Zum ersten Mal wird mit der neuen EU-DSGVO eine einheitliche rechtliche Grundlage in der Europäischen Union geschaffen. Mit der Verordnung wird der Schutz persönlicher Daten gestärkt und festgelegt, ob und in welcher Weise Daten erhoben, verwendet und gespeichert werden dürfen. Was viele nicht wissen: Auch Firmen aus der Schweiz, die mit Kunden oder Unternehmen aus der EU interagieren, Daten erheben oder verarbeiten, müssen jene Datenschutzgesetze beachten. Selbiges gilt auch dann, wenn eine Niederlassung oder eine Tochtergesellschaft in der EU existiert. Wenn jenes Dienstleistungs-Unternehmen Kundendaten verarbeitet und diese mit dem IT-Rechenzentrums des HQs in der Schweiz austauscht, so gilt auch hier die EU-DSGVO.
Cyberattacken sind ausnahmslos meldepflichtig
Unternehmen, die mit personenbezogenen Daten arbeiten, sind dazu aufgefordert, geeignete Massnahmen zum Schutz von Kundendaten zu ergreifen. Die in der jüngsten Vergangenheit immer öfter auftretenden Datenschutzpannen sollen unter eine Meldepflicht fallen. Hierfür bedarf es auch eines externen oder internen Datenschutzbeauftragten, der bei den Behörden zu benennen ist. Fortan müssen Unternehmen, laut den Vorgaben des Art. 33 EU-DSGVO, Datenpannen, bei denen der Schutz von personenbezogenen Daten verletzt wurde, binnen 72 Stunden nach Bekanntwerden der Aufsichtsbehörde gemeldet werden. Erhält indes die Behörde Kenntnis über einen Verstoss, so muss das Unternehmen laut Art. 83 EU-DSGVO Bussgelder von bis zu 20 Millionen Euro bezahlen, respektive 4 Prozent des weltweiten Firmenjahresumsatzes. Diese Summen werden beispielsweise dann aufgerufen, wenn ein Unternehmen das Recht auf Vergessenwerden verletzt.
Es wird Zeit für die Datenschutzfolgenabschätzung
In allen Betrieben sind heutzutage, in welcher Form auch immer, EDV-Systeme im Einsatz. Diese werden hauptsächlich zur Auftragsbearbeitung, Kundenkarteipflege oder zum kommunikativen Austausch mit verschiedenen externen Dienstleistern verwendet. Im Kontext der neuen Datenschutzgesetze muss ein Schweizer Unternehmen, dass beispielsweise einen französischen Dienstleister beauftragt, sicherstellen, dass Vertraulichkeit und Integrität der Daten gewährleistet sind. Sofern ersichtlich ist, dass durch die Auftragsdatenverarbeitung ein erhöhtes Risiko für die Rechte der Betroffenen besteht, muss laut Art. 35 EU-DSGVO eine Datenschutzfolgenabschätzung stattfinden. Sie gliedert sich in Eskalationsstufen, die sich von der Überprüfung des Risikos für die Rechte und Freiheiten der Betroffenen, bis hin zu der Informationspflicht gegenüber der Aufsichtsbehörde erstrecken.
Schweizer Unternehmer sollten daher den 25. Mai 2018 im Blick behalten. Je nach Unternehmensgrösse sollten Firmen den Aufwand, den die EU-DSGVO verursacht, nicht unterschätzen. Deshalb sollte spätestens jetzt gehandelt werden, um nicht unnötigerweise noch mehr Zeit zu verlieren – die Verordnung und die Deadline steht.
Interview mit Cornelia Lehle, Sales Director G DATA Schweiz
1. Warum ist es auch für Schweizer Unternehmen wichtig, sich über die EU-Datenschutz-Grundverordnung (DSGVO) zu informieren?Unternehmen werden in zahlreichen Fällen direkt dem Recht der Europäischen Union unterstellt sein, auch wenn die Daten in der Schweiz bearbeitet werden. Um sicherzustellen, dass die freie Datenübermittlung zwischen Schweizer Unternehmen und solchen in der Europäischen Union weiterhin möglich bleibt, wird auch der Datenschutz in der Schweiz revidiert.
2. Wie gut sind Schweizer Unternehmen auf die DSGVO vorbereitet?Viele Schweizer Unternehmen sind bisher nur unzureichend auf die DSGVO und sind sich deren Tragweite nicht bewusst. Wir sehen hier noch dringenden Nachholbedarf.
3. Was raten Sie Schweizer Unternehmen, die sich bisher noch nicht mit der DSGVO beschäftigt haben?Schleunigst handeln! Die DSGVO tritt am 25. Mai 2018 in Kraft. Für alle Schweizer Unternehmen ist es wichtig, sich umgehend mit dem neuen EU-Datenschutzrecht und dessen Anforderungen vertraut machen und umgehend notwendigen Anpassungen vorzunehmen.
4. Wo sehen Sie die grössten Herausforderungen für Schweizer Unternehmen?Schweizer Unternehmen sehen sich bei der Umsetzung der DSGVO mit einigen Herausforderungen konfrontiert. Standardkonditionen wie Musterverträge, allgemeine Geschäftsbedingungen oder Datenschutz-Policies, müssen überprüft werden. Auch bestehende Verträge mit Geschäftspartnern müssen kontrolliert werden, ob sie mit den neuen Datenschutz-Anforderungen konform sind. Ebenso muss die IT-Infrastruktur genau untersucht und abgesichert werden.
5. Was geschieht mit Schweizer Unternehmen, die gegen die DSGVO verstossen?Wenn eine Datenschutzbehörde einen Verstoss feststellt, kann eine Geldstrafe von bis zu maximal 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes drohen - je nachdem, welcher Betrag höher ist.
6. Welche Prozesse sind am stärksten von der neuen Verordnung betroffen?Unternehmen müssen sich mit folgenden Schwerpunkten befassen: Zunächst muss ein Datenschutzbeauftragter benannt werden, dann müssen Brennpunkte im Unternehmen in Bezug auf die DSGVO identifiziert werden. Der dritte Punkt ist die Überprüfung von Tools und Workflows. Compliance-Regeln zu erstellen ist dabei ein wichtiger Schritt. Hier kann zum Beispiel auf Technologieebene ein Policy Management helfen. Der vierte wichtige Schwerpunkt sind die IT-Systeme, die abgesichert werden müssen. Bestehende Systeme müssen überprüft und neue Systeme unter Umständen eingeplant und ausgerollt werden. Insbesondere die Bereiche Patch Management und Datensicherung sind hier von zentraler Bedeutung.
7. Was muss der Channel besonders beachten?Für den Channel bedeutet die neue EU-Datenschutz-Grundverordnung eine gute Gelegenheit, bei seinen Kunden mit Beratungs- und Dienstleistungsangeboten zu punkten. Darüber hinaus hilft er dabei die neuen Prozesse aufzusetzen, die mit den neuen Regelungen notwendig werden. Auch bei der notwendigen Dokumentation dieser Abläufe rund um die Verarbeitung personenbezogener Daten kann der Channel seine Kunden unterstützen.