Aufrufe
vor 2 Jahren

Netzwoche 18/2017

  • Text
  • Apps
  • Unternehmen
  • Schweizer
  • Schweiz
  • Netzmedien
  • Swiss
  • Webcode
  • Eingereicht
  • Digitalisierung
  • Gesellschaft

50 DOSSIER KOMPAKT

50 DOSSIER KOMPAKT EU-DSGVO In Kooperation mit G Data Die EU-Datenschutz-Grundverordnung gilt auch für die Schweiz Ab dem 25. Mai 2018 läuft die Übergangsfrist der EU-Datenschutz-Grundverordnung (EU-DSGVO) ab. Ab dann muss sie in der gesamten Europäischen Union verbindlich angewendet werden. Warum die EU-DSGVO auch für die Schweiz als Nicht-EU-Land eine wichtige Rolle spielt, wird in diesem Artikel erklärt. DIE AUTORIN Cornelia Lehle Sales Director G Data Schweiz Zum ersten Mal wird mit der neuen EU-Datenschutz-Grundverordnung EU-DSGVO eine einheitliche rechtliche Grundlage in der Europäischen Union geschaffen. Ganz allgemein gesprochen wird mit der EU-DSGVO der Schutz persönlicher Daten gestärkt und durch sie wird festgelegt, ob und in welcher Weise die Daten erhoben, verwendet und gespeichert werden dürfen. Was viele Schweizer Unternehmen nicht wissen: Jede Bürgerin und jeder Bürger der Europäischen Union erhält diesen besonders gestärkten Schutz, weshalb auch Firmen aus der Schweiz, die mit Kunden aus der EU interagieren oder Daten erheben, jene Datenschutzgesetze beachten müssen. Selbiges gilt auch dann, wenn eine Niederlassung oder eine Tochtergesellschaft in der EU existiert. Wenn jenes Dienstleistungsunternehmen Kundendaten verarbeitet und diese mit dem IT-Rechenzentrum des Hauptsitzes in der Schweiz austauscht, so gilt auch hier die EU-DSGVO. Auch Firmen aus der Schweiz, die mit Kunden aus der EU interagieren oder Daten erheben, müssen die Datenschutzgesetze beachten. dazu aufgefordert, geeignete Massnahmen zum Schutz von Kundendaten zu ergreifen. Die in der jüngsten Vergangenheit immer öfter auftretenden Datenschutzpannen sollen unter eine Meldepflicht fallen. Hierfür bedarf es auch einen externen oder internen Datenschutzbeauftragten, der bei den Behörden zu benennen ist. Fortan müssen Unternehmen, laut den Vorgaben des Art. 33 EU-DSGVO, Datenpannen, bei der der Schutz von personenbezogenen Daten verletzt wurde, binnen 72 Stunden nach Bekanntwerden der Aufsichtsbehörde gemeldet werden. Erhält indes die Behörde Kenntnis über einen Verstoss, so muss das Unternehmen laut Art. 83 EU-DSGVO Bussgelder von bis zu 20 Millionen Euro bezahlen, respektive 4 Prozent des weltweiten Firmenjahresumsatzes. Diese Summen werden beispielsweise dann aufgerufen, wenn ein Unternehmen das Recht auf Vergessenwerden verletzt. Cyberattacken sind ausnahmslos meldepflichtig Unternehmen, die mit personenbezogenen Daten arbeiten, sind Bild: aleksandr_samochernyi / Freepik Es wird Zeit für die Datenschutz-Folgen abschätzung In allen Betrieben werden heutzutage, in welcher Form auch immer, EDV-Systeme genutzt. Diese werden hauptsächlich zur Auftragsbearbeitung, Kundenkarteipflege oder zum kommunikativen Austausch mit verschiedenen externen Dienstleistern verwendet. Und genau hier beginnt es, interessant zu werden, denn ein Schweizer Unternehmen, das beispielsweise einen französischen Dienstleister beauftragt, muss sicherstellen, dass Vertraulichkeit und Integrität der Daten weiter gewährleistet sind. Sofern hierbei ersichtlich wird, dass durch die Auftragsdatenverarbeitung ein erhöhtes Risiko für die Rechte der Betroffenen besteht, muss laut Art. 35 EU-DSGVO eine Datenschutz-Folgenabschätzung stattfinden. Sie gliedert sich in Eskalationsstufen, die sich von der Überprüfung des Risikos für die Rechte und Freiheiten der Betroffenen, bis hin zu der Informationspflicht gegenüber der Aufsichtsbehörde erstrecken. Man kann es nicht oft genug sagen: Der 25. Mai 2018 rückt immer näher. Je nach Unternehmensgrösse sollten Schweizer Unternehmen den Aufwand, den die EU-DSGVO verursacht, nicht unterschätzen. Deshalb sollte spätestens jetzt gehandelt werden, um nicht unnötigerweise noch mehr Zeit zu verlieren – die Verordnung und die Deadline stehen. 18 / 2017 www.netzwoche.ch © netzmedien ag

In Kooperation mit G Data EU-DSGVO DOSSIER KOMPAKT51 « Viele Firmen haben immer noch keine Massnahmen getroffen – die Zeit drängt » Im kommenden Frühjahr tritt die neue EU-Datenschutz-Grundverordnung in Kraft. Cornelia Lehle von G Data erklärt, was Schweizer Firmen beachten müssen und wo Stolpersteine liegen. Interview: Oliver Schneider Welche Schritte müssen Schweizer Firmen unternehmen, um der EU-DSGVO zu entsprechen? Cornelia Lehle: Die von der Verordnung betroffenen Unternehmen müssen sich dringend mit folgenden vier Implementierungsschwerpunkten befassen: Datenschutzbeauftragten benennen, Brennpunkte identifizieren, Workflows und Tools überprüfen sowie IT- Infrastruktur überprüfen und absichern. Reicht der Druck durch die neue EU-DSGVO aus, oder braucht es einen Mentalitätswandel bei den betroffenen Firmen? Meiner Meinung nach besteht hier noch Nachholbedarf, und es ist noch reichlich an Aufklärungsarbeit zu leisten. Bis zum 25. Mai 2018 müssen Unternehmen alle Regelungen der EU-Datenschutzgrundverordnung umgesetzt haben. Obwohl die Zeit drängt, haben viele Firmen immer noch keine Massnahmen getroffen. Vor allem unsere klassischen Schweizer KMUs sind sich ihrer Pflichten nur bedingt bewusst, weil sie im Tagesgeschäft schlichtweg nicht genügend Zeit finden, sich mit diesen Themen im Detail zu beschäftigen. Wie lassen sich Kundendaten wirksam schützen? Die Vereinbarung zur Auftragsdatenverarbeitung (ADV) muss mit der EU-DSGVO konform sein. Diese ADVs regeln die Vertraulichkeit und Integrität der Daten, wenn Firmen mit externen Dienstleistern zusammenarbeiten, um Geschäfte abzuwickeln. Zunächst müssen sich die Firmen im Klaren sein, welche Daten sie über welche Kanäle wann und mit wem austauschen. Bereits hier sehe ich tagtäglich extrem grossen Handlungsbedarf, weil vielen KMUs nicht bewusst ist, wohin ihre Systeme im Hintergrund welche Daten verarbeiten und welcher Hersteller in welchem Ausmass diese Daten speichert. Darüber hinaus müssen Unternehmen auch die Sicherheit der Daten im eigenen Netzwerk sicherstellen können. Ab welchem Schweregrad müssen Cyberattacken künftig gemeldet werden? Besteht der Verdacht, dass Kundendaten in unberechtigte Hände Dritter gelangt sind, so ist die Datenpanne binnen 72 Stunden den zuständigen Behörden zu melden. Deshalb kann ich hier keine allgemeine Antwort geben, sondern es gilt immer die Einzelfallabwägung. Wird zwischen fahrlässigen und nicht vermeidbaren Datenschutzpannen unterschieden? Ja, hierbei wird unterschieden. Art. 83 der EU-DSGVO gibt ganz klar wieder, dass der Betrag und die Verhängung der Geldbusse auch abhängig von der Vorsätzlichkeit oder Fahrlässigkeit des Verstosses sind. Eine Datenpanne als solche sollte aber in jedem Falle vermieden werden. Hierzu gibt es verschiedene Lösungskonzepte und Notfallpläne, die wie Zahnräder ineinandergreifen müssen. Kurz gesagt: Welche Herausforderungen kommen durch die neue Verordnung auf die Schweizer Wirtschaft zu? In erster Linie einmal grosse Herausforderungen und viel Detailarbeit für die Geschäftsführer, vom KMU bis zum Konzern. Dies mag sicherlich für den einen oder anderen Geschäftsführer zeitund gegebenenfalls auch kostenintensiv sein. Auf der anderen Seite allerdings sehe ich es auch als eine grosse Chance, das eigene Unternehmen, das über Jahre gewachsen ist, einmal auf den Kopf zu stellen. Die eigenen Prozesse zu analysieren, zu optimieren und angemessen abzusichern. « Zunächst müssen sich die Firmen im Klaren sein, welche Daten sie über welche Kanäle wann und mit wem austauschen. » Cornelia Lehle, Sales Director, G Data Schweiz www.netzwoche.ch © netzmedien ag 18 / 2017

Archiv