Datenschutz ist kein Pappenstiel

Man tut sich oft schwer, zwischen Datenschutz und -sicherheit zu unterscheiden. Während bei Datensicherheit die Informationen eingeschränkt (Vertraulichkeit), überprüfbar gemacht (Integrität) und mehrfach abgespeichert (Verfügbarkeit) werden, liegt beim Datenschutz der Fokus nicht auf den vorhandenen Daten, sondern bezieht sich auf deren Ursprung. Es geht im Wesentlichen um das Recht jeder Person, selbst zu bestimmen, wie mit den persönlichen Daten umgegangen werden soll.

Das soll sich nun ändern. Aber zum Glück sind wir Schweizer nicht in der EU. Denn dort bereitet die neue Datenschutz-Grundverordnung EU-DSGVO unseren Nachbarländern ziemliches Kopfzerbrechen. Nicht nur, dass der Begriff Datenschutz viel breiter gefasst ist – die Unternehmen müssen auch völlige Transparenz der verarbeitenden Prozesse und involvierten Parteien in der gesamten Supply Chain dokumentieren. Sogar die Cookies zum Tracken der Webbesucher gelten nun als personenbezogen, da mit der dort gesammelten IP-Adresse die Person relativ einfach identifiziert werden kann. Für sämtliche Verarbeitungen müssen ein konkreter Zweck formuliert und dazu eine formelle Bewilligung beantragt werden. Dann muss von jeder betroffenen Person eine Einwilligung eingeholt und es dürfen nur Daten für exakt diesen Zweck gesammelt werden. Jeder EU-Bürger hat das Recht, seine Daten einzusehen, korrigieren, sich aushändigen und gar einem anderen Unternehmen übertragen zu lassen. Er hat sogar das Recht auf «Vergessen werden» und die Löschung seiner Daten zu verlangen. Diese dazu notwendigen Prozesse müssen allesamt eingerichtet sein, weil die Durchführung solcher Anfragen in vorgegebener Zeit erfolgen muss. Datenpannen – auch beim indischen Partner – müssen innerhalb 72 Stunden der Datenschutzbehörde gemeldet werden. Und bei entsprechendem Vorfall auch jeder betroffenen Person. Die Umsetzungsfrist dauert noch bis zum 25. Mai 2018. Danach droht bei Verletzungen eine Busse von 4 Prozent des Weltumsatzes – oder 20 Millionen Euro, je nachdem was höher ist. Das nenne ich mal Signifikanz.

Dumm ist nur, dass die DSGVO nicht auf Firmen in der EU beschränkt ist. Sie gilt für alle Unternehmen weltweit, die Kunden, Mitarbeiter oder Webbesucher aus der EU haben. Das werden neben den Grossen wohl auch die meisten KMUs der Schweiz sein. Jetzt gibt schon eher einen Grund, nervös zu werden. Insbesondere für denjenigen, die bis jetzt gewartet und das Problem bei ihrem Rechtsdienst parkiert haben.