Information & Cyber Security, Privacy,
Was hat die Zuger Kirschtorte mit dem neuen Datenschutzgesetz der EU zu tun? Mehr als Sie vielleicht denken. Prof. Ursula Sury, Expertin für Datenschutz und IT-Recht, erklärt, worauf Schweizer KMU ab Mai 2018 achten müssen.
Stellen Sie sich vor, es ist Sommer in Hamburg. Heimweh-Zuger Karl hat Geburtstag und beisst gerade in ein Stück Zuger Kirschtorte, die er online bestellt und bezahlt hat. Für ihn ist die Sache nun gegessen. Nicht so für die Zuger Confiserie. Sie ist jetzt verantwortlich für Karls personenbezogene Daten. Seit dem 25. Mai 2018 überlegt sie sich genau, wie sie mit diesen umgeht – denn von da an gilt die neue EU-Datenschutz-Grundverordnung (DSGVO), international als General Data Protection Regulation (GDPR) bekannt.
Auch Unternehmen in der Schweiz sind von der DSGVO betroffen. Sofern diese eine Niederlassung in der EU haben oder dort Waren oder Dienstleistungen anbieten. «Auch wenn es nur eine einzige Kirschtorte ist», wie Prof. Ursula Sury, Expertin für Datenschutz und IT-Recht und Vize-Direktorin des Departements Informatik, sagt.
Die Zuger Confiserie speichert Karls Daten in der Cloud. Dabei ist sie für eine sichere Lösung verantwortlich. «Bei einer Cloud-Lösung oder einem Rechenzentrum im Ausland, sind die Risiken immer höher und man muss diese benennen und bewerten», so Sury.
Würde die Cloud gehackt, müsste die Confiserie über das Datenleck informieren. Sie müsste nachweisen, dass sie alles für die Sicherheit der Daten gemacht hat. Würden die Daten geklaut, müsste sie dies innerhalb von 72 Stunden der Aufsichtsbehörde melden. Je nach Schwere des Zwischenfalls wäre auch Karl zu informieren.
«Datenschutzverletzungen werden vom Kavaliersdelikt zum unternehmerischen Problem.»
Prof. Ursula Sury
Unsere Confiserie möchte Karl einen Monat später Werbung zustellen und seine Daten für eine Analyse nutzen. Um dies zu tun, muss sie Karl vorab detailliert und verständlich darüber informieren, wo und wie lange seine Daten gespeichert sind und worfür sie verwendet werden. Karl stimmt der Verwendung der Daten zu. Nach ein paar Werbe-Mailings ist er genervt. Er macht das «Recht auf Vergessenwerden» geltend und die Confiserie muss alle seine personenbezogenen Daten wieder löschen.
Falls sich die Confiserie nicht an diese Datenschutzbestimmung hält, drohen ihr hohe Strafen. Bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes eines Unternehmens können fällig werden. «Datenschutzverletzungen werden so vom Kavaliersdelikt zum unternehmerischen Problem, ähnlich wie Wettbewerbsverletzungen», sagt Ursula Sury.
Wir verlassen unser Fallbeispiel und wollen es im Interview mit Prof. Ursula Sury genauer wissen.
Ursula Sury, was halten Sie vom neuen Datenschutzgesetz der EU?
Ursula Sury: Ich finde es sehr gut. Der Datenschutz, verstanden als Persönlichkeitsschutz, kommt nun endlich zum Tragen. Das heisst, dass einzig die Person, welcher eine Information gehört, darüber bestimmen darf. In diesem Sinne wurde der Datenschutz eigentlich die ganze Zeit über nicht eingehalten. Weder in der Schweiz, noch in der EU.
Warum nicht?
Die Gesetze der einzelnen EU-Länder basieren zwar auf den Datenschutzbestimmungen der EU, sie fallen jedoch je nach Land unterschiedlich aus. Auch die Umsetzung war je nach Land verschieden und das wird übrigens auch so bleiben.
«Der Datenschutz wurde eigentlich die ganze Zeit über nicht eingehalten.»
Prof. Ursula Sury
Neu wird der Datenschutz einerseits durch die direkte Anwendbarkeit der DSGVO (GDPR) in den einzelnen Ländern – über das Marktortprinzip auch in der Schweiz und andererseits durch die massiv hohen Sanktionen, genau wie beim Strassenverkehr – gesteuert. Anders geht es offenbar nicht.
Warum denken Sie, dass die DSGVO nicht in allen EU-Ländern gleich umgesetzt wird?
Die Kultur macht viel aus. Die Aufsichtsbehörde in Griechenland wird es anders machen, als jene in Deutschland. Über die Jahre hinweg wird sich das wahrscheinlich angleichen.
Was sind die wesentlichen Änderungen für Schweizer Unternehmen, sobald die DSGVO in Kraft getreten ist?
Die Hauptänderung ist, dass sich die Unternehmen aufgrund der hohen Sanktionen jetzt an das Gesetz halten müssen. Das gilt für die DSGVO, wie auch für das neue Schweizer Datenschutz Gesetz (DSG).
Natürlich gibt es auch zwei, drei neue Regelungen. Bei einem IT-Projekt muss man vorgängig überlegen, wie sich dies auf den Datenschutz der betroffenen Personen auswirkt. Datenschutzfolgeabklärung nennt sich das. Oder die automatisierte Einzelentscheidung: Wenn ein System automatisiert entscheiden kann und beispielsweise die Selektion von Bewerbern auf eine Stelle automatisiert erfolgt, müssen Unternehmen informieren und eine Einwilligung einholen.
Wo sehen Sie die grössten Herausforderungen für Schweizer Unternehmen?
Abstrakte Begriffe wie «Zweckmässigkeit», «informierte Einwilligung» oder «Dokumentation der Datenbearbeitung» ins Management-System zu integrieren. Dies dann auch zu leben und kontinuierlich zu verbessern – das ist die Herausforderung.
«Das Verhalten wird über Sanktionen gesteuert. Genauso wie beim Strassenverkehr.»
Prof. Ursula Sury
Was raten Sie Schweizer Unternehmen, die sich noch nicht mit der DSGVO beschäftigt haben?
Dass sie ein einfaches, niederschwelliges Datenschutz-Management-System einführen. Ein erster Schritt wäre, sich eine Übersicht über die Datensammlung im Unternehmen zu verschaffen und zu wissen, wer was wo mit welchen Daten macht. Welche weiteren Schritte empfohlen werden, hat InfoGuard in ihrem Blog übersichtlich dargestellt.
Was sind Unterschiede zwischen der neuen EU-Datenschutz-Grundverordnung (DSGVO) und dem Schweizer Datenschutz Gesetz (DSG)?
Ein Unterschied ist, dass sich die Strafsanktionen in der Schweiz nicht gegen die Unternehmen sondern gegen die verantwortlichen Personen richten. Der Bussenrahmen liegt bei 250’000 Franken.
Was kommt mit der Revision des Schweizer Datenschutz Gesetzes (DSG) auf uns zu?
Wir müssen uns jetzt schon bereit machen und dürfen nicht auf die Revision des DSG warten. Sehr viele Unternehmen haben, wie die Zuger Confiserie im obigen Beispiel zeigt, irgendwo eine Verbindung ins Ausland.
Wer noch nicht sattelfest ist: Der zweitägige Fachkurs GDPR – New EU Data Protection Regulation startet am 20. September 2018. Im Herbst 2018 startet ausserdem das CAS Data Privacy Officer (DPO) für aktuelle und angehende betriebliche Datenschutzverantwortliche.
Hier erhalten Sie Tipps und Neuigkeiten aus der Welt der IT. Wir porträtieren Menschen und schreiben über Technologien, welche die Hochschule Luzern – Informatik mitprägen. Abonnieren Sie jetzt unseren Blog und bleiben Sie informiert.
Kommentare
0 Kommentare
Danke für Ihren Kommentar, wir prüfen dies gerne.