damit gibt es auch im Studiengang Management & Recht eine «Königsklasse» – die «Legal Services» erfolgen im letzten Semester. Ein Jahr davor wird das Praxisprojekt «Compliance Check» umgesetzt. Sefar AG, die in Heiden und Thal ansässige Produzentin von Präzisionsgeweben mit weltweit rund 3'000 Mitarbeitenden, war die erste Auftraggeberin eines Praxisprojekts «Legal Services».

Regulatorischen Wandel bewältigen

Gerhard Burtscher ist bei Sefar für die IT-Sicherheit verantwortlich und begleitete bereits sein zweites Praxisprojekt. Aufgrund des neuen und verschärften Datenschutzgesetzes liess Sefar bereits im Vorjahr einen Compliance Check von Studierenden der OST durchführen. «Die Initiative kam aus unserer Personalabteilung», erzählt Gerhard Burtscher. «Wir wollten von den Studierenden wissen: Was kommt regulatorisch genau auf uns zu? Haben wir Defizite? Was müssen wir tun, um rechtskonform zu sein?»

Mitarbeitende müssen beispielsweise heute informiert werden, was zu welchem Zweck mit ihren Daten geschieht. «Daten werden an zahlreiche Partner weitergegeben – nicht nur an staatliche Stellen oder Vorsorgeeinrichtungen», so Gerhard Burtscher. Dazu gehörten beispielsweise Anbieter von Cloudlösungen für HR-Software oder Videokonferenz-Tools.

Rechtlich wasserdicht

Gerhard Burtscher sagt, dass seine Erwartungshaltung nicht besonders hoch war. Oft verschwänden die Ergebnisse von «Praktikantenprojekten» in der Schublade. «Ich war dann äusserst positiv überrascht, als ich merkte, dass Resultate mit Hand und Fuss kommen – und dass sehr effizient gearbeitet wird.» Deshalb gab Sefar gleich bei der Schlusspräsentation des ersten Projekts ein Folgeprojekt in Auftrag, um die Handlungsempfehlungen eins zu eins umsetzen lassen – vom gleichen Team. «Dank der Begleitung fachkundiger Dozierenden darf man bei den Praxisprojekten Resultate erwarten, die rechtlich wasserdicht sind.» Zudem war der Auftraggeber froh, die aufwendige «handwerkliche» Arbeit an motivierte Studierende abgeben zu können.

«Die Studierenden erschienen sehr gut vorbereitet zu den Briefings und arbeiteten sodann erstaunlich selbständig», erzählt Gerhard Burtscher. Bei der Prozessgestaltung musste der IT-Experte einmal eingreifen und das Team auf den richtigen Weg bringen. Seine Inputs habe das Team aber rasch verstanden und richtig umgesetzt. «Es war erfreulich zu sehen, wie die Studierenden an ihrer Aufgabe mitwuchsen.»

Neue Prozesse und Dokumente

Insgesamt gestalteten die Studierenden drei neue Prozesse: Wie soll Sefar gesetzeskonform reagieren, wenn Betroffene von ihrem Auskunftsrecht über die Datenverwendung Gebrauch machen? Was gilt es im Falle von Datenpannen tun – beispielsweise, wenn Daten unerlaubterweise an Dritte gelangen? Wie kann man im Falle einer Datenpanne das Risiko für die Betroffenen ermitteln – und es den zuständigen Stellen melden?

Nebst den Prozessen erarbeitete das Projektteam vier neue Dokumente. Ein Verarbeitungsverzeichnis hält fest, bei welchen Prozessen Personendaten verarbeitet werden. Eine Datenschutzerklärung informiert Mitarbeitende, was mit ihren Daten geschieht. Wenn Fotos oder Videos mit Mitarbeitenden für Werbezwecke verwendet werden, verfügt Sefar nun über eine Einverständniserklärung. Zu guter Letzt haben die Studierenden eine Vereinbarung erstellt für Vertragspartner, damit sich diese ebenfalls datenschutzkonform verhalten.

Die Auftraggeberin zeigt sich zufrieden mit den Ergebnissen des ersten Legal-Services-Praxisprojekts: «Die neuen Prozesse werden bis Ende Jahr implementiert. Den Dokumenten geben wir nur noch die Sefar-Handschrift und setzen sie dann so ein.»