GDPR - Warum Schweizer Firmen jetzt handeln müssen
Die EU will 2018 eine neue Datenschutzgrundverordnung umsetzen. Diese betrifft auch Firmen und Organisationen in der Schweiz. Kaum ein Unternehmen werde in der Lage sein, nicht gegen die Verordnung zu verstossen, warnten Experten an einer Veranstaltung von Infoniqa und Veritas in Zürich.
Cloud Computing, Bring your own Device und IT als Massenware haben IT allgegenwärtig gemacht. Das eröffnet bereits kleinen Unternehmen und Organisationen Möglichkeiten, die lange grossen Unternehmen vorbehalten waren. Ländergrenzen werden obsolet, Kunden können überall auf der Welt sein, viele leben im EU-Raum. Und das schafft demnächst neue Herausforderungen für Schweizer Firmen, aber auch Organisationen, an die man zunächst nicht denken würde.
Die Ursache klingt zunächst banal: Die EU lanciert eine neue Datenschutzgrundverordnung, die General Data Protection Regulation (GDPR). Dahinter verbirgt sich die Neuordnung des Datenschutzes in der EU. Aber nicht nur das. Unternehmen im Ausland sollen ebenfalls GDPR-konform arbeiten.
Infoniqa und Veritas veranstalteten diese Woche in Zürich einen Vortragsnachmittag zum Thema GDPR. Mit technischen Lösungen hielten sich die IT-Anbieter zurück. Stattdessen bereiteten sie die Bühne für den Vortrag von David Rosenthal, einem Rechtsexperten der Kanzlei Homburger. Ein guter Ansatz. Der Saal war bis auf den letzten Platz gefüllt, einige Besucher mussten im hinteren Teil des Saals stehen. Andere Interessierte hatten noch mehr Pech, sie standen auf einer Warteliste.
Rosenthal erläuterte die Hintergründe der GDPR. Im Prinzip sei diese der Versuch, den EU-Datenschutz auf die USA auszuweiten, erklärte der Jurist zu Beginn. Auch Firmen wie Facebook sollen künftig stärker zur Verantwortung gezogen werden.
Eigentlich könnten Schweizer Unternehmen aufatmen. Denn die Regeln seien in etwa vergleichbar mit unseren lokalen Bestimmungen zum Datenschutz. Allerdings werde die Schweizer Revision aller Wahrscheinlichkeit nach durchdachter sein, sagte Rosenthal. Denn in der EU gebe es gerne länderspezifische Ausnahmen, und das Regelwerk sei umfangreich. Rosenthal schliesst daraus: „Es gibt kaum eine Firma oder Behörde, welche die Datenschutzrichtlinien komplett wird einhalten können.“
Analysiert der Betreiber einer Website das Nutzerverhalten seiner Besucher, ist er verpflichtet, die Einwilligung für die Verwendung der Nutzerdaten einzuholen. Diese Einwilligung muss freiwillig und unmissverständlich sein. Ein Hinweis in den AGBs wird nicht mehr reichen. Bereits das könne bestraft werden, erklärte Rosenthal.
Und das kann künftig teuer werden. Die EU will im Ereignisfall Firmen 4 Prozent ihres Jahresumsatzes oder bis zu 20 Millionen Euro büssen. Dies habe viele Unternehmen aufgeschreckt. Um sich auf den Ernstfall vorzubereiten, sollten Unternehmen daher Szenarien durchspielen, um Risiken für sich abzuwägen.
Auch Personalabteilungen müssen sich mit der GDPR auseinandersetzen
Was muss etwa die Personalabteilung unternehmen, wenn etwa ein deutscher Mitarbeiter wieder nach Deutschland zurückkehrt und verlangt, dass alle seine Daten gelöscht werden? Und wo liegen diese Daten überhaupt, abgesehen von der offiziellen Datenbank der HR-Software?
Ähnliches gilt für Kundendaten. Ein europäischer Kunde kann künftig von einem Schweizer Anbieter verlangen, dass dieser seine Daten löscht. Kunden können auch die Migration ihrer Daten verlangen. So könnten Kunden etwa von Digitec verlangen, dass ihre Daten über Einkäufe an Brack migriert werden. Natürlich vorausgesetzt, dass beide Unternehmen Kunden in der EU beliefern.
Spitäler leben mit Risiko
Neben HR und Webshop-Betreibern sind auch Spezialisten im Gesundheitswesen gefragt. So fragte ein Gast, was Spitäler machen sollen, die einen EU-Bürger behandeln. Wie muss das Spital mit den Daten verfahren?
Rosenthal riet, die Daten an den nachbehandelnden Arzt im EU-Raum weiterzuleiten. So liesse sich das Risiko minimieren.
Die GDPR tritt voraussichtlich 2018 in Kraft. Nicht mehr viel Zeit, wie Rosenthal und auch Markus Mattmann, Country Manager Schweiz von Veritas, sowie Urs Tschudin, stv. Geschäftsführer von Infoniqa, einstimmig betonten. Denn die Verordnung betrifft nicht nur das Business. Stattdessen müssten die Rechtsabteilung und das Top-Management miteinbezogen werden.
Insbesondere das Top-Level sei in der Pflicht, hier den nötigen Druck aufzubauen und Unterstützung anzubieten, um interne Regeln anzupassen, Fallbeispiele auszuarbeiten und die nötige technische Ausrüstung bereitzustellen.