Podium

Thomas Benz von Veritas über die EU-DSGVO

Uhr
von Coen Kaat

Ab dem 25. Mai 2018 gilt’s ernst: die Datenschutzgrundverordnung der EU tritt in Kraft. Und mit ihr eine Fülle an neuen Pflichten und Anforderungen. Warum auch Schweizer Unternehmen sich darüber informieren sollten, erklärt Thomas Benz, Country Manager Schweiz und Österreich, Veritas.

homas Benz, Country Manager Schweiz und Österreich, Veritas. (Source: zVg)
homas Benz, Country Manager Schweiz und Österreich, Veritas. (Source: zVg)

Warum ist es auch für Schweizer Unternehmen wichtig, sich über das EU-Datenschutz-Grundverordnung (DSGVO) zu informieren?

Thomas Benz: Die Verordnung ist auch für Schweizer Unternehmen bindend, sobald sie Daten von EU-Bürgern erheben, speichern oder verarbeiten. Der Standort der Firma ist irrelevant. Selbst Unternehmen, die ausschliesslich innerhalb der Schweiz operieren, sollten sich die Vorgaben der DSGVO genau ansehen, denn das Schweizer Datenschutzgesetz wird gerade reformiert und nimmt die europäische Verordnung als Vorbild.

Wie gut sind Schweizer Unternehmen auf die DSGVO vorbereitet?

Veritas hat festgestellt, dass die DSGVO zwar auf grosses Interesse stösst, vielen Unternehmen aber noch nicht klar ist, welche konkreten Schritte sie einleiten müssen.

Was raten Sie Schweizer Unternehmen, die sich bisher noch nicht mit der DSGVO beschäftigt haben?

Holen Sie sich Hilfe bei einem erfahrenen Partner. Er kann im ersten Schritt bewerten, wie stark ein Unternehmen von der Richtlinie betroffen ist, wo die Risiken liegen und welche ersten Schritte sich anbieten. Auch die Veritas-Partner bieten hier Unterstützung – von der Strategie und Bedarfsanalyse bis hin zur Auswahl an Zusatzlösungen und deren Implementierung.

Wo sehen Sie die grössten Herausforderungen für Schweizer Unternehmen?

Oft werden die drakonischen Strafen im Falle eines Datenverlusts genannt. Ich erwarte allerdings, dass die alltäglichen Anfragen von EU-Bürgern viele interne Ressourcen binden werden, wenn Firmen diese Aufgabe unterschätzen. Laut DSGVO hat jeder EU-Bürger das Recht, von jeder Firma oder Behörde Auskunft darüber zu erhalten, welche personenbezogenen Daten zu welchem Zweck gespeichert werden. Diese Anfragen heissen Subject Access Requests und müssen innerhalb eines Monats beantwortet werden. Um die zu erwartenden zahlreichen Anfragen in so kurzer Zeit zu beantworten, benötigen Firmen leistungsfähige Software, die Daten schnell klassifiziert, filtert und findet. Eine zweite Herausforderung sind Löschanträge, die EU-Bürger stellen können. Die meisten Unternehmen haben riesige Mengen unstrukturierter Daten auf ihren Servern und in der Cloud gespeichert. Ob dort zu löschende Daten gespeichert sind, kann ad hoc kaum jemand beantworten. Auch hier braucht es Software, die Daten automatisch sortiert und so klassifiziert, dass sie in der IT-Infrastruktur problemlos gefunden werden können.

Was geschieht mit Schweizer Unternehmen, die gegen die DSGVO verstossen?

In der Richtlinie vorgesehen sind Strafzahlungen von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes – je nachdem, welche Summe höher ist. Ob es eine "Gewöhnungsphase" gibt, in der die Behörden ein Auge zudrücken, wird die Praxis zeigen.

Welche Prozesse sind am stärksten von der neuen Verordnung betroffen?

Alle Prozesse, die mit der Erfassung, dem Speichern und dem Management personenbezogener Daten zu tun haben. Werden personenbezogene Daten erfasst, müssen sie als solche gekennzeichnet und der Zweck, zu dem sie erhoben wurden, eindeutig protokolliert sein. Ist der Zweck der Datenerfassung nicht mehr gegeben, müssen die entsprechenden Daten wieder automatisch gelöscht werden. Das sind Standardprozesse, die wie die Löschanfragen und Auskunftspflicht von GDPR am stärksten tangiert werden.

Was muss der Channel besonders beachten?

Der Channel hat eine grosse Marktchance vor sich, vorausgesetzt er kann die Beratungsleistungen liefern. Wichtig wird sein, das technische um juristisches Fachwissen zu erweitern. DSGVO-Compliance ist keine Einmalaufgabe, sondern ein täglicher Prozess. Der Partner wird viele Arbeitsabläufe beim Kunden prüfen und ein umfassendes Datenmanagement einführen können, dass wichtige Themen wie Back-up, Archivierung, Cloud, Klassifizierung und Hochverfügbarkeit der Daten abdeckt.

Webcode
DPF8_78356