FFHS Business Breakfast im Zeichen der EU-DSGVO

Was der EU-Datenschutz für KMUs bedeutet

Uhr | Aktualisiert

Am Business Breakfast der FFHS stand die Umsetzung der EU-Datenschutz-Grundverordnung bei KMUs im Zentrum. Experten aus Recht und Technik teilten ihr Wissen mit dem Publikum. Die Diskussion zeigte, dass noch viele Fragen offen sind.

Mathieu Habegger von Swissmediapartner und Claudia Leonie Wasmer von Datenschutz Focus & Unternehmen gaben dem Publikum Auskunft. (Source: Netzmedien)
Mathieu Habegger von Swissmediapartner und Claudia Leonie Wasmer von Datenschutz Focus & Unternehmen gaben dem Publikum Auskunft. (Source: Netzmedien)

Die Fernfachhochschule Schweiz (FFHS) hat zu einem Business Breakfast im Zeichen der neuen Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) geladen. Auf Schweizer Unternehmen, die Daten von Personen in der EU verarbeiten, kommt mit der Verordnung einiges an Umsetzungsarbeit zu. Doch können Firmen auch davon profitieren, wenn sie die Regeln bis am 25. Mai umsetzen? Ist EU-DSGVO-Compliance gar ein "Unique Selling Point"? Die Veranstaltung versuchte auf diese und andere Fragen eine Anwort zu geben.

Als erste Referentin beleuchtete Claudia Leonie Wasmer das Thema aus rechtlicher Perspektive. Bislang habe man die Bürger vor dem Staat schützen müssen, sagte die Juristin und Inhaberin der Firma Datenschutz Focus & Unternehmen. Die EU-DSGVO sei ein Zeichen, dass sich das ändere. Private Unternehmen sammelten über Jahre Informationen über Kunden und Nutzer, ohne sich gross Gedanken über die Nutzung zu machen. So könne nicht mehr weiter verfahren werden.

Was zu tun ist

Wasmer umriss die wesentlichen Auswirkungen, die mit der EU-Verordnung auf Schweizer Unternehmen zukommen. Entscheidend sei hierbei nicht der Sitz eines Unternehmens oder ob die Datenverarbeitung an einen Drittanbieter ausgelagert werde, sondern die Person, deren Daten erhoben würden, sagte sie. Wer Compliance mit der EU-DSGVO schaffen möchte, solle deshalb stets die Person und deren Daten in den Mittelpunkt stellen. Dabei seien folgende Fragen zu beantworten:

  • Um welche Person handelt es sich?

  • Welche Daten werden verarbeitet?

  • Wie ist ein Unternehmen mit der Person in Kontakt?

  • Wie erfolgt die Datenverarbeitung und Speicherung?

  • Welche Risiken bestehen?

  • Wie sieht die Organisation des Unternehmens aus?

  • Welche technischen und rechtlichen Massnahmen sind zu treffen?

"Unternehmen müssen beweisen, dass sie den Datenschutz ernst nehmen", sagte Claudia Leonie Wasmer. (Source: Netzmedien)

Die Antworten auf diese Fragen müsse jedes Unternehmen für sich selbst finden. Ein Patentrezept gebe es nicht, sagte Wasmer. Zu unterschiedlich seien die Prozesse, zu komplex der Weg von Personendaten durch die Firmen. Trotzdem gebe es einige Aspekte, die überall Beachtung finden müssten.

Die Juristin erwähnte hier etwa die Pflicht, Datenschutzerklärungen anzupassen, eine Einwilligung zur Verarbeitung von Daten einzuholen, Datenschutz bereits "by Design" in Angebote einzubauen, über Datenlecks Auskunft zu geben und den Umgang mit Daten intern zu dokumentieren. Unternehmen müssten ab dem 25. Mai beweisen können, "dass sie den Datenschutz ernst nehmen".

Datenschutz ist auch ein Zeichen von Qualität

Dem Publikum riet Wasmer, sich der Konsequenzen von Verfehlungen bewusst zu werden. Verstösse gegen die EU-DSGVO könnten sehr schnell sehr teuer werden, auch wenn noch nicht klar sei, ob die hohen Bussen der Verordnung auch Schweizer Firmen treffen werden.

Datenschutz müsse künftig eine Hauptaufgabe jedes Unternehmens sein, zog Wasmer ein Fazit ihres Vortrags. Doch das dürfe man nicht nur als Last und Bedrohung ansehen. Transparenz, Compliance und ein verantwortungsvoller Umgang mit Kundendaten seien nämlich auch ein Qualitätsmerkmal.

Sie betonte zudem, dass die IT eines Unternehmens die EU-DSGVO nicht alleine umsetzen könne. Dazu brauche es die Mitarbeit aller betroffenen Abteilungen und eventuell auch externe Berater.

Rechenschaftspflicht und Drittanbieter als Herausforderung

Wie die technische Umsetzung im Einzelfall aussehen könnte, damit befasste sich Mathieu Habegger im Anschluss. Der technische Leiter und Partner bei der Beratungsfirma Swissmediapartner zeigte verschiedene Aufgaben, die mit der neuen Verordnung auf die IT zukommen. Im Zentrum stehe dabei die Rechenschaftspflicht, also die Aufgabe nachzuweisen, dass die EU-DSGVO auf allen Ebenen eingehalten werde.

Dies umfasse etwa die Auskunft darüber, was mit den Daten in einem Unternehmen passiert. Ab dem 25. Mai könne jeder EU-Bürger verlangen, dass man ihm über die Verwendung seiner Daten Auskunft gibt, dass man seine Daten an einen anderen Anbieter überträgt (Datenportabilität), und dass man seine Daten löscht. Wichtig: Ein Dienst müsse auch dann noch nutzbar sein, wenn ein Anwender diese Löschung will.

Mathieu Habegger zeigte, in welchen Bereichen der IT die EU-DSGVO zum Tragen kommt. (Source: Netzmedien)

Anhand von Beispielen erläuterte Habegger, welche Auswirkungen die EU-DSGVO für ein Unternehmen haben kann. Eine Webseite erhebe beispielsweise eine Vielzahl an Informationen über den Nutzer, die künftig unter den Datenschutz fielen.

Das bedeute nicht nur, dass die Nutzer ihre Einwilligung in diese Erhebung geben müssten, sondern dass auch Drittanbieter wie Cloud-Provider sich an die EU-DSGVO halten müssten. Unternehmen sollten deshalb sehr genau darauf achten, dass ihre Dienstleister mit den Daten der eigenen Kunden EU-konform umgehen, riet Habegger. Die Aussage laute hier oft: "Am 25. Mai 2018 werden wir bereit sein." Doch ob das wirklich so ist, sei zu bezweifeln.

Auch der Journalismus ist betroffen

Nach ihren Referaten standen die beiden Experten dem Publikum noch Red und Antwort. Dass rund um das Thema EU-DSGVO noch viele Fragen bestehen, war unübersehbar. Eine kurze Umfrage zeigte: Manche haben mit der Umsetzung bereits begonnen, andere noch nicht. Das decke sich mit ihren Erfarungen, sagte Claudia Leonie Wasmer. Vor allem grössere Firmen hätten ihr gesagt, dass sie gut vorbereitet seien. KMUs seien von der Aufgabe jedoch bisweilen überfordert.

Mathieu Habegger plädierte für Gelassenheit - aus technischer Sicht. Viele Fragen würden sich ohnehin erst klären, wenn die EU-DSGVO in Kraft sei. Ab dem 25. Mai 2018 werde man schon sehen, wie sich die EU-Verordnung konkret auswirke.

Das sei schon richtig, merkte Claudia Leonie Wasmer an, dürfe allerdings nicht als Aufforderung zur Tatenlosigkeit verstanden werden. Jetzt bereits an der Umsetzung zu arbeiten und dann bei Lücken nachzurüsten, sei allemal besser, als unvorbereitet in die Ära des neuen Datenschutzes zu gehen. Zumal gewisse Firmen und Institutionen nur noch mit Partnern zusammenarbeiten wollten, die die Verordnung einhielten.

Auch für IT-Grössen wie Google oder Facebook stelle die EU-DSGVO indes eine Herausforderung dar. Dass das nach aussen nicht so wirke, liegt nach Einschätzung der Juristin daran, dass sie ihre Bemühungen zur Umsetzung ungern preisgeben. Andere Firmen könnten sie "abkupfern".

Aus dem Publikum kamen Fragen zum Handel mit Daten, zur Cloud und zur Verwendung von Fotos. (Source: Netzmedien)

Ein Votum aus dem Publikum machte deutlich, dass sich auch Journalisten mit dem Thema auseinandersetzen sollten. Eine Besucherin wollte wissen, ob denn Fotos von Events wie dem Business Breakfast auch unter die EU-DSGVO fielen. Ja, sagte Habegger. Streng genommen müssten die Veranstalter von ihren Gästen also künftig die Einwilligung einholen und bei Bedarf eine Löschung der Bilder vornehmen. Was das für die Medien bedeutet, bleibt abzuklären.

Es bleiben beim Thema EU-Datenschutz noch viele Fragen offen, die wohl erst die Zeit nach dem Stichtag im kommenden Mai beantworten wird. Dennoch gab sich Claudia Leonie Wasmer überzeugt, dass Europa sich an die neuen Regeln gewöhnen wird. Für zukünftige Generationen werde der Umgang mit Personendaten nach den Regeln der EU-DSGVO eine "Selbstverständlichkeit" sein.

Webcode
DPF8_80799

Kommentare

« Mehr