Ist die neue EU-DSGVO auch für Schweizer Firmen relevant?

Die GDPR (General Data Protection Regulation = Datenschutz-Grundverordnung, im Folgenden EU-DSGVO genannt) ist die neue EU-Datenschutzverordnung, die ab dem 25. Mai 2018 unmittelbar anwendbar ist und deutlich höhere Anforderungen als die bisherige, über 15 Jahre alte EU-Datenschutz-Richtlinie stellt. Sie besteht aus 99 Artikeln und 173 erläuternden Erwägungsgründen und ist auf weit mehr als nur Unternehmen in der EU anwendbar. Die EU-DSGVO entfaltet ihre rechtliche Wirkung je nach Situation weltweit auf Unternehmen auch ausserhalb der EU.

Sanktionen/Pflichten

Bei Verstössen können Strafen von bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro fällig werden (Art. 83). Datenschutzverletzungen müssen innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet (Art. 33) und die Betroffenen bei Bestehen eines hohen Risikos für die persönlichen Rechte und Freiheiten ohne unangemessene Verzögerung benachrichtigt werden (Art. 34). Angenommen jedoch, personenbezogene Daten wurden vor deren Diebstahl verschlüsselt und der Schlüssel wurde nicht entwendet, weil er separat aufbewahrt wurde, so entfällt die Verpflichtung, die Betroffenen zu informieren.

Berücksichtigt werden sollte auch, dass die Aufsichtsbehörden berechtigt sind, temporäre oder endgültige Beschränkungen oder gar die Einstellung von Verarbeitungstätigkeiten zu verhängen (Art. 58). Jede Person, der wegen eines Verstosses gegen die Datenschutzgrundverordnung ein Schaden (materiell oder immateriell) entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen die Firma, welche die Daten verarbeitet hat (Art. 82). Die betroffenen Personen haben zudem das Recht, sich bei der Durchsetzung der Schadensersatzansprüche durch Organisationen und Vereinigungen, wie beispielsweise durch eine Verbraucherschutzorganisation, vertreten zu lassen (Art. 80). Betroffene haben ausserdem das Recht, Beschwerde bei den zuständigen Datenschutzaufsichtsbehörden einzulegen (Art. 77).

Schweizer Recht

In den meisten internationalen Konstellationen mit Bezug zur Schweiz kommen die EU-DSGVO und das schweizerische Datenschutzgesetz gemeinsam zur Anwendung. Das totalrevidierte schweizerische Datenschutzgesetz (DSG), das schon bald in Kraft treten wird, sieht Strafen von maximal 500 000 Franken vor. Wichtig zu wissen ist, dass die Strafe primär an die für die Datenbearbeitung verantwortliche natürliche Person und nicht an das Unternehmen ausgesprochen wird.

Verarbeitungsverzeichnisse

Unter gewissen Voraussetzungen müssen Unternehmen ein "Verzeichnis aller Verarbeitungstätigkeiten" für ihre Verantwortungsbereiche führen (Art. 30). Dieses Verzeichnis muss unter anderem folgende Informationen beinhalten:

• Zweck der Verarbeitung (z. B. Personalbeurteilung)

• Beschreibung der Kategorien betroffener Personen (z. B. ­Beschäftigte)

• Kategorien personenbezogener Daten (z. B. Beurteilungen)

• Informationen im Hinblick auf Übermittlung in Drittländer (z. B. Cloud-Services)

• Informationen bezüglich Fristen der Aufbewahrung beziehungsweise Löschung von Daten (z. B. nach Ausscheiden einer betroffenen Person aus einem Unternehmen gibt es eine einmonatige Frist, bevor die Daten gelöscht werden).

• Beschreibung der Sicherheitsvorkehrungen (z. B. Verschlüsselung der Daten)

Das Führen von Verarbeitungsverzeichnissen ist der Ausgangspunkt für IT-Sicherheit im Rahmen der Compliance bezüglich der Datenschutzgrundverordnung. Das Verzeichnis sollte kontinuierlich ergänzt werden und in aktueller Form zur Hand sein, damit dieses auf Anforderung einer Datenschutzaufsichtsbehörde zur Verfügung gestellt werden kann.

Datenschutz-Folgeabschätzung

Risiken bilden einen zentralen Bestandteil in der EU-DSGVO. Das Wort "Risiko" kommt in der Verordnung insgesamt 75 Mal vor. Zum Ausdruck kommt dies beispielsweise in Artikel 35: Wenn in der Verarbeitung von Daten absehbar hohe Risiken für die Rechte und Freiheiten natürlicher Personen zu erwarten sind, muss vorab eine Datenschutz-Folgeabschätzung seitens des Unternehmens erfolgen. Damit sollen die anwendbaren Datensicherheitsmassnahmen identifiziert und beurteilt werden, ob die Aufsichtsbehörden in die Freigabe der Datenverarbeitung einbezogen werden müssen.

Letztlich sollte jede Firma, die personenbezogene Daten verarbeitet, für jede Anwendung eine seriöse Risikoabschätzung durchführen und adäquate Schutzmechanismen einführen und anwenden. Im Klartext bedeutet dies, dass ein Unternehmen

1. wissen muss, welche personenbezogenen Daten verarbeitet werden und wo sich diese im System befinden,

2. die Risiken für die Betroffenen kennen muss,

3. grundlegende Datensicherheitsmassnahmen implementiert hat und

4. zusätzliche Sicherheit schaffen und eine funktionierende IT sicherstellen muss.

Betroffenenrechte

In den Artikeln 15 bis 20 sind die sogenannten Betroffenenrechte beschrieben. Diese beinhalten:

• Auskunftsrechte der betroffenen Person (Art. 15)

• Recht auf Berichtigung (Art. 16)

• Recht auf Löschung (Art. 17)

• Recht auf Einschränkung der Verarbeitung (Art. 18)

• Mitteilungspflichten in Zusammenhang mit der Berichtigung oder Löschung von Daten oder der Einschränkung der Verarbeitung (Art. 19)

• Recht auf Datenübertragbarkeit (Art. 20)

Besserer Datenschutz muss kein Vermögen kosten

Aufgrund der bisherigen Ausführungen sollte klar sein, dass eine fahrlässige Handhabung des Datenschutzes kein Kavaliersdelikt (mehr) ist. Es gilt also die Mittel, die für Datenschutz zur Verfügung stehen, sinnvoll einzusetzen.

Hierbei kann der "Data Breach Investigations Report", der kürzlich zum zehnten Mal erstellt wurde, Hilfestellung leisten. In diesem Bericht werden jeweils die Datendiebstähle des vergangenen Jahres analysiert und Trends in der Cybersecurity aufgezeigt. Interessanterweise haben sich die von den Datendieben genutzten Lücken über die Jahre kaum verändert.

Dem kürzlich für das Jahr 2017 erschienenen Bericht kann beispielsweise entnommen werden, dass 75 Prozent aller Diebstähle von Aussenstehenden erfolgten und an 25 Prozent der Fälle interne Mitarbeiter beteiligt waren.

Nach wie vor sind schwache Passwörter eine grosse Lücke (für 81 Prozent aller Hacking-Attacken verantwortlich). Empfehlung: zentrales Passwortmanagement, das nur starke Passwörter erlaubt.

Dem Bericht des Jahres 2016 ist zu entnehmen, dass weit über 95 Prozent aller ausgenutzten Sicherheitslücken seit mehr als einem Jahr – im Durchschnitt über sechs Jahre – bekannt sind. Empfehlung: jährliches oder noch besser halbjährliches Patchmanagement, das den Grossteil der Datendiebstähle verhindert hätte.

Dem Bericht des Jahres 2015 ist zu entnehmen, dass 60 Prozent aller Incidents auf menschliche Fehler von Administratoren zurückzuführen sind. Empfehlung: Go for engineered systems!

Fazit

Die EU-DSGVO ist auch für sehr viele Schweizer Firmen relevant und Verstösse können hohe Strafen nach sich ziehen. Deshalb ist es wichtig, die Ressourcen, die für Datenschutz zur Verfügung stehen, optimal einzusetzen. Dies kann erreicht werden, indem etwa in die Bereiche Passwortmanagement, Patchmanagement und Standardisierung (z. B. durch engineered systems) investiert wird. Zusätzlich ist der Grundsatz "least privilege" lohnenswert, in dem den jeweiligen Mitarbeitern nur die zur Ausübung einer gewissen Tätigkeit minimal notwendigen Rechte vergeben werden.