Um was geht es?
Die neue Datenschutzverordnung löst die bisherigen Bestimmungen aus dem Jahr 1995 ab und soll die Privatsphäre der Internetuser besser schützen. Die Grundverordnung ist am 24. Mai 2016 in Kraft getreten und muss nach einer zweijährigen Übergangszeit ab dem 25. Mai 2018 konsequent angewendet werden. Die Bestimmungen betrifft alle Unternehmen, welche
- Daten von Personen aus der EU bearbeiten
- Daten von Personen aus der EU analysieren
- Personen aus der EU Waren oder Dienstleistungen anbieten
Dabei spielt es keine Rolle, ob die Daten in der EU oder in der Schweiz bearbeitet werden. Konkret davon betroffen sind beispielsweise Exporteure, Versandhändler oder Betreiber von Verkaufsplattformen. Wer die Richtlinien verletzt, muss mit Bussen rechnen.
Erfahrungen der Ronal AG
Die Ronal AG mit Sitz in Härkingen (SO) gehört zu den führenden Herstellern auf dem Markt für Leichtmetallräder und beliefert als Erstausrüster alle namhaften Automobilhersteller weltweit. Durch dieses internationale Geschäftsmodell hat sich Giovanna de Boers, Projektleiterin bei der Ronal AG, bereits intensiv mit der neuen Datenschutzverordnung auseinandergesetzt.
Giovanna de Boers, inwiefern ist die Ronal AG vom neuen EU-Datenschutzrecht betroffen?
Als weltweiter Hersteller und Anbieter von Leichtmetallrädern für PKW und Nutzfahrzeuge haben wir sowohl Kunden wie auch Mitarbeiter im EU-Raum. Aufgrund dessen sind wir bei der Bearbeitung von Kunden- und Mitarbeiterdaten verpflichtet, das EU-Datenschutzrecht zu befolgen.
Welche Anpassungen haben Sie innerhalb des Unternehmens machen müssen / müssen Sie noch machen?
Ronal hat Datenschutz bisher «ad hoc» und eher reaktiv mit beschränkten Ressourcen betrieben. Wir haben durch die Revision der DSGVO begonnen, eine angemessene Datenschutz-Organisation mit klaren Verantwortlichkeiten aufzubauen. Datenflüsse und Systeme wurden analysiert und inventarisiert. Hinzu kam eine Fit-Gap-Analyse um zu eruieren, welche Umsetzungsmassnahmen notwendig sind. Des Weiteren prüften wir Verträge mit Drittanbietern auf ihre Datenschutzkonformität und passten sie wo nötig an, regelten den länderübergreifende Datentransfer vertraglich, erfassten sämtliche Geschäftsaktivitäten, erliessen entsprechende Richtlinien und passten interne Prozesse an. Mittels Datenschutzfolgeabschätzungen klären wir Kommunikationserfordernisse und Pflichtangaben. Und zu guter Letzt, um sicherzustellen, dass die Mitarbeiter über die Rechte und Pflichten informiert sind und die Regeln einhalten, bereiten wir in nächster Zeit Schulungen und Audits vor.
Welche Tipps zur Datenschutzverordnung können Sie anderen Schweizer KMU geben?
Den Aufwand, der betrieben werden muss, um den Anforderungen des EU-Datenschutzrechts zu genügen, dürfen Unternehmen nicht unterschätzen. Oftmals sind die Regeln im Datenschutzrecht nicht klar und es bedarf vieler Wertentscheide. Es ist daher wichtig ein gut strukturiertes Projekt aufzusetzen, die Projektmitglieder mit einem klaren Mandat zu beauftragen und ausreichend Zeit für interne Abläufe in der Organisation einzuplanen, damit alle am selben Strick ziehen.
KMU sollten trotz allem vor den Anforderungen der EU-Datenschutzverordnung nicht zurückschrecken. Bei Ronal zum Beispiel haben wir im Verlauf des Umsetzungsprojektes festgestellt, dass vieles bereits vorgespurt war und richtiggemacht wurde. Was jedoch meistens fehlte, waren schriftliche Richtlinien und klare Prozessbeschreibungen, damit gewährleistet ist, dass die gesetzlichen Vorschriften eingehalten werden.
Es ist empfehlenswert, einen Abgleich der IST-Situation mit den datenschutzrechtlichen Vorschriften durchzuführen und so Lücken zu eruieren und Massnahmen zu priorisieren.
Aufgrund der Komplexität und Umfang der Materie lohnt es sich, einen externen Fachspezialisten beizuziehen, welcher die datenschutzrechtlichen Anforderungen kennt und den Unternehmen hilft, mittels eines risikobasierten Ansatzes die Lücken zu füllen.
