Rainer Schwegler von Eset über die EU-DSGVO

Warum ist es auch für Schweizer Unternehmen wichtig, sich über die EU-Datenschutz-Grundverordnung (DSGVO) zu informieren?

Rainer Schwegler: Wir sind eine der führenden Exportnationen. Daher dürfte es in der Schweiz nur noch wenige Unternehmen geben, die nicht mit Geschäftspartnern, Kunden und Kundendaten aus dem europäischen Raum zu tun haben. Wer vom Aufschwung in der Eurozone auch zukünftig profitieren will, kommt an der DSGVO nicht vorbei. Dabei ist es unerheblich, ob man Niederlassungen in der EU betreibt, dort Dienstleistungen anbietet oder Kundendaten von EU-Bürgern in der Schweiz speichert.

Wie gut sind Schweizer Unternehmen auf die DSGVO vorbereitet?

Wann immer ich mit Unternehmern im KMU-Umfeld über das Thema spreche, erhalte ich oft die Antwort: "Ja, ich habe davon gehört." Manche haben die Unterlagen zur DSGVO ihren Anwälten zur Beurteilung weitergegeben, aber nur die allerwenigsten gehen diese Aufgabe konkret an. Im Enterprise-Segment sieht es deutlich anders aus. International aufgestellte Konzerne arbeiten bereits mit Hochdruck an der Umsetzung der DSGVO. Fairerweise muss man dazu sagen, dass sie auch mehr Ressourcen dafür haben als so mancher Mittelständler.

Was raten Sie Schweizer Unternehmen, die sich bisher noch nicht mit der DSGVO beschäftigt haben?

Die Revision unseres Datenschutzgesetzes befindet sich schon in der Vorbereitung und wird die Vorgaben der DSGVO sicherlich berücksichtigen. Alles andere würde die Zusammenarbeit mit Unternehmen in der EU unverhältnismässig erschweren, beispielsweise bei dem für schweizerische Firmen wichtigen Datenaustausch. Insofern tut jeder gut daran, sich frühzeitig mit dieser Problematik zu befassen. Ich kann nur empfehlen, die Expertise von Fachleuten einzuholen – je nachdem, wo Unterstützung benötigt wird. Zum Beispiel können Rechtsanwälte die eigenen Geschäftsbedingungen auf Konformität zur DSGVO überprüfen oder IT-Consultants die internen Prozesse analysieren sowie die technischen Vorgaben umsetzen. "Abwarten und Tee trinken" erscheint mir die falsche Reaktion auf die kommenden Veränderungen zu sein, die auf jeden Fall kommen werden. Die knappe Zeit bis zur Einführung der Datenschutzgrundverordnung am 25.05.2018 sollte effektiv genutzt werden.

Wo sehen Sie die grössten Herausforderungen für Schweizer Unternehmen?

Ich sehe zwei grosse Problemfelder neben der reinen technischen Umsetzung. Zum einen sollten Schweizer Unternehmen in der Entwicklung neuer Produkte und Dienstleistungen umdenken. Sie müssen nun dem Schutz der Personendaten noch mehr Rechnung tragen, Experten sprechen hier von "Privacy by design" und "Privacy by default". Da immer mehr Dinge Daten erfassen und über das Internet versenden, ist das zwingend vonnöten. Zum anderen stellt sich die einfache Frage: Wo liegen überhaupt unsere eigenen Daten? Und die Antwort gestaltet sich umso schwieriger, denn in vielen Unternehmen hat sich schleichend eine Schatten-IT entwickelt. Über die Jahre sind IT-Systeme immer stärker und oftmals unkontrolliert gewachsen – wer weiss noch zuverlässig, wo welche Daten gespeichert sind. Ganz heikel wird es dann, wenn Informationen in veralteten Datenformaten vorliegen. Wenn die von der DSGVO geforderte Verschlüsselung wirksam umgesetzt werden soll, muss dieses Problem als Erstes gelöst werden.

Was geschieht mit Schweizer Unternehmen, die gegen die DSGVO verstossen?

Die Europäische Union hat eindeutige Regeln aufgestellt und mit einem Bussgeldkatalog verknüpft, der klaren Abschreckungscharakter hat. Verstösse gegen die DSGVO können also richtig teuer werden. Natürlich gilt das zunächst "nur" für Unternehmen in der EU. Ich bin aber überzeugt, dass Wege gefunden werden, wie auch Verfehlungen Schweizer Unternehmen geahndet werden können. Und sei es nur, dass Datenverbindungen gekappt werden oder nicht mehr in der EU agiert werden darf. Das dürfte manches Unternehmen vielleicht noch härter treffen als so manches Bussgeld.

Welche Prozesse sind am stärksten von der neuen Verordnung betroffen?

Die DSGVO greift vom Prinzip her in alle Bereiche eines Unternehmens ein. So muss beispielsweise die IT sicherstellen, dass der aktuelle Sicherheitslevel Cyberangriffen zuverlässig standhält und die eigenen Daten komplett verschlüsselt sind. Organisatorische Massnahmen reichen von Verfahrensverzeichnissen über die Benennung des Datenschutzbeauftragten bis zur Neudefinition aller Prozesse, wie datenschutzrechtlich korrekt alle gespeicherten Informationen behandelt werden. Die Frage ist also weniger, welche Prozesse am meisten betroffen sind, sondern vielmehr, wo der meiste Handlungsbedarf in der eigenen Firma besteht.

Was muss der Channel besonders beachten?

Der Channel nimmt eine wichtige (Vermittler-)Rolle in dieser Frage ein. Die Aufklärung der Kunden in puncto DSGVO ist dabei ebenso wichtig wie die Beratung in technischen Fragen sowie das Bereitstellen von individuellen Lösungen für die spätere Umsetzung. Der Channel ist gut beraten, die Vorteile zu vermitteln, die die neuen Verordnungen mit sich bringen: Stärkere IT-Security, Verschlüsselung und 2-Faktor-Authentifizierung helfen jedem Unternehmen per se und nicht nur dem Kunden in der EU. Zudem sorgt der sorgsame Umgang mit Daten für Vertrauen beim Verbraucher und dient somit als wichtiges Werbeargument. Letztlich optimiert die Aktualisierung von Prozessen die interne Wertschöpfungskette und spart im besten Falle sogar Zeit und Geld. Je besser der Channel also arbeitet, desto grösser dürfte die Akzeptanz bei seinen Kunden sein.