ICT & Technik

Datenschutz

EU-Datenschutz nimmt Schweizer KMU in die Pflicht

Marc Holitscher 29.06.2017
Die EU verschärft 2018 den Datenschutz – mit neuen Pflichten für die meisten Schweizer KMU. Diese sollten Vorkehrungen treffen, denn: Verstösse gegen die Datenschutz-Grundverordnung ziehen drakonische Strafen nach sich. Die Anpassungen sind kompliziert und kostenaufwendig. Wie eine schrittweise Anpassung möglich ist, zeigt dieser Beitrag.
PDF Kaufen

Die neue Datenschutz-Grundverordnung (DSGVO) der EU tritt am 25. Mai 2018 in Kraft. Das komplexe Regelwerk gilt für Unternehmen in der Schweiz, für Behörden sowie für gemeinnützige und sonstige Organisationen, die in der EU eine Niederlassung haben oder dort Waren oder Dienstleistungen anbieten. Die Schweiz wird ihr Recht an die EU anpassen, um Schweizer Unternehmen keinen Wettbewerbsnachteilen auszusetzen. Angesichts der grossen Bedeutung sollten Unternehmen bereits heute die Überprüfung ihrer Datenschutz-Governance ins Auge fassen.

Das Unternehmen Microsoft begrüsst die Datenschutz-Grundverordnung. Aus der Sicht des US-Unternehmens stellt diese einen wichtigen Schritt für den Schutz der Privatsphäre des Einzelnen dar. Die neuen Bestimmungen vereinheit­lichen in den EU-Mitgliedsländern den Daten­schutz, was für Schweizer KMU Rechtssicherheit schafft. Die Ziele der Datenschutz-Grundverordnung stimmen mit den bestehenden Anstrengungen von Microsoft im Hinblick auf Sicherheit, Datenschutz und Transparenz überein. Microsoft arbeitet zurzeit daran, seine Produkte bis Mai 2018 mit der Datenschutz-Grundverordnung in Einklang zu bringen. Dazu gehören auch die Dokumentationen und die Kundenvereinbarungen.

Beispiel Microsoft

Zu den wichtigsten Regelungen der Datenschutz-Grundverordnung gehört unter anderem ein Recht auf Vergessenwerden, das jeder Person einen Anspruch auf Löschung ihrer personenbezogenen Daten einräumt. Auch wer einmal die Einwilligung zur Nutzung seiner Daten an ein Unternehmen abgetreten hat, erhält künftig eine Opt-out-Option. Er kann die Nutzung seiner Daten ab 2018 verhindern. Auch einzelne Bewilligungen, wie zum Beispiel für das Direktmarketing, können nachträglich widerrufen werden. Ebenfalls kann ein Kunde alle einmal von einem Unternehmen gesammelten Daten in elektronischer Form zurückverlangen. Was die meisten Kunden von Unternehmen direkt spüren werden: Die Verordnung hat zur Folge, dass unerwünschte Massenmails bald der Vergangenheit angehören werden.

Die Pflichten der KMU

Die Datenschutz-Verordnung nimmt die Unternehmen in die Pflicht. Und das fängt bereits bei den «Allgemeinen Geschäftsbedingungen» an. Tausende Kunden haben diesen bereits gedankenlos mit einem Klick zugestimmt. Neu haben die Unternehmen nun proaktiv und detailliert zu informieren. Sie müssen darüber informieren, was mit den verarbeiteten Daten des Betroffenen passiert, was deren Zweck sein wird, wie lange die Daten gespeichert werden und vieles mehr.

Erheblicher Aufwand

Dies ist mit einem erheblichen bürokratischen Aufwand verbunden. Zudem muss auch ein kleines oder mittelgrosses Unternehmen nachweisen können, dass der oder die Betroffene auch wirklich der Nutzung der persönlichen Daten zugestimmt hat. Die europäischen Datenschutzwächter legen insbesondere auch ein Auge auf die klare, einfache und verständliche Sprache solcher Einwilligungserklärungen.

Eine zentrale Bedeutung kommt der Pflicht zur erhöhten Sicherheit und proaktiven Information über Datenlecks zu. Hier müssen Unternehmen nachweisen, dass sie die notwendigen Vorkehrungen getroffen haben, um die Datensicherheit zu gewährleisten. Kommt es dennoch zum Datenklau sind Unternehmen innerhalb von 72 Stunden verpflichtet, dies der Aufsichtsbehörde zu melden. Je nach Schwere des Zwischenfalls sind auch die davon betroffenen Personen über die Verletzung zu informieren.

Als Erstes sollte sich ein Unternehmen einen Überblick über die gespeicherten Personendaten verschaffen. Welche Informationen wurden gespeichert? Wo befinden sich diese? Etliche Unternehmen haben in der Vergangenheit ihre Kundendatenbanken stiefmütterlich behandelt und Adressen nicht aktualisiert oder gelöscht. Andere Firmen haben Probleme, die entsprechenden Daten überhaupt zu lokalisieren. Die Bestandsaufnahme der vorhandenen Daten und deren Klassifizierung wird damit zu einer nicht zu unterschätzenden Herausforderung.

Nicht jedes Unternehmen ist verpflichtet, die Stelle eines internen oder externen Datenschutzbeauftragten zu schaffen. Dies müssen nur solche Unternehmen, die Personen systematisch überwachen oder Gesundheitsdaten sowie beispielsweise genetische und biometrische Daten verarbeiten. Für alle anderen Unternehmen ist es freiwillig. Der Datenschutzbeauftragte eines Unternehmens muss die notwendigen beruflichen Qualifikationen haben und unabhängig sein. Die Person geniesst zudem Kündigungsschutz im Hinblick auf datenschutzrechtliche Aufgaben.

Erste Schritte

Die wichtigsten Sofortmassnahmen, um die persönlichen Daten von Kunden wirksam zu schützen, Datenlecks zu vermeiden und damit Geldstrafen oder einen
Reputationsschaden hinzunehmen sind:

  • Bestandesaufnahme der gesammelten Personendaten.
  • Einsetzung eines Datenbeauftragten. Die Stelle kann intern oder extern besetzt werden.
  • Strikte Verwaltung der Zugriffsrechte auf die Personendaten.
  • Professionelle und wirksame Absicherung des Webzugriffs.

Generell weitet die Datenschutz-Grundverordnung der EU die Informationspflichten für KMU und die Rechte der Betroffenen massiv aus. Dabei geht es um alle Informationen, mit denen sich eine Person identifizieren lässt. Dabei gibt es keinen Unterschied, ob die Daten aus dem beruflichen oder privaten Leben einer Person stammen.

Hohe Strafen

Auch Schweizer KMU, die sich nicht an die neuen Vorschriften halten, müssen mit Geldstrafen rechnen. Die maximale Geldbusse bei einem schweren Datenschutzvergehen beträgt künftig in der EU bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Wie die Lage in der Schweiz aussehen wird, ist noch offen. Tatsache ist: Das Schweizer Datenschutzgesetz aus dem Jahr 1992 befindet sich zurzeit in der Revision. Gemäss dem aktuellen Vorentwurf zum revidierten Gesetz wird auf abschreckende Bussen bei Verstössen verzichtet. Hingegen sieht die Vorlage einen strafrechtlichen Sanktionskatalog mit Bussen bis zu 500 000 Franken vor.

Im Zusammenhang mit der internen Verarbeitung und Sicherung von Personendaten darf die Frage nach der Cloud nicht ausser Acht gelassen werden. Was eignet sich besser: das lokale Rechenzentrum im Keller oder die Cloud? Viele Unternehmen stehen der Cloud skeptisch gegenüber.

Tatsache ist, dass Daten in einer Cloud oftmals professioneller gesichert sind als auf jeder Festplatte oder jedem Server in einem Unternehmen. Die meisten Unternehmen haben weder genügend Res­sourcen noch die notwendige Erfahrung, um Datenschutz, Datensicherheit und Datenhoheit in der sich stets wandelnden technologischen Welt gewährleisten zu können. Mit den immensen skalierbaren Rechenleistungen, welche die Cloud zur Verfügung stellt, können mögliche Angreifer und Gefahren frühzeitig geortet und unschädlich gemacht werden.

Porträt

Marc Holitscher (Autor)

Chief Technology Officer

Marc Holitscher ist Chief Technology Officer bei der Microsoft Schweiz GmbH. Microsoft Schweiz ist seit 28 Jahren in der Schweiz tätig und beschäftigt heute in Wallisellen, Basel, Bern und Genf 620 Personen.

Microsoft stellt Unternehmen die erforderlichen Instrumente und personellen Ressourcen für die Einhaltung der Datenschutz-Grundverordnung zur Verfügung und teilt mit diesen die eigenen Erfahrungen bei der Anpassung an die Verordnung. Dazu gehören etwa die Lokalisierung und Katalogisierung personenbezogener Daten in IT-Systemen, das Schaffen einer sichereren Umgebung sowie die Vereinfachung der Verwaltung und Überwachung personenbezogener Daten.

Kontakt

marc.holitscher(at)microsoft.com www.microsoft.com/de-ch