Aufrufe
vor 8 Monaten

Netzwoche 05/2018

  • Text
  • Unternehmen
  • Schweizer
  • Schweiz
  • Swiss
  • Netzmedien
  • Zuschlag
  • Dsgvo
  • Zusammenarbeit
  • Entwicklung
  • Webcode

12 Business

12 Business EU-Datenschutz-Grundverordnung «EU-DSGV-wo»? Auch in der Schweiz! Ab dem 25. Mai 2018 gilt’s ernst: die Datenschutzgrundverordnung der EU tritt in Kraft. Und mit ihr eine Fülle an neuen Pflichten und Anforderungen. Warum auch Schweizer Unternehmen sich darüber informieren sollten, erklären die Experten von Equinix, G Data, Eset, Ensec, Netapp sowie der Rechtsanwalt Martin Steiger im Podium. Interviews: Coen Kaat Roberto Cazzetta Marketing Director, Equinix Schweiz und Italien Warum ist es auch für Schweizer Unternehmen wichtig, sich über die EU-Datenschutz-Grundverordnung (DSGVO) zu informieren? Roberto Cazzetta: Diese Grundverordnung kommt zwar von der EU, trotzdem sind wir betroffen. Sobald ein Schweizer Unternehmen Services oder Produkte Personen aus der EU anbietet, ist es bereits von der DSGVO betroffen. Auf der anderen Seite bedeutet dies, dass nur Schweizer Unternehmen von dieser Grundverordnung ausgeschlossen sind, wenn sie Produkte und Services an Personen anbieten, die nicht aus der EU sind. Unsere Welt wird immer globaler; die Schweiz und die Schweizer Unternehmen betreiben Business und sind in Geschäftsbereichen tätig, die weit über die Schweizer Grenzen hinaus reichen. Wie gut sind Schweizer Unternehmen auf die DSGVO vorbereitet? Das ist schwierig zu beantworten und variiert sicher nach Branche, Zielkunden und Grösse des Unternehmens. Wir glauben, dass sich generell Schweizer Unternehmen gut auf die DSGVO vorbereiten; nicht nur aus gesetzlichen Gründen, sondern auch aufgrund der qualitätsbewussten Schweizer Unternehmenskultur. Wo sehen Sie die grössten Herausforderungen für Schweizer Unternehmen? Die grösste Herausforderung ist wahrscheinlich, herauszufinden, wie weit beziehungsweise mit wie viel Aufwand – Ressourcen, Prozesse und Budget – versucht werden soll, DSGVO-konform zu sein. Was geschieht mit Schweizer Unternehmen, die gegen die DSGVO verstossen? Da gibt es klare Regeln, die genau beschreiben, was in diesem Falle passiert. Darum lohnt es sich, in der Vorbereitung auf die DSGVO beziehungsweise auf das Datum des Inkrafttretens am 25. Mai 2018 den Rat oder die Betreuung eines Experten zu suchen – intern oder extern. Cornelia Lehle Sales Director Schweiz, G Data Warum ist es auch für Schweizer Unternehmen wichtig, sich über die EU-Datenschutz-Grundverordnung (DSGVO) zu informieren? Cornelia Lehle: Unternehmen werden in zahlreichen Fällen direkt dem Recht der Europäischen Union unterstellt sein, auch wenn die Daten in der Schweiz bearbeitet werden. Um sicherzustellen, dass die freie Datenübermittlung zwischen Schweizer Unternehmen und solchen in der Europäischen Union weiterhin möglich bleibt, wird auch der Datenschutz in der Schweiz revidiert. Wie gut sind Schweizer Unternehmen auf die DSGVO vorbereitet? Viele Schweizer Unternehmen sind bisher nur unzureichend auf die DSGVO vorbereitet und sind sich deren Tragweite nicht bewusst. Wir sehen hier noch dringenden Nachholbedarf. Wo sehen Sie die grössten Herausforderungen für Schweizer Firmen? Schweizer Unternehmen sehen sich bei der Umsetzung der DSGVO mit einigen Herausforderungen konfrontiert. Standardkonditionen wie Musterverträge, allgemeine Geschäftsbedingungen oder Daten schutz-Policies müssen überprüft werden. Auch bestehende Verträge mit Geschäftspartnern müssen dahingehend kontrolliert werden, ob sie mit den neuen Datenschutzanforderungen konform sind. Ebenso muss die IT-Infrastruktur genau untersucht und abge sichert werden. Was geschieht mit Schweizer Unternehmen, die gegen die DSGVO verstossen? Wenn eine Datenschutzbehörde einen Verstoss feststellt, kann eine Geldstrafe von bis zu maximal 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes drohen – je nachdem, welcher Betrag höher ist. Martin Steiger Rechtsanwalt, Steiger Legal Warum ist es auch für Schweizer Unternehmen wichtig, sich über die EU-Datenschutz-Grundverordnung (DSGVO) zu informieren? Martin Steiger: Die DSGVO wird für viele Schweizer Unternehmen gelten. Wer Personendaten von Personen in der EU bearbeitet, unterliegt gemäss dem Marktortprinzip weltweit der DSGVO. Auch werden viele Unternehmen in der EU von ihren Partnern in der Schweiz fordern, dass die DSGVO eingehalten wird. Wie gut sind Schweizer Unternehmen auf die DSGVO vorbereitet? Je grösser das Unternehmen, desto weiter sind die Vorbereitungen. Kleinen und mittleren Unternehmen fehlen häufig die Mittel, das Wissen und die Zeit, um sich auf die DSGVO vorzubereiten. Bürokratie und Regulierung, wie sie mit der DSGVO einhergehen, können sich eigentlich nur grosse Unternehmen leisten. Wo sehen Sie die grössten Herausforderungen für Schweizer Unternehmen? In vielen Punkten ist noch unklar, wie die umfangreiche, unübersichtliche und teilweise widersprüchliche DSGVO umgesetzt werden muss. Eine weitere Herausforderung sind amerikanische Unternehmen, von deren Diensten viele Schweizer Unternehmen abhängig sind. Immerhin haben Google und Microsoft diese Herausforderungen erkannt und helfen ihren Kundinnen und Kunden bei der Umsetzung. Was geschieht mit Schweizer Unternehmen, die gegen die DSGVO verstossen? Die DSGVO sieht hohe Bussgelder für Datenschutzverletzungen vor. Viele Schweizer Unternehmen hoffen, dass die DSGVO nicht so heiss gegessen, wie sie gekocht wird. 05 / 2018 www.netzwoche.ch © netzmedien ag

Business EU-Datenschutz-Grundverordnung 13 Rainer Schwegler Manager Territory Schweiz, Eset Deutschland Warum ist es auch für Schweizer Unternehmen wichtig, sich über die EU-Datenschutz-Grundverordnung (DSGVO) zu informieren? Rainer Schwegler: Wir sind eine der führenden Exportnationen. Daher dürfte es in der Schweiz nur noch wenige Unternehmen geben, die nicht mit Geschäftspartnern, Kunden und Kundendaten aus dem europäischen Raum zu tun haben. Wer vom Aufschwung in der Eurozone auch zukünftig profitieren will, kommt an der DSGVO nicht vorbei. Dabei ist es unerheblich, ob man Niederlassungen in der EU betreibt, dort Dienstleistungen anbietet oder Kundendaten von EU-Bürgern in der Schweiz speichert. Wie gut sind Schweizer Unternehmen auf die DSGVO vorbereitet? Wann immer ich mit Unternehmern im KMU-Umfeld über das Thema spreche, erhalte ich oft die Antwort: «Ja, ich habe davon gehört.» Manche haben die Unterlagen zur DSGVO ihren Anwälten zur Beurteilung weitergegeben, aber nur die allerwenigsten gehen diese Aufgabe konkret an. Im Enterprise-Segment sieht es deutlich anders aus. International aufgestellte Konzerne arbeiten bereits mit Hochdruck an der Umsetzung der DSGVO. Fairerweise muss man dazu sagen, dass sie auch mehr Ressourcen dafür haben als so mancher Mittelständler. Wo sehen Sie die grössten Herausforderungen für Schweizer Unternehmen? Ich sehe zwei grosse Problemfelder neben der reinen technischen Umsetzung. Zum einen sollten Schweizer Unternehmen in der Entwicklung neuer Produkte und Dienstleistungen umdenken. Sie müssen nun dem Schutz der Personendaten noch mehr Rechnung tragen, Experten sprechen hier von «Privacy by design» und «Privacy by default». Da immer mehr Dinge Daten erfassen und über das Internet versenden, ist das zwingend vonnöten. Zum anderen stellt sich die einfache Frage: Wo liegen überhaupt unsere eigenen Daten? Und die Antwort gestaltet sich umso schwieriger, denn in vielen Unternehmen hat sich schleichend eine Schatten-IT entwickelt. Über die Jahre sind IT-Systeme immer stärker und oftmals unkontrolliert gewachsen – wer weiss noch zuverlässig, wo welche Daten gespeichert sind. Ganz heikel wird es dann, wenn Informationen in veralteten Datenformaten vorliegen. Wenn die von der DSGVO geforderte Verschlüsselung wirksam umgesetzt werden soll, muss dieses Problem als Erstes gelöst werden. Was geschieht mit Schweizer Unternehmen, die gegen die DSGVO verstossen? Die Europäische Union hat eindeutige Regeln aufgestellt und mit einem Bussgeldkatalog verknüpft, der klaren Abschreckungscharakter hat. Verstösse gegen die DSGVO können also richtig teuer werden. Natürlich gilt das zunächst «nur» für Unternehmen in der EU. Ich bin aber überzeugt, dass Wege gefunden werden, wie auch Verfehlungen Schweizer Unternehmen geahndet werden können. Und sei es nur, dass Datenverbindungen gekappt werden oder nicht mehr in der EU agiert werden darf. Das dürfte manches Unternehmen vielleicht noch härter treffen als so manches Bussgeld. Simon Schneiter Senior Consultant GRC, Ensec Warum ist es auch für Schweizer Unternehmen wichtig, sich über die EU-Datenschutz-Grundverordnung (DSGVO) zu informieren? Simon Schneiter: Es sollte im Interesse eines jeden Unternehmens liegen, seine Geschäftstätigkeit im Einklang mit den geltenden rechtlichen und regulatorischen Vorgaben auszuführen oder zumindest das Risiko der Non-Compliance richtig einschätzen zu können. Dies funktioniert einzig und alleine dann, wenn sich eine Firma über die neue Rechtslage informiert. Zwar handelt es sich um eine EU-Verordnung, aber sie betrifft auch viele Schweizer Unternehmen – und nicht nur diejenigen, die eine Vertretung im EU-Raum haben. Wie gut sind Schweizer Unternehmen auf die DSGVO vorbereitet? Persönlich kenne ich nur einige wenige Unternehmen, die sich aktiv darauf vorbereiten oder vorbereitet haben. Die Mehrzahl scheint erst einmal abzuwarten. In Gesprächen mit Juristen und Compliance-Spezialisten bestätigte sich dieser Eindruck bisher. Wo sehen Sie die grössten Herausforderungen für Schweizer Unternehmen? Die grösste Herausforderung dürfte die oft anzutreffende Intransparenz in Bezug auf die Verarbeitung von Personendaten sein. Viele betroffene Firmen werden initial damit beschäftigt sein, herauszufinden, welche Personendaten verarbeitet werden, wie diese Verarbeitung aussieht und wo dies geschieht. Daneben existieren im Rahmen der DSGVO Anforderungen, die dazu führen werden, dass gewisse Unternehmen vorhandene Systeme ersetzen oder die Architektur überdenken müssen. Was geschieht mit Schweizer Unternehmen, die gegen die DSGVO verstossen? Gemäss der Verordnung drohen saftige Bussen, die durchaus auch existenzbedrohend sein können. Wie hoch diese Sanktionen in der Praxis ausfallen werden, und wie die entsprechenden Verfahren ablaufen werden, wird sich zeigen. Remo Rossi Senior Director, Netapp Schweiz in Zusammenarbeit mit Markus Näf, Rechtsanwalt bei der Kanzlei Bratschi Warum ist es auch für Schweizer Unternehmen wichtig, sich über die EU-Datenschutz-Grundverordnung (DSGVO) zu informieren? Remo Rossi: Die DSGVO gilt auch für Schweizer Unternehmen, wenn sie mit ihren Aktivitäten einen Bezug zur EU haben, also etwa ihre Produkte und Dienstleistungen in der EU anbieten oder Personendaten an einem Standort in der EU lagern und bearbeiten. Wie gut sind Schweizer Unternehmen auf die DSGVO vorbereitet? Schweizer Unternehmen verhalten sich in Bezug auf Datenschutz sehr korrekt. Auf die neuen Vorschriften der DSGVO sind viele jedoch nur schlecht vorbereitet. So ist das Wissen um die neuen Regeln bezüglich der Einwilligung in die Datenbearbeitung oder die Dokumentationspflichten sehr mangelhaft. Wo sehen Sie die grössten Herausforderungen für Schweizer Unternehmen? Da ist zum einen die fehlende Kenntnis über die konkreten Anforderungen und Auswirkungen der Verordnung. Zum anderen muss im Unternehmen eine Übersicht über alle erfassten, bearbeiteten, übermittelten und gespeicherten Personendaten und der verwendeten Applikationen und Drittunternehmen geschaffen werden. Liegt diese Übersicht einmal vor, können die Vorgaben der DSGVO eigentlich rasch zielgerichtet umgesetzt werden. Was geschieht mit Schweizer Unternehmen, die gegen die DSGVO verstossen? Theoretisch kann das Unternehmen mit bis zu 4 Prozent seines globalen Umsatzes gebüsst werden. Eine solche Busse ist jedoch ziemlich aufwändig und wird sicher nicht für irgendwelche Bagatellen vorgenommen. Die Drohkulisse mit den Millionen-Bussen ist daher sicher übertrieben. Viel eher werden Abmahnanwälte Unternehmen im Auftrag von Verbänden oder Mitbewerbern kostenpflichtig abmahnen, wenn zum Beispiel Einwilligungen oder Datenschutzerklärungen im Internet nicht korrekt sind. www.netzwoche.ch © netzmedien ag 05 / 2018