Podium

Simon Schneiter von Ensec über die EU-DSGVO

Uhr
von Coen Kaat

Ab dem 25. Mai 2018 gilt’s ernst: die Datenschutzgrundverordnung der EU tritt in Kraft. Und mit ihr eine Fülle an neuen Pflichten und Anforderungen. Warum auch Schweizer Unternehmen sich darüber informieren sollten, erklärt Simon Schneiter, Senior Consultant GRC, Ensec.

Simon Schneiter, Senior Consultant GRC, Ensec. (Source: Cornelius Fischer)
Simon Schneiter, Senior Consultant GRC, Ensec. (Source: Cornelius Fischer)

Warum ist es auch für Schweizer Unternehmen wichtig, sich über die EU-Datenschutz-Grundverordnung (DSGVO) zu informieren?

Simon Schneiter: Es sollte im Interesse eines jeden Unternehmens liegen seine Geschäftstätigkeit im Einklang mit den geltenden rechtlichen und regulatorischen Vorgaben auszuführen oder zumindest das Risiko der Non-Compliance richtig einschätzen zu können. Dies funktioniert einzig und alleine dann, wenn sich eine Firma über die neue Rechtslage informiert. Zwar handelt es sich um eine EU-Verordnung, aber sie betrifft auch viele Schweizer Unternehmen – und nicht nur diejenigen, die eine Vertretung im EU-Raum haben.

Wie gut sind Schweizer Unternehmen auf die DSGVO vorbereitet?

Persönlich kenne ich nur einige wenige Unternehmen, die sich aktiv da­rauf vorbereiten oder vorbereitet haben. Die Mehrzahl scheint erst einmal abzuwarten. In Gesprächen mit Juristen und Compliance-Spezialisten bestätigte sich dieser Eindruck bisher.

Was raten Sie Schweizer Unternehmen, die sich bisher noch nicht mit der DSGVO beschäftigt haben?

Diese Unternehmen sollten sich dringend informieren und analysieren inwiefern sie betroffen sind. Betroffene Unternehmen sollten anschliessend eine Gap-Analyse durchführen und darauf basierend einen Massnahmenplan festlegen.

Wo sehen Sie die grössten Herausforderungen für Schweizer ­Unternehmen?

Die grösste Herausforderung dürfte die oft anzutreffende Intransparenz in Bezug auf die Verarbeitung von Personendaten sein. Viele betroffenen Firmen werden initial damit beschäftigt sein, herauszufinden, welche Personendaten verarbeitet werden, wie diese Verarbeitung aussieht und wo dies geschieht. Daneben existieren im Rahmen der DSGVO Anforderungen, die dazu führen werden, dass gewisse Unternehmen vorhandene Systeme ersetzen oder die Architektur überdenken müssen.

Was geschieht mit Schweizer Unternehmen, die gegen die DSGVO verstossen?

Gemäss der Verordnung drohen saftige Bussen, die durchaus auch existenzbedrohend sein können. Wie hoch diese Sanktionen in der Praxis ausfallen werden, und wie die entsprechenden Verfahren ablaufen werden, wird sich zeigen.

Welche Prozesse sind am stärksten von der neuen Verordnung betroffen?

Betroffen sind prinzipiell diejenigen Prozesse, welche Personendaten verarbeiten. Welche Prozesse am stärksten angepasst werden müssen, ist sicherlich abhängig vom Unternehmen. Prozesse, welche Personendaten sammeln und für Zwecke verwenden, die für die eigentliche Vertragserfüllung nicht relevant sind, werden allenfalls hinterfragt werden. Erstens können solche Verwendungen in Zukunft durch die betroffenen Personen untersagt werden und zweitens werden Kosten-Nutzen-Analysen in solchen Bereichen durch die gestiegenen Datenschutz-Aufwände zu anderen Resultaten kommen.

Was muss der Channel besonders beachten?

Die neue Verordnung stellt neue Anforderungen an den Datenschutz und verleiht bereits vorhandenen Forderungen mittels der angedrohten Sanktionen mehr Druck. Dadurch entsteht auf Seiten der betroffenen Unternehmen ein Bedarf für neue Lösungen. Um die Kunden hierbei optimal beraten zu können, ist es wichtig auf Seiten der Verkäufer das entsprechende DSGVO-Know-how aufzubauen.

Webcode
DPF8_78467