"Viele Firmen haben immer noch keine Massnahmen getroffen – die Zeit drängt"
Im kommenden Frühjahr tritt die neue EU-Datenschutz-Grundverordnung in Kraft. Cornelia Lehle von G Data erklärt, was Schweizer Firmen beachten müssen und wo Stolpersteine liegen.
Welche Schritte müssen Schweizer Firmen unternehmen, um der EU-DSGVO zu entsprechen?
Cornelia Lehle: Die von der Verordnung betroffenen Unternehmen müssen sich dringend mit folgenden vier Implementierungsschwerpunkten befassen: Datenschutzbeauftragten benennen, Brennpunkte identifizieren, Workflows und Tools überprüfen sowie IT-Infrastruktur überprüfen und absichern.
Reicht der Druck durch die neue EU-DSGVO aus, oder braucht es einen Mentalitätswandel bei den betroffenen Firmen?
Meiner Meinung nach besteht hier noch Nachholbedarf, und es ist noch reichlich an Aufklärungsarbeit zu leisten. Bis zum 25. Mai 2018 müssen Unternehmen alle Regelungen der EU-Datenschutzgrundverordnung umgesetzt haben. Obwohl die Zeit drängt, haben viele Firmen immer noch keine Massnahmen getroffen. Vor allem unsere klassischen Schweizer KMUs sind sich ihrer Pflichten nur bedingt bewusst, weil sie im Tagesgeschäft schlichtweg nicht genügend Zeit finden, sich mit diesen Themen im Detail zu beschäftigen.
Wie lassen sich Kundendaten wirksam schützen?
Die Vereinbarung zur Auftragsdatenverarbeitung (ADV) muss mit der EU-DSGVO konform sein. Diese ADVs regeln die Vertraulichkeit und Integrität der Daten, wenn Firmen mit externen Dienstleistern zusammenarbeiten, um Geschäfte abzuwickeln. Zunächst müssen sich die Firmen im Klaren sein, welche Daten sie über welche Kanäle wann und mit wem austauschen. Bereits hier sehe ich tagtäglich extrem grossen Handlungsbedarf, weil vielen KMUs nicht bewusst ist, wohin ihre Systeme im Hintergrund welche Daten verarbeiten und welcher Hersteller in welchem Ausmass diese Daten speichert. Darüber hinaus müssen Unternehmen auch die Sicherheit der Daten im eigenen Netzwerk sicherstellen können.
Ab welchem Schweregrad müssen Cyberattacken künftig gemeldet werden?
Besteht der Verdacht, dass Kundendaten in unberechtigte Hände Dritter gelangt sind, so ist die Datenpanne binnen 72 Stunden den zuständigen Behörden zu melden. Deshalb kann ich hier keine allgemeine Antwort geben, sondern es gilt immer die Einzelfallabwägung.
Wird zwischen fahrlässigen und nicht vermeidbaren Datenschutzpannen unterschieden?
Ja, hierbei wird unterschieden. Art. 83 der EU-DSGVO gibt ganz klar wieder, dass der Betrag und die Verhängung der Geldbusse auch abhängig von der Vorsätzlichkeit oder Fahrlässigkeit des Verstosses sind. Eine Datenpanne als solche sollte aber in jedem Falle vermieden werden. Hierzu gibt es verschiedene Lösungskonzepte und Notfallpläne, die wie Zahnräder ineinandergreifen müssen.
Kurz gesagt: Welche Herausforderungen kommen durch die neue Verordnung auf die Schweizer Wirtschaft zu?
In erster Linie einmal grosse Herausforderungen und viel Detailarbeit für die Geschäftsführer, vom KMU bis zum Konzern. Dies mag sicherlich für den einen oder anderen Geschäftsführer zeit- und gegebenenfalls auch kostenintensiv sein. Auf der anderen Seite allerdings sehe ich es auch als eine grosse Chance, das eigene Unternehmen, das über Jahre gewachsen ist, einmal auf den Kopf zu stellen. Die eigenen Prozesse zu analysieren, zu optimieren und angemessen abzusichern.