Die neue Datenschutz-Grundverordnung (DSGVO) der EU tritt am 25. Mai 2018 in Kraft und gilt in allen 27 Mitgliedsstaaten. Mit ihr gelten für die Unternehmen zusätzliche Informations- und Dokumentationspflichten. Dies ist mit Kosten verbunden. Für die Schweizer Wirtschaft liegen keine konkreten Schätzungen für die Anpassungen an das neue Recht vor. In Deutschland geht das Statistische Bundesamt mit Kosten von 1,5 Milliarden Euro aus. Angesichts der grossen Bedeutung sollten Unternehmen bereits heute die Überprüfung ihrer Datenschutz-Governance ins Auge fassen. Dies im Hinblick darauf, dass die Schweiz mit ihrer ihrer Gesetzgebung nachziehen wird. Das revidierte Schweizer Datenschutzgesetz soll im Sommer 2018 in Kraft treten.
Welche Firmen betroffen sind
Die neue DSGVO gilt für Schweizer Unternehmen auch dann, wenn sie keine Niederlassung in der EU haben. Angebote, die sich an EU-Bürger richten, oder Applikationen, die Daten von EU-Bürgern verarbeiten – dazu gehören beispielsweise auch Apps auf dem Smartphone – genügen, um unter EU-Recht zu fallen. Es spielt also auch keine Rolle, ob die Datenbearbeitung in der EU erfolgt oder in die Schweiz ausgelagert wurde. Wenn ein Unternehmen in der Schweiz mit ihrem IT-Center auch Daten für eine Tochtergesellschaft oder ein Niederlassung in der EU verarbeitet, so fällt die Bearbeitung dieser Daten unter EU-Recht.
Wichtige Neuerungen
Generell weitet die DSGVO die Rechte der Betroffenen und die Informationspflichten der Unternehmen massiv aus. Dabei geht es um alle Informationen, mit denen sich eine Person identifizieren lässt – zwischen Daten aus dem beruflichen oder privaten Leben einer Person wird nicht unterschieden. Unternehmen müssen neu Aufzeichnungen über ihre Datenverarbeitungsaktivitäten führen.
Zu den wichtigsten Regelungen der Gesetzgebung gehört das Recht auf Vergessen. Das heisst: jede Person kann die Löschung ihrer personenbezogenen Daten einfordern.
Verschärft werden auch die Anforderungen an die Einwilligung zur Datennutzung: Ein Unternehmen muss eindeutig und verständlich auf die Nutzung von Verarbeitung von Daten hinweisen. Falls jemand die Nutzung seiner Daten erlaubt, kann dieser Entscheid widerrufen werden. Nur Unternehmen, die sensible Informationen wie Gesundheitsdaten sowie genetische und biometrische Daten erfassen, müssen die Stelle eines Datenschutzbeauftragten schaffen.
Auch Schweizer Unternehmen, die sich nicht an die neuen Vorschriften halten, müssen mit Bussen rechnen. Deren Höhe kann bis zu vier Prozent des weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr betragen. Auch der Vorentwurf zum revidierten Schweizer Datenschutzgesetz setzt einen Bussenrahmen fest. Dieser beträgt maximal 500 000 Franken.
Sofortmassnahmen
Zu den wichtigsten Sofortmassnahmen, um Kundendaten wirksam zu schützen, Datenlecks zu vermeiden und damit Geldstrafen oder einen Reputationsschaden hinzunehmen, gehört es, sich einen Überblick über die Personendaten zu verschaffen.
- Bestandsaufnahme der gesammelten Personendaten. Welche Informationen wurden gespeichert? Wo befinden sich diese?
- Klärung der Frage: Müssen wir einen Datenbeauftragten einsetzen? Die Stelle kann intern oder extern besetzt werden.
- Strikte Verwaltung der Zugriffsrechte auf die Personendaten.
- Professionelle und wirksame und Absicherung des Webzugriffs.
Im Zusammenhang mit der internen Verarbeitung und Sicherung von Personendaten darf die Frage nach der Cloud nicht ausser Acht gelassen werden. Tatsache ist, dass Daten in einer Cloud oftmals professioneller gesichert sind als auf jeder Festplatte oder jedem Server in einem Unternehmen.
Tatsache ist: Der Datenschutz ist Basis für das Vertrauen von Konsumenten und Geschäftspartnern und somit auch Voraussetzung für das Gelingen der digitalen Transformation. Mit der Einhaltung der DSGVO stellen Schweizer Unternehmen ihre wirtschaftliche Existenz in einem vernetzten Europa sicher.
Sollten Sie Fragen haben, dann kontaktieren Sie: swisssmb@microsoft.com
