Neue Datenschutzgrundverordnung

GDPR - Warum Schweizer Firmen jetzt handeln müssen

Uhr | Updated

Die EU will 2018 eine neue Datenschutzgrundverordnung umsetzen. Diese betrifft auch Firmen und Organisationen in der Schweiz. Kaum ein Unternehmen werde in der Lage sein, nicht gegen die Verordnung zu verstossen, warnen Experten.

Cloud Computing, Bring your own Device und IT als Massenware haben IT allgegenwärtig gemacht. Das eröffnet bereits kleinen Unternehmen und Organisationen Möglichkeiten, die lange grossen Unternehmen vorbehalten waren. Ländergrenzen werden obsolet, Kunden können überall auf der Welt sein, viele leben im EU-Raum. Und das schafft demnächst neue Herausforderungen für Schweizer Firmen, aber auch Organisationen, an die man zunächst nicht denken würde.

Die Ursache klingt zunächst banal: Die EU lanciert eine neue Datenschutzgrundverordnung, die General Data Protection Regulation (GDPR). Dahinter verbirgt sich die Neuordnung des Datenschutzes in der EU. Aber nicht nur das. Unternehmen im Ausland sollen ebenfalls GDPR-konform arbeiten.

Ausgebuchte Info-Veranstaltung

Infoniqa und Veritas veranstalteten diese Woche in Zürich einen Vortragsnachmittag zum Thema GDPR. Mit technischen Lösungen hielten sich die IT-Anbieter zurück. Stattdessen bereiteten sie die Bühne für den Vortrag von David Rosenthal, einem Rechtsexperten der Kanzlei Homburger. Ein guter Ansatz. Der Saal war bis auf den letzten Platz gefüllt, einige Besucher mussten im hinteren Teil des Saals stehen. Andere Interessierte hatten noch mehr Pech, sie standen auf einer Warteliste.

Rosenthal erläuterte die Hintergründe der GDPR. Im Prinzip sei diese der Versuch, den EU-Datenschutz auf die USA auszuweiten, erklärte der Jurist zu Beginn. Auch Firmen wie Facebook sollen künftig stärker zur Verantwortung gezogen werden.

Eigentlich könnten Schweizer Unternehmen aufatmen. Denn die Regeln seien in etwa vergleichbar mit unseren lokalen Bestimmungen zum Datenschutz. Allerdings werde die Schweizer Revision aller Wahrscheinlichkeit nach durchdachter sein, sagte Rosenthal. Denn in der EU gebe es gerne länderspezifische Ausnahmen, und das Regelwerk sei umfangreich. Rosenthal schliesst daraus: „Es gibt kaum eine Firma oder Behörde, welche die Datenschutzrichtlinien komplett wird einhalten können.“

Website-Betreiber sollten genau hinsehen

Analysiert der Betreiber einer Website das Nutzerverhalten seiner Besucher, ist er verpflichtet, die Einwilligung für die Verwendung der Nutzerdaten einzuholen. Diese Einwilligung muss freiwillig und unmissverständlich sein. Ein Hinweis in den AGBs wird nicht mehr reichen. Bereits das könne bestraft werden, erklärte Rosenthal.

Und das kann künftig teuer werden. Die EU will im Ereignisfall Firmen 4 Prozent ihres Jahresumsatzes oder bis zu 20 Millionen Euro büssen. Dies habe viele Unternehmen aufgeschreckt. Um sich auf den Ernstfall vorzubereiten, sollten Unternehmen daher Szenarien durchspielen, um Risiken für sich abzuwägen.

Auch Personalabteilungen müssen sich mit der GDPR auseinandersetzen

Gemäss dem Bundesamt für Statistik arbeiteten im zweiten Quartal dieses Jahres gut 60'000 Grenzgänger aus Deutschland in Schweizer Unternhmen.

Durch GDPR können alle diese Mitarbeiter beim Austritt aus der Firma verlangen, dass ihre Daten gelöscht werden. Das könnte zur Herausforderungen in mancher HR-Abteilung werden. Was muss die Personalabteilung konkret unternehmen? Und wo liegen diese Daten überhaupt, abgesehen von der offiziellen Datenbank der HR-Software? Welcher Linienvorgesetzte hat auf seinem Smartphone noch einen Entwurf für ein Zwischenzeugnis gespeichert?

Ähnliches gilt für Kundendaten. Ein europäischer Kunde kann künftig von einem Schweizer Anbieter verlangen, dass dieser seine Daten löscht. Kunden können auch die Migration ihrer Daten verlangen. So könnten Kunden etwa von Digitec verlangen, dass ihre Daten über Einkäufe an Brack migriert werden. Natürlich vorausgesetzt, dass beide Unternehmen Kunden in der EU beliefern.

Spitäler leben mit Risiko

Neben HR und Webshop-Betreibern sind auch Spezialisten im Gesundheitswesen gefragt. So fragte ein Gast, was Spitäler machen sollen, die einen EU-Bürger behandeln. Wie muss das Spital mit den Daten verfahren?

Rosenthal riet, die Daten an den nachbehandelnden Arzt im EU-Raum weiterzuleiten. So liesse sich das Risiko minimieren.

Ein Gast wies auf die Aufbewahrungspflicht von Daten hin. Diese sei der EU-Vorgabe zwar übergeordnet, erklärte Rosenthal. Aber: Wer Daten erhebe sei auch verpflichtet nur so wenige Informationen zu sammeln wie nötig. Auch hier gilt es, abzuwägen und im Zweifelsfall Rechntsexperten hinzuzuziehen.

Verbände könnten helfen

Doch welches kleine Unternehmen kann sich teure Anwälte leisten, um all seine möglichen Geschäftsvorfälle datenschutzrechtlich prüfen zu lassen? Deshalb sieht Urs Tschudin, stv. Geschäftsführer von Infoniqa hier auch die Verbände in der Pflicht.

Diese könnten helfen, branchenspezifische Regeln aufzustellen und Fallbeispiele zu nennen. So könnte etwa Hotelleriesuisse kleinen Gasthäusern einen grossen Dienst erweisen, die oft Gäste aus dem EU-Ausland beherbergen und deren Daten korrekt verwalten müssen.

Jetzt handeln

Die GDPR tritt voraussichtlich 2018 in Kraft. Nicht mehr viel Zeit, wie Rosenthal und Tschudin sowie Markus Mattmann, Country Manager Schweiz von Veritas, einstimmig betonten. Denn die Verordnung betrifft nicht nur das Business. Stattdessen müssten die Rechtsabteilung und das Top-Management miteinbezogen werden.

Insbesondere das Top-Level sei in der Pflicht, hier den nötigen Druck aufzubauen und Unterstützung anzubieten, um interne Regeln anzupassen, Fallbeispiele auszuarbeiten und die nötige technische Ausrüstung bereitzustellen.

Webcode
9646