Aufrufe
vor 1 Woche

Netzwoche 02/2018

12 Business

12 Business EU-Datenschutz-Grundverordnung Eset erklärt, warum die EU-DSGVO auch Nicht-EU-Bürger schützt Der slowakische Hersteller Eset hat zu den Security Days 2018 geladen. An der Veranstaltung erklärte das Unternehmen unter anderem, wieso die EU-DSGVO auch Schweizer Firmen betrifft und wie viel der Begriff «personenbezogene Daten» tatsächlich abdeckt. Autor: Coen Kaat Problem, wie aus dem Vortrag von Michael Schröder hervorgeht, Business Development Manager bei Eset Deutschland. Viele Unternehmen seien davon überzeugt, sie würden gar keine derartigen Daten verarbeiten. Ein Irrtum. Er habe momentan eine Wette laufen, sagte Schröder. Er wette, dass keiner ihm ein Unternehmen nennen könne, dass keine personenbezogenen Daten verarbeite. Eine Niederlage habe er bisher noch nicht hinnehmen müssen. Denn der Begriff sei im Wortlaut der Verordnung sehr weit gefasst. Das Team von Eset (v. l.): Rainer Schwegler, Janina zur Mühlen, Maik Wetzel und Thorsten Urbanski. « Wir stellen in Gesprächen immer wieder fest, dass man den Überblick gar nicht mehr hat. » Maik Wetzel, Channel Sales Director DACH, Eset Jedes Jahr reist der slowakische Sicherheitsanbieter Eset mit seiner Roadshow fast um die ganze Welt. Dieses Jahr machten die Eset Security Days ihren letzten Stopp in Zürich in der alten Papierfabrik in Sihlcity. Rund 85 Besucher folgten der Einladung. Mit dem Fokus auf Fachthemen statt Produktvorstellungen will sich Eset von vergleichbaren Veranstaltungen abheben. Dieses Jahr drehte sich der Anlass um das Thema «IT-Security ist Chefsache». «Wir stellen in Gesprächen immer wieder fest, dass man den Überblick gar nicht mehr hat», sagte Maik Wetzel, Channel Sales Director DACH bei Eset, im Vorfeld des Anlasses. Eset will aber nach eigenen Angaben an den Security Days nicht die Angstkeule schwingen, sondern konkrete Lösungsansätze aufzeigen. Zwei Wege, mit dem Thema umzugehen, seien etwa Outsourcing und Versicherungen. Jeder verarbeitet personenbezogene Daten Die Datenschutzgrundverordnung der EU (EU-DSGVO) war schon letztes Jahr Thema an den Eset Security Days. Sie tritt am 25. Mai dieses Jahres in Kraft. «Wir sind nicht verrückt. Wir wissen, dass die Schweiz nicht zur EU gehört», sagte Wetzel. «Aber wir wissen auch, dass manche Schweizer Unternehmen trotzdem davon betroffen sein werden.» Die EU-DSGVO regelt den Umgang mit personenbezogenen Daten. Genau hier gibt es aber bereits ein grosses Warum mehr Personen und Firmen betroffen sind, als man denkt Mit der neuen Verordnung verschiebe sich auch die Beweislast, erklärte Schröder weiter. Denn Unternehmen seien nun zu jeder Zeit rechenschaftspflichtig. Der Firmensitz sei zudem zweitrangig. Zwar betreffe die EU-DSGVO automatisch alle Firmen mit Sitz in der EU. Sie betreffe aber auch alle Firmen mit einer Niederlassung oder einem Auftragsverarbeiter in der EU. Noch wichtiger sei allerdings die Person, deren Daten verarbeitet würden. Handle es sich dabei um einen Bürger mit Wohnsitz in der EU, greife die EU-DSGVO – die Betriebsgrösse, die Branche und der Sitz des Unternehmens, das die Daten verarbeite, spiele dann keine Rolle, sagte Schröder. Die EU-DSGVO gilt jedoch auch für Personen, die sich aktuell in der EU aufhalten, wie es im Wortlaut heisst. Das bedeutet also, dass ein Amerikaner, der in Amsterdam Urlaub macht, ebenfalls den Schutz der EU-DSGVO geniesst, wie Schröder weiter erklärte. Im Falle einer Übertretung drohen hohe Bussgelder: bis zu 20 Millionen Euro oder 4 Prozent des Vorjahresumsatzes. Die Bussgelder bleiben laut Schröder wohl bei der aussprechenden Behörde. Beamte dürften deswegen wohl extramotiviert sein, im Falle einer Übertretung aktiv zu werden. Zusätzlich zu den Bussgeldern werden für Unternehmen aber auch noch Schmerzensgeld-Zahlungen hinzukommen. Pro Opfer seien bis zu 2500 Euro realistisch. «Wie viele Kunden haben Sie, die bei einem Datenverlust davon Gebrauch machen würden, um ihren nächsten Urlaub zu finanzieren?», fragte Schröder das Publikum. Artikel online: www.netzwoche.ch ▸ Webcode DPF8_77242 02 / 2018 www.netzwoche.ch © netzmedien ag

Business EU-Datenschutz-Grundverordnung 13 Fit für den EU-Datenschutz Das Europa Institut der Universität Zürich hat seine Tagung zum Datenschutz der EU-DSGVO gewidmet. Im Fokus standen Erfahrungsberichte von Unternehmen sowie Empfehlungen zur Umsetzung der Verordnung. Autor: Oliver Schneider Die neuen Regeln der EU-DSGVO bewegen. Wortwörtlich, denn die Tagung, die das Europa Institut der Universität Zürich am 25. Januar zum Thema veranstaltete, war gut besucht. Zahlreiche Vertreter aus Unternehmen, Behörden und Jurisprudenz fanden sich im «Lake Side» am Zürichsee ein. Im Zentrum standen dabei nicht theoretische Fragen. Die Tagung war der Praxis und den konkreten Herausforderungen bei der Umsetzung der EU-Verordnung gewidmet. Das zeigte sich schon beim ersten Referat. Dirk Spacek, Experte für Informationstechnologierecht bei Walder Wyss Rechtsanwälte, zeigte, wie sich Medienunternehmen auf den 25. Mai 2018 vorbereiten sollten. Nutzer von Content würden heute im Internet sehr bereitwillig Daten von sich preisgeben, wenn sie dafür einen konkreten Mehrwert erhielten, sagte Spacek. Umso stärker müsste die Unterhaltungs- und Werbebranche die EU- DSGVO im Blick behalten. Spacek erläuterte anhand von vier Beispielen die neuralgischen Punkte. Ob personalisierte Unterhaltung im Auto, Analyse der Mediennutzung, interaktive Inhalte oder Smarthome-Assistenten wie Amazons Alexa – überall spielen gemäss Spacek verschiedene rechtliche Vorschriften eine Rolle. In Bezug auf die EU-DSGVO sei vor allem das Verbotsregime, die Einwilligung der Nutzer in die Datenverarbeitung, das Recht auf «menschliches Gehör» sowie die Meldepflicht bei Datenlecks von Bedeutung. Es müssten nun Datenschutzverantwortliche bestimmt, verständliche Datenschutzerklärungen verfasst und der Umgang mit Nutzerdaten transparent gemacht werden, sagte Spacek. Nicolas Passadelis, Head of Data Governance bei Swisscom, erläuterte die Umsetzung der EU-DSGVO beim Schweizer Telko. Datenschutz bei SAP und Swisscom Michael Morgenthaler, stellvertretender Datenschutzbeauftragter im betrieblichen Datenschutz bei SAP, gab im Anschluss Auskunft über die Umsetzung der EU-DSGVO beim deutschen IT-Unternehmen. Zentral sei hierbei die Nachweispflicht, sagte Morgenthaler. Ein Unternehmen müsse nachweisen können, dass es alles richtig mache. SAP habe dazu ein Datenschutzmanagementsystem entwickelt, das die Prozesse der Firma mit der EU-DSGVO in Einklang bringe und dokumentiere. Eine besondere Herausforderung bestehe darin, dass ein Mal aufgestellte Richtlinien auch eingehalten würden. Dazu seien eine ständige Überprüfung und klare Regeln nötig. Vom Management über den Datenschutzbeauftragten bis hin zum einzelnen Mitarbeiter. «Am Ende muss das ganze Thema in die Köpfe rein», sagte Morgenthaler. Und ganz wichtig: Datenschutz kostet. Es müsse klar sein, wer ihn bezahlt und wer dafür zuständig sei. Denn bei Verstössen drohten hohe Bussen und ein Imageschaden. Wie ein Schweizer Unternehmen in der Praxis Compliance mit der EU-DSGVO schafft, zeigte Nicolas Passadelis, Head of Data Governance bei Swisscom. Im Zentrum stünden hierbei die Daten und deren Bedeutung für die Stakeholder, führte er aus. Swisscom habe sich selbst eine «Datenkultur» gegeben, die für alle Unternehmensbereiche gelte. Man müsse den Mitarbeitern klarmachen, dass Daten ein wertvolles Asset seien, mit dem sorgfältig und vertrauensvoll umzugehen sei. Das heisse auch, dass nicht alles mit Daten gemacht werden sollte, was technisch möglich und kommerziell wünschbar sei. Wenn jemand im Unternehmen auf ihn zukomme und Einsicht in Kundendaten möchte, laute seine Antwort zunächst oft «Nein», so Passadelis. Es herrsche momentan Unsicherheit beim Publikum, sagte Passadelis. Deshalb müsse neben der Legalität auch die Legitimität der Data Governance beachtet werden. Zusammenfassend meinte der Datenschutzrechtler von Swisscom, dass die digitale Transformation alle Unternehmensbereiche erfasse. Dies verlange eine umfassende Datenkultur, die sowohl auf die Ergreifung von Chancen als auch die Vermeidung von Risiken ausgerichtet sein müsse. Das Fundament dieser Kultur seien Data Goverance, Skills sowie vor allen Dingen Kommunikation nach innen und aussen. i INFO Die neue Datenschutzverordnung der EU Ab dem 25. Mai 2018 gelten in der Europäischen Union neue Datenschutzbestimmungen (EU-DSGVO/GDPR). Diese Regeln betreffen auch Unternehmen ausserhalb der EU, wenn sie Daten von in der EU ansässigen Personen bearbeiten. Die «Netzwoche» widmet dem Thema eine Artikelserie. Weitere Informationen finden Sie in einem Dossier auf unserer Website. Dossier online auf www.netzwoche.ch/eu-dsgvo Artikel online: www.netzwoche.ch ▸ Webcode DPF8_77486 www.netzwoche.ch © netzmedien ag 02 / 2018