Im Räderwerk der Paragraphen

Die Europäische Union (EU) will dem Diebstahl und Missbrauch von Personendaten entgegentreten. Hierfür verabschiedete die Organisation die einheitliche im EU-Raum gültige Datenschutz-Grundverordnung (DSGVO). Diese gilt seit Ende Mai. Durch die Verordnung ergibt sich für die meisten Firmen die Notwendigkeit zu substanziellen Veränderungen in den Kontrollen und Reporting-Standards – mit allen Auswirkungen auf die Geschäftsabläufe. Bei Nichteinhaltung riskieren Unternehmen beträchtliche Geldbussen. Firmen müssen daher schleunigst sicherstellen, dass sie die von ihnen gesammelten Daten entsprechend der neuen Regeln und der umfangreichen Auflagen im Rahmen der DSGVO verarbeiten. Das stellt auch Schweizer Unternehmen vor einige Herausforderungen.

Die DSGVO sorgte bereits in den vergangen Monaten für Schlagzeilen wegen der drastischen Anhebung der Strafen, die von der Regulierungsbehörde verhängt werden können. Die Sanktionen sollen «effektiv, proportional und abschreckend» sein. Das Bussgeldsystem ist innerhalb der EU vereinheitlicht. Allerdings gilt es abzuwarten, wie diese Strafen in der Praxis gehandhabt werden, da die Regulierungsbehörden konsistent sein wollen.

Es ist allerdings davon auszugehen, dass die ersten Fälle, die auftreten, umfassend untersucht werden, um sicherzustellen, dass jede Strafe angemessen festgelegt wird. Auch lässt sich festhalten, dass die DSGVO zwei Ebenen an maximalen Strafen vorsieht, abhängig von der Art des Verstosses. Der höhere Grenzwert ist bei 4 Prozent des weltweiten jährlichen Umsatzes gedeckelt oder beträgt, falls diese Summe geringer ist, 20 Millionen Euro bei schwerwiegenden Verstössen gegen die Verordnung. Sprich bei einer Verletzung der Datenschutzrechte von Personen. Um den genauen Betrag festlegen zu können, ist es im Rahmen der DSGVO erforderlich, dass die Aufsichtsbehörde eine Reihe erschiedener Faktoren berücksichtigt. Darunter fallen beispielsweise die Art der betroffenen Daten, die Eindämmungsmassnahmen, die das Unternehmen ergriffen hat, und bisherige Verstösse. Das bedeutet, dass bei der Bewertung eines möglichen Verstosses in Bezug auf die DSGVO diejenigen Unternehmen, die verantwortungsbewusste Schritte zur Erfüllung der DSGVO-Anforderungen eingeleitet haben, positiv beurteilt werden.

Auch Schweizer Unternehmen sollten mit der Umsetzung der DSGVO-Compliance im besten Fall bereits fertig sein oder zumindest sehr weit fortgeschritten. Grundlegend ist, dass sich alle Entscheidungsträger in Unternehmen über die Inhalte der neuen Verordnung im Klaren sind und wissen, was nötig ist, um die Compliance sicherzustellen, wenn sie Kunden im EU-Raum haben. Die künftigen alltäglichen Herausforderungen für Unternehmen werden sein, ihre Datenbestände zu verstehen und zu wissen, wohin diese Daten fliessen – eine grosse Herausforderung. Diese Herausforderung spüren insbesondere Unternehmen, deren Denkansatz traditionell nicht datenzentriert war. Dort muss die Führungsspitze bestimmen, wo jegliche persönlichen Daten gespeichert werden und wer die Daten verwaltet. Zusätzlich sollten sie sich darüber bewusst sein, welche Datenschutzregeln gelten.

Doch nicht alle Schweizer Firmen haben die Kapazitäten und Kompetenzen, ihre Datenflüsse von IT-Fachkräften verwalten zu lassen. In ganz Europa werden branchenübergreifend Experten für Digital- und Datenschutzprojekte dringend benötigt. Die Nachfrage ist um einiges höher als das Angebot, die Schweiz bildet hierbei keine Ausnahme. In einer Umfrage von Interoute unter Schweizer IT-Führungskräften (vgl. Grafik links) gab über die Hälfte der Befragten an, dass Projekte im Bereich digitale Transformation mindestens 20 Prozent teurer sind als andere IT-Projekte und dadurch auch schwerer umzusetzen. Ein Symptom des Fachkräftemangels. Daher ist es sinnvoll, sich die Unterstützung eines kompetenten IT-Dienstleisters ins Haus zu holen. Für Provider gehören Datenschutz und Datenverfügbarkeit zum Kerngeschäft. Zusätzlich sichern sie durch regelmässige Updates die Wahrung der IT-Sicherheit und haben zusätzlich gut ausgebildetes Personal.

Die Versuchung ist gross, das Risiko, welches sich aus der DSGVO für Unternehmen ergibt, vollständig auf seinen IT-Dienstleister abzuwälzen. Allerdings wird unter der Verordnung sowohl vom Datenverantwortlichen – normalerweise dem Unternehmenskunden – als auch vom Datenverarbeiter – oft der Dienstleister – verlangt, die bestehenden Risiken bei der Verarbeitung im Vorfeld zu beurteilen, um anschliessend Massnahmen einzuführen, um diese Risiken zu senken. Das kann etwa die Verschlüsselung von Daten sein. Diese Massnahmen sollten adäquate Sicherheitsstandards, einschliesslich Vertraulichkeit, sicherstellen. Darüber hinaus sollten sie den neusten Stand der Technik und der Implementierungskosten im Verhältnis zu den Risiken und der Art von persönlichen Daten, die geschützt werden sollen, berücksichtigen. Unternehmen sind daher angehalten, mit ihren IT-Dienstleistern zusammenarbeiten, um sicherzustellen, dass jegliche Datenverarbeitung transparent ist und dass vorhandene technische und organisatorische Massnahmen ein sinnvolles Mass an Schutz gewährleisten.