EU-DSGVO: Wo Schweizer Unternehmen aktuell stehen
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) wird nach wie vor diskutiert. Der Einfluss dieser Verordnung auf die Schweiz wirft immer noch Fragen auf. Das Interview mit Peter Fischer, Informatik-Professor an der Hochschule Luzern und Präsident der Swiss Internet Security Alliance, gibt Antworten.
Die neue Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) ist seit dem 25. Mai in Kraft. Was hat sich seither für Schweizer Unternehmen verändert?
Peter Fischer: Schweizer Firmen, die entweder eine Niederlassung im EU-Raum haben oder mit Personen im EU-Raum Geschäfte betreiben, unterliegen der EU-DSGVO. Da der Datenschutz ein Bürgerrecht ist, schützt er jeden EU-Bürger. Sobald ein Waren- oder Dienstleistungsangebot an EU-Bürger gerichtet ist oder auch schon nur Tracking-Daten ausgewertet werden, kommt die EU-DSGVO ebenfalls zur Anwendung. Rechtlich umstritten ist noch, ob diese auch dann angewendet werden muss, wenn sie EU-Bürger – auch Doppelbürger – in der Schweiz betrifft. Grundsätzlich sieht die EU-DSGVO vor, dass das Schutzrecht für alle EU-Bürger, auch in Drittstaaten wie der Schweiz, gilt. Beispiele: Hotelgäste aus der EU, Skiunfall-Patienten, in der Schweiz lebende EU-Bürger als Nutzer Schweizer Webshops. Sicher ist, dass die Weitergabe von Daten an Dritte verboten ist, etwa Meldedaten der Einwohnergemeinden oder Datensammlung via Kundenkarten. Der Streitpunkt liegt vor allem darin, welcher sogenannte Rechtfertigungsgrund für die Datenerhebung vorliegt – hier gibt es noch viel Arbeit für Juristen.
Was hat die EU-DSGVO bis jetzt für Auswirkungen in der Praxis?
Es geht neben der Einhaltung der neuen Vorschriften vor allem darum, einen Datenschutz-Überwachungsprozess zu etablieren und einen kompetenten Datenschutz-Beauftragten zu nominieren. Da die EU-DSGVO weit mehr Firmen betrifft, als diese selbst bisher angenommen haben, muss nun im Nachgang und in Eile der Aufbau geleistet werden, der eigentlich schon seit über zwei Jahren fällig war, aber häufig verschoben wurde. Um einen EU-konformen Datenschutz aufzubauen, braucht man kompetente Unterstützung, etwa Anwälte oder Berater, die sich seit mehr als einem Jahr mit dem Thema befassen – aber die sind völlig ausgebucht. Das heisst, manche Firmen können heute ihre Pflichten nicht erfüllen, auch wenn sie die Notwendigkeit jetzt akzeptiert haben.
Viele Unternehmen befürchteten einen massiven Mehraufwand durch die EU-DSGVO. Hat sich diese Befürchtung bewahrheitet? Wie gross ist der Mehraufwand für Unternehmen wirklich?
Der Umfang und die Kosten der Einführung der EU-DSGVO hängen stark von der Unternehmensgrösse und ihrer Exposition zur EU und zu EU-Bürgern ab, lässt sich also nicht verallgemeinern. Was man generell sagen kann, ist, dass der Implementationsaufwand den jährlichen Betriebsaufwand weit übersteigt. Selbst wenn ein Unternehmen grundsätzlich datenschutzkonform ist, bedeutet die Beweislastumkehr, dass ein Unternehmen aktiv nachweisen muss, dass es den Datenschutz beherrscht. Früher musste es sich nur wehren, wenn ein konkreter Vorwurf aufgebracht wurde. Die Bussen waren ja auch vernachlässigbar und konnten bewusst in Kauf genommen werden.
Ist die EU-DSGVO für Unternehmen mehr Fluch oder Segen?
Der Datenschutz ist für die EU-Bürger gemacht worden, nicht für die Firmen. Der Mehraufwand ist beträchtlich, von einem Fluch möchte ich dennoch nicht sprechen, von einem Segen sicher auch nicht. Wir können die neue Datenschutz-Grundverordnung auch als Chance betrachten: Sie nützt auch Schweizern. Guter Datenschutz kommt durch die Professionalisierung von Prozessen, das kann auch Auswirkung auf die Performanz in anderen Bereichen des Unternehmens haben. Und funktionierender Datenschutz wird zu einem Reputationsmerkmal und kann als Wettbewerbsvorteil genutzt werden – beziehungsweise als Schaden, denn neu müssen Vorfälle kurzfristig aktiv gemeldet werden. Ich möchte aber nicht beschönigen, dass die neue Verordnung vor allem eine Zusatzbelastung für die betroffenen Unternehmen darstellt.
EU-DSGVO – Was Schweizer Unternehmen jetzt beachten müssen, lesen Sie hier.
Sind Schweizer Unternehmen fit beim Thema Datenschutz? Müssen sie mehr machen?
Dies muss man differenziert betrachten: die Firmen, vor allem die grossen, die sich frühzeitig mit der Implementierung befasst haben, sind weitgehend fit. Unternehmen, die zugewartet haben, stehen nun unter hohem Druck. Die Vorschriften gehen so weit, dass bei Fehlern die weitere Verarbeitung der Daten seitens Aufsichtsbehörden eingestellt werden kann, was existenzgefährdend wäre. Nachlässigkeiten haben einen hohen Preis. Mehr machen im eigentlichen Sinn müssen sie nicht, aber unbedingt das Versäumte schnellstmöglich nachholen. Dies trifft vor allem kleinere Firmen, die die gleichen Anforderungen mit weit weniger Ressourcen stemmen müssen.
Nun steht die Totalrevision des eidg. Datenschutzgesetzes an, das wohl nicht vor 2020 in Kraft tritt. Verleitet das die Unternehmen nicht dazu, beim Thema Datenschutz erst mal abzuwarten?
Genau das dürfte der Grund sein, warum viele Firmen heute noch nicht parat sind. Dabei ergibt das Abwarten keinerlei Sinn. Wenn man nicht sowieso schon von der EU-DSGVO betroffen ist, muss man mit dem neuen Schweizerischen Datenschutzgesetz DSG praktisch die gleichen Anforderungen erfüllen. Die Revision hat den Sinn, das Schweizer DSG kompatibel zur EU-DSGVO zu machen, damit diese anerkannt wird. Das dient vor allem uns in der Schweiz. Lediglich bei den Sanktionen wird das neue DSG milder sein, aber doch weit schärfer als das noch geltende. Die vermeintliche Milde täuscht aber, weil Sanktionen nicht gegen Firmen, sondern direkt gegen die Verantwortlichen gerichtet werden. Das heisst, nicht die Firma trägt die Folgen eines Verstosses, sondern eine oder mehrere Einzelpersonen. Das Ziel ist klar und identisch, es gibt keinen Grund, zu warten.
Weitere Artikel und Informationen rund um das Thema EU-DSGVO finden Sie im Online-Dossier.
Wie kann ein Unternehmen eine effektive Datenschutz-Compliance aufbauen?
Als Erstes hilft eine Analyse des Ist-Zustandes. Diese zeigt schnell auf, welche Lücken geschlossen werden müssen. Als Zweites definiert man eine Strategie, wie die Lücken effizient geschlossen werden können. Dabei hilft auch, eine Datenklassifizierung einzuführen, denn nicht alle Daten haben den gleich hohen Schutzbedarf. Als Drittes müssen die erforderlichen Massnahmen umgesetzt und als Viertes der Compliance-Stand überprüft werden. Bei Defiziten braucht es dann als Fünftes Nachbesserungen.
Wichtig ist dabei, dass die Umsetzung vollständig dokumentiert wird, denn die Unternehmen müssen aktiv nachweisen, dass sie die Anforderungen erfüllen. Es gibt eine Handvoll sogenannter Rechtfertigungsgründe, wovon mindestens einer gegeben sein muss. Beispielsweise die vorherige, freiwillige und explizite Einwilligung des Dateninhabers. Daneben gibt es weitere Gründe, die die Erfassung, Speicherung und Verarbeitung von Daten rechtfertigen. So kann man nach der effizientesten Rechtfertigung suchen.
Die Daten unterliegen einem Lifecycle, das heisst, es müssen klare Prozesse definiert sein bezüglich der Speicherung (z.B. Dauer), Verarbeitung, eventuellen Weitergabe oder Löschung. Hier können Konflikte entstehen, da die EU-DSGVO dem Dateninhaber erlaubt, jederzeit die Löschung seiner Daten zu verlangen; andererseits bestehen gesetzliche Mindestaufbewahrungsfristen. Vorfälle müssen innerhalb von 72 Stunden, nachdem sie entdeckt wurden, an die zuständige Aufsichtsbehörde gemeldet werden. Und zuletzt muss man sich auch gegenüber Lieferanten, Geschäftspartnern und Kunden vertraglich absichern, damit auch dort der Datenschutz gewährleistet ist.
Viele Unternehmen gehen davon aus, dass es reiche, einen Datenschutzbeauftragten zu benennen. Ist das nicht eine Fehleinschätzung?
Einerseits reicht es natürlich nicht, nur einen Datenschutzbeauftragten zu ernennen. Die oben genannten Prozesse müssen etabliert, ausgeführt und gepflegt werden. Es ist vielleicht der erste Schritt, eine kompetente Person ins Unternehmen zu bringen, der oder die dann die Implementierung koordiniert. Die Anforderungen sind klar definiert, es gibt keine Alternative. Häufig braucht man zusätzlich externe Hilfe, um die aufwändige Einführung kompetent und effiziert zu vollziehen. Andererseits müssen Unternehmen mit Sitz in der Schweiz, die Produkte oder Dienstleistungen (auch) Kunden im EU-Raum anbieten oder die Daten von EU-Bürgern (z.B. Website-Analyse) auswerten, zusätzlich einen Datenschutzvertreter in einem EU-Land etablieren. Dieser dient vor allem als Ansprechperson für Behörden.
Mehr Datenschutz fordert einen Kulturwandel in Unternehmen. Einverstanden?
Kulturwandel ist ein weites Feld. Meiner Erfahrung nach dauert ein Kulturwandel in einem Unternehmen nicht fünf, sondern eher zwanzig Jahre oder länger. Meist müssen die früheren Mitarbeitenden das Unternehmen verlassen haben, bis sich die Gesinnung ändert. Ich würde eher von einer Verhaltensänderung sprechen. Genauso wie Sie heute schon Informationssicherheit «leben» müssen, weil Fehler fatal wären, so werden wir künftig auch immer den Datenschutz auf dem Radar haben müssen. Es wird einige Zeit dauern, bis dieser Wandel durch alle Branchen geht. Nehmen wir zum Beispiel niedergelassene Ärzte: Obwohl das Berufsgeheimnis viel höhere Schutzziele verfolgt als der Datenschutz, wird damit auffallend fahrlässig umgegangen. Da liegen Patientendossiers offen an der Rezeption herum; zuletzt habe ich erlebt, dass diese auf der Theke lagen, dem Patienten zugewandt, also einfach lesbar, und gefächert, damit man alle Akten sieht. Da werden am Telefon offen Namen, Erkrankung und Behandlung besprochen, was man im Wartezimmer mithört. Oder die MPA fragt die Ärztin, was sie mit Frau Meier machen soll, während sie einen anderen Patienten behandelt. In dieser Branche braucht es wohl eher einen Kulturwandel als nur eine Verhaltensänderung. Wichtig ist die Erkenntnis, dass der Datenschutz, wie viele andere Sicherheitsthemen, nicht nur durch technische oder organisatorische Massnahmen umgesetzt werden kann, es bleibt immer der (unberechenbare) Faktor Mensch, den es zu zähmen gilt.