"Die Anforderungen an die Sicherheit erfordern oft einen Umbau der IT"
Das Interesse am Thema EU-DSGVO ist gross. Eine der grössen Herausforderungen ist für Pascal Stürchler, CEO und Gründer von Acceleris, die Datensicherheit. Im Interview erklärt er, wie Firmen bei der Implementierung der EU-DSGVO vorgehen sollten und warum mehr Datenschutz Vorteile für alle bietet.
Am 25. Mai endet die Übergangsfrist für die neue EU-Datenschutz-Grundverordnung. Sind Schweizer Firmen vorbereitet?
Pascal Stürchler: Schaut man sich die Teilnehmerzahlen bei DSGVO-Veranstaltungen und die Anzahl solcher Events an, dann ist das Interesse von Schweizer Unternehmen an dieser neuen Datenschutz-Grundverordnung klar ersichtlich. Inwiefern über dieses Interesse hinaus die Unternehmen auch wirklich vorbereitet sind, ist schwierig abzuschätzen. Dabei gehe ich aber davon aus, dass sich zumindest die Sensibilität für datenschutzrechtliche Themen sicher grundsätzlich erhöht hat und sich das bei zukünftigen Geschäften bemerkbar machen wird.
Was empfehlen Sie Firmen, die sich noch nicht mit der EU-DSGVO befasst haben? Sie haben ja kaum noch Zeit für die Umsetzung.
Das Thema ist ernst zu nehmen, und Schweizer Firmen sollten sich daher rasch mit den Anforderungen der EU-DSGVO vertraut machen. Zum Einstieg ins Thema ist der Besuch eines entsprechenden Vortrags sicherlich zu empfehlen. Der erhaltene, grobe Überblick hilft, die weiteren Schritte zu bestimmen. Die Anzahl solcher Veranstaltungen wird mit grosser Wahrscheinlichkeit nicht abnehmen, denn Best Practices werden erst nach und nach entstehen. Ebenso werden erste ausgesprochene Bussen den allgemeinen Druck zusätzlich erhöhen.
Wie sollten Firmen vorgehen?
Als Erstes sollte analysiert werden, welche unterschiedlichen Konstellationen bezüglich der Verarbeitung von Personendaten im Unternehmen vorkommen. Aufgrund dessen können, allenfalls mit juristischer Hilfe, die effektiven Anforderungen definiert werden. Damit der Prozess der Umsetzung möglichst schnell und effizient ablaufen kann, sollte die Umsetzung insgesamt als Projekt angesehen werden, inklusive der Ernennung eines dedizierten Projektteams und der Planung von Milestones. Aufgrund einer detaillierten Risikoeinschätzung muss allenfalls entschieden werden, ob gewisse Datenverarbeitungen bis zur kompletten Implementierung der benötigten Änderungen unterbrochen sowie Verträge mit externen Datenverarbeitern auf Eis gelegt werden sollen. Als erste Schritte könnten das Zusammenstellen der bereits existierenden Dokumente zum Thema Datenschutz, Überlegungen zu den vorhandenen und benötigten Ressourcen und Kenntnissen sowie die Dokumentation und eine rechtliche Einschätzung im Zentrum stehen.
Vonseiten einiger KMUs heisst es, dass sie gar keine Ressourcen hätten, um die EU-DSGVO umzusetzen. Was raten Sie diesen Unternehmen?
Ich rate Unternehmen, eine Umsetzung der EU-DSGVO nicht primär als zusätzlichen Aufwand ohne Ertrag zu sehen, sondern als Investition für eine bessere Leistungserbringung, namentlich, um Kundenvertrauen zu gewinnen und generell die Beziehung zum Kunden zu stärken. Aus diesem Grund und dennoch auch aufgrund der hohen Bussen im Falle von Verstössen, ist es ratsam, hier allenfalls Ressourcen zu schaffen oder auf externe Ressourcen zurückzugreifen und diese dann optimal einzusetzen. Falls jedoch die Anforderungen an die Datensicherheit zu hoch erscheinen und dies ein Unternehmensrisiko darstellt, ist es durchaus sinnvoll, die Verwaltung der Unternehmensdaten durch einen professionellen Anbieter ausführen zu lassen.
Wo liegen die grössten Herausforderungen bei der Umsetzung?
Als technische Herausforderungen bei der Umsetzung ist sicher die eigentliche Datensicherheit zu sehen. Die Anforderungen an die Sicherheit erfordern oft einen Umbau der IT. Die bei einem Umbau erforderliche Migration der Daten sowie die Länge des Prozesses werden dabei oft unterschätzt. Zudem sehe ich Herausforderungen im Bereich Compliance. Diese erfordert einen ganzheitlichen Überblick über alle Daten. Das bedeutet, dass zuerst ein Dateninventar erstellt werden sollte: Was ist alles da? Welche Daten sind wo im System? Gibt es Daten, die von Dritten ebenfalls verarbeitet werden? Diese Daten müssen dann mit einer Risikoanalyse bewertet und kategorisiert werden. Bei einem hohen Risiko muss vorab eine Datenschutz-Folgeabschätzung seitens des Unternehmens erfolgen. Zuletzt müssen natürlich auch die Mitarbeitenden entsprechend geschult werden. Hier wäre aufgrund der raschen Entwicklung auch zu empfehlen, solche Schulungen regelmässig durchzuführen.
Die EU-DSGVO bedeutet Mehrarbeit für Unternehmen. Ist sie für Firmen bloss ein Ärgernis oder gibt es auch Chancen?
Wie schon erwähnt, sehe ich durchaus grosse Chancen, die sich durch die EU-DSGVO ergeben können. Die Erneuerung der Datenschutzregelung ist nicht aus Langeweile der Politiker entstanden, sondern der Schutz der eigenen Personendaten ist ein zentrales Anliegen von uns allen. Wenn die ICT-Branche geschlossen durch die Gewährleistung des Datenschutzes diese Kundenanliegen ernst nimmt, stärkt dies das Vertrauen in die Digitalisierung beziehungsweise vermindert die diesbezüglichen Bedenken. Dadurch profitiert die ganze ICT-Branche.
Gibt es bei Acceleris viele Nachfragen zur EU-DSGVO?
Bereits einige Male wurden wir aktiv von Kunden bezüglich der DSGVO angefragt. Oft wird gefragt, was denn nun genau die Auswirkungen auf Unternehmen seien. Gerne informieren wir Kunden vor Ort über die datenschutzrechtliche Entwicklung. Aufgrund der Nachfrage von bestehenden und potenziellen Kunden nach der DSGVO halten wir auch Events mit Partnern ab, wie beispielsweise den "Public Sector Round Table on GDPR", der am 24. April stattfand, und den Acceleris gemeinsam mit Oracle organisierte. Eine Wiederholung des Events in der Westschweiz ist bereits geplant.
Acceleris bietet mit Nubiq auch eine Cloud an. Wie beeinflusst die EU-DSGVO die Cloud?
Die Cloud ist stets ein Vertrauensgeschäft. Ein Cloud-Provider überzeugt Kunden, indem er mit seiner ehrlichen, professionellen und transparenten Dienstleistung das Vertrauen der Kunden gewinnt. Angesichts der EU-DSGVO sind diese Grundsätze nun sogar eine Pflicht. Insgesamt wird die gesamte Cloud-Computing-Branche durch diese Transparenzvorschriften und dem daraus resultierenden Vertrauen gegenüber der Cloud profitieren. Ausserdem bedeutet die gegenwärtige Entwicklung im Datenschutzbereich, dass die Themen Datensicherheit und (IT-)Recht für Cloud-Provider schon jetzt sehr wichtig sind und stetig an Bedeutung gewinnen. Acceleris trägt dem mit zwei von ihren insgesamt fünf ISO-Zertifizierungen gründlich Rechnung, nämlich in Informationssicherheit (ISO 27001) und in Datenschutz für Cloud-Dienste (ISO 27018). Ausser diesen alljährlichen externen ISO-Überprüfungen ist uns wichtig, unsere Cloud-Plattform regelmässig einem externen Penetration-Test zu unterziehen. Zudem ermöglicht uns die Schaffung einer internen Legal-&-Compliance-Stelle Mitarbeitende regelmässig zu datenschutzrechtlichen Entwicklungen und Fragestellungen zu schulen und eine stetige Überprüfung unserer Dienstleistungsprozesse, insbesondere im Hinblick auf Datenschutz.
Wer profitiert am meisten vom besseren Datenschutz?
Für die Kunden ist ein besserer Datenschutz natürlich wichtig. Zudem können, wie erwähnt, auch Firmen und ganze Branchen profitieren. Ein besserer Datenschutz tut uns allen gut!