Das halten Experten von der neuen Datenschutzwelt
An einer Tagung des IT-Verbands ICMF haben Experten ihre Erfahrungen mit der EU-DSGVO ausgetauscht. Vier Monate nach dem Stichtag der Datenschutzgrundverordnung steht fest: Manche Befürchtungen waren übertrieben. Trotzdem lauern Fallgruben.
Im Frühling ist es laut um sie geworden. Die EU-DSGVO machte Schlagzeilen und löste Kontroversen aus. Manche Unternehmer und Politiker beschimpften das Regelwerk als Bürokratiemonster, andere feierten es als Bollwerk gegen Datenkraken. Und wiederum andere witterten das grosse Geschäft mit Abmahnungen oder mit Beratung und technischen Tools, die bei der Vorbereitung auf die neue Datenschutzwelt helfen sollten.
Seit die Datenschutzgrundverordnung am 25. Mai wirksam wurde, ist es jedoch ruhig um das Thema geworden. Die Ruhe wird aber nicht von Dauer sein. Denn schon bald dürften die ersten Präzedenzfälle zeigen, was die Verordnung in der Schweiz bewirken kann.
Ein offener Erfahrungsaustausch
"Es wird Zeit, dass wir das Thema neu angehen", sagte Martin Andenmatten, Gründer und Geschäftsführer von Glenfis, an der jüngsten Tagung des Information Center und IT-Services Managers Forum Schweiz (ICMF). Rund 50 Führungskräfte der Schweizer IT-Branche besuchten den Anlass im Zürcher Bildungszentrum Sihlpost.
Die Besucher diskutierten miteinander, tauschten offen ihre Erfahrungen aus und lachten mitunter. Es sprachen "Referenten, die aus langjähriger Erfahrung etwas zu sagen haben und das Thema aus verschiedenen Perspektiven beleuchten", sagte Andenmatten.
Martin Andenmatten, Gründer und Geschäftsführer von Glenfis. (Source: Netzmedien)
Einen kühlen Kopf bewahren
Die Sache werde viel heisser gekocht als gegessen, erklärte Ursula Uttinger, Juristin und Präsidentin des Datenschutz-Forums Schweiz. Die oft zitierten Bussgeldforderungen von 20 Millionen Euro respektive 4 Prozent des weltweiten Umsatzes seien wohl nicht die Regel, sagte sie. "So hohe Bussen wird es nur in den seltensten Fällen geben – das muss uns bewusst sein. Am ehesten noch bei grossen, multinationalen Unternehmen, um ein Zeichen zu setzen, aber wohl kaum bei KMUs."
Trotzdem sollten Unternehmen die Datenschutzbestimmungen umsetzen. "Und zwar nicht nur wegen der EU-DSGVO, sondern weil auch wir in der Schweiz ein Datenschutzgesetz haben, das Vorgaben macht und die es einzuhalten gilt", sagte Uttinger.
Ursula Uttinger, Juristin und Präsidentin des Datenschutz-Forums Schweiz. (Source: Netzmedien)
Datenschutz ist längst überfällig
Die Grundsätze des Datenschutzes sollten längst bekannt und umgesetzt sein, erklärte Uttinger weiter. Schliesslich ist das schweizerische Datenschutzgesetz seit dem 1. Juli 1993 in Kraft. Es sollte deswegen klar sein, dass die Verarbeitung personenbezogener Daten rechtmässig und transparent zu erfolgen hat. Oder dass Nutzerdaten vertraulich behandelt und im Sinne der Verhältnismässigkeit nur so lange wie nötig oder gemäss gesetzlicher Vorgaben gespeichert werden sollen.
Jedes Gesetz sei auslegungsbedürftig - und gerade die DSGVO sei nicht so klar, wie sie auf den ersten Blick erscheinen möge. "Wir müssen also auf die ersten Urteile warten", sagte Uttinger und ergänzte: "Es ist in unser aller Interesse, den Datenschutz auch mit technischen Mitteln besser umzusetzen." Ziel sei es, die Privatsphäre zu schützen und diese nicht unter dem Vorwand von Sicherheitsbedenken auszuhöhlen.
Erst kommt die Sicherheit, dann die Compliance
"Wenn es um den Datenschutz geht, hinkt die Schweiz der EU hinterher", sagte Umberto Annino, Head Security Governance bei Six. Ein totalrevidiertes Schweizer Datenschutzgesetz dürfte voraussichtlich erst 2020 vorliegen. "Deswegen betrachten viele hiesige Unternehmen die DSGVO schon heute als Grundlage für ihre Datenschutzpolitik", sagte Annino. Problematisch sei eine verspätete Revision des schweizerischen Datenschutzgesetzes höchstens dann, wenn die Schweiz dadurch ihren Standortvorteil in punkto Datenschutz und Datensicherheit verliere.
DSGVO-Compliance sollte allerdings kein Mittel zum Zweck, sondern ein strategisches Ziel sein. "Ein 'guter' Datenschutz muss auf einer 'guten' Security aufbauen", sagte Annino. Wer sich erst um die Datensicherheit und anschliessend um die Datenschutz-Konformität kümmere, sei auf gutem Weg, sagte Annino.
Umberto Annino, Head Security Governance bei Six. (Source: Netzmedien)
Wo die Stolpersteine liegen
In technischer Hinsicht bedingt die Einhaltung der EU-DSGVO neue Ansätze fürs Datenmanagement. Wer personenbezogene Daten speichert, muss diese auch löschen können. "Da gibt es viele juristisch-technische Grauzonen", sagte Annino. Eine Möglichkeit sei etwa, Daten als gelöscht zu markieren und sie dann so zu archivieren, dass niemand sie lesen kann.
Organisatorisch aufwändig sei die Anforderung, dass die Bearbeitung von Personendaten dokumentiert werden müsse. "Wenn es um Hardware-Inventare geht, ist dies kein Problem – bei immateriellen Werten sehr wohl", sagte Annino. Auch das Inventarisieren von unstrukturierten Datensammlungen bringe Probleme mit sich. "In intellektueller Hinsicht ist das kein grosses Ding, aber es ist extrem zeitintensiv", sagte Annino. Denn solch eine Aufgabe brauche viele Mitarbeiter, die einen Einblick in die Geschäftsprozesse eines Unternehmens haben.
Warum sich Marketingleute sträuben
Auch das Stichwort "Privacy by default" sei aus technischer Sicht kein Problem. "Es sind die Marketingabteilungen, die sich dagegen sträuben, weil datenschutzfreundliche Voreinstellungen dem Zweck des Marketings widersprechen", sagte Annino.
Die Berufung eines Datenschutzbeauftragten könnten allerdings einige Unternehmen etwas auf die leichte Schulter nehmen. Denn allein mit der Ernennung erfülle man diesen Punkt nicht. "Im Idealfall sollte diese Person aber auch die entsprechenden Kompetenzen mitbringen", sagte Annino. Hier seien die Entscheidungsträger gefordert, die richtigen Köpfe zu finden.
Wenn es richtig knallt
Zwei Anforderungen seien besonders knifflig. Zum einen die Meldepflicht, also die Auflage, einen Datenschutzvorfall binnen 72 Stunden den Behörden zu melden. "Sie müssten in der Lage sein, einen Vorfall in dieser Zeit 'behördengerecht' zu dokumentieren, also erklären, was passierte, wie es passierte und was sie dagegen tun", sagte Annino. Zu diesem Zweck brauche es Juristen, PR-Spezialisten und Techniker.
"Der zweite Punkt – und das ist mein persönlicher Oberknaller – betrifft Privacy by design", sagte Annino. Im Prinzip müssten Unternehmen von Anfang an personenbezogene Daten pseudonymisieren und ausschliesslich verschlüsselt kommunizieren. "Wenn die Behörden diesen Punkt ernst nehmen, wird es noch richtig knallen", sagte Annino. Für ihn als Techniker sei dieser Passus gewissermassen das "U-Boot" im Gesetz.
Der ICMF veranstaltet mehrmals im Jahr Tagungen zu Themen, die in der ICT-Branche für Diskussionen sorgen. Der nächste Event findet am 22. November zum Thema Cybersecurity statt. Über das Veranstaltungsprogramm informiert der ICMF auf seiner Website.
Weitere Informationen zur EU-DSGVO finden Sie im Online-Dossier der Netzwoche.