«Bei UMB setzen wir in Zusammenarbeit mit unseren strategischen Partnern stets die neusten technologischen Entwicklungen gewinnbringend für unsere Kunden ein.»

Gérard Lüchinger, CTO

Datenschutz: Europäische Vorschriften - für Schweizer Unternehmen

09.11.2017

Die neue Europäische Datenschutzverordnung ist verabschiedet und wird am 25. Mai 2018 in Kraft treten. Das betrifft auch zahlreiche Schweizer Firmen, die geschäftlich mit der EU zu tun haben. Das Problem ist, dass man sich in vielen Unternehmen noch nicht mit der Thematik auseinandergesetzt hat.

(Von Gérard Lüchinger, CTO, UMB. Bild: Flickr.com)

Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO oder GDPR[1] betrifft Unternehmen aller Grössen und Branchen weltweit, wenn sie in der EU handeln, mit europäischen Unternehmen Personendaten austauschen oder die Daten von EU-Bürgern verarbeiten. Für Konsumenten soll die Verordnung mehr Privatsphäre und Kontrolle über ihre Daten bringen – für die betroffenen Unternehmen bedeutet sie komplexe Anforderungen im Zusammenhang mit zahlreichen neuen Informations- und Dokumentationspflichten. Eine Wahl haben die Unternehmen nicht: Die EU droht drakonische Bussen in Millionenhöhe an. Kein Wunder dass von Wirtschaftsseite kritisiert wird, das Gesetz sei tendenziell unternehmerfeindlich.[2]

Geldbussen bis zur Existenzbedrohung

Was ist denn nun neu? Die bereits erwähnten Geldbussen zum Beispiel. Diese können bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes der betroffenen Firma betragen, könnten also sogar existenzbedrohend sein. Weitere Neuerungen:

  • Persönliche Daten dürfen nur nach ausdrücklicher Einwilligung verarbeitet werden. Sie müssen auf Wunsch richtiggestellt oder gelöscht werden (Recht auf Vergessen).
  • Datenschutzverletzungen müssen innerhalb definierter Fristen an die Behörden und die Betroffenen gemeldet werden.
  • Es gibt ein Recht auf Daten-Portabilität.
  • Biometrische und genetische Daten gehören neu auch in die Kategorie der sensiblen persönlichen Daten.
  • Alle betroffenen Unternehmen müssen zum Schutz persönlicher Daten angemessene technische und organisatorische Massnahmen treffen, und diese ständig aktualisieren.
  • Es besteht eine Pflicht zur “Datenschutz-Folgenabschätzung“. Eine solche Abschätzung muss durchgeführt werden, wenn die Datenverarbeitung hohe Risiken für die Privatsphäre haben könnte.

Nur drei Prozent der Unternehmen haben einen Plan für GDPR.

Zwar dauert es noch eine Weile, bis die neuen Bestimmungen in Kraft treten. Trotzdem überraschen die Ergebnisse einer weltweiten Umfrage, die vor vier Monaten veröffentlicht wurde:[3] Mehr als 80 Prozent der Befragten gaben an, dass sie nur wenige bis keine Details der Verordnung kennen; weniger als 30 Prozent der Unternehmen fühlten sich bereits auf die Anforderungen vorbereitet; fast 70 Prozent sagten, dass sie den Anforderungen nicht gerecht werden oder nicht wissen, ob sie ihnen gerecht werden. Nur drei Prozent hatten bereits einen Plan, wie sie Konformität herstellen wollen; fast alle Unternehmen (97 Prozent) hatten keinen echten Plan für den Zeitpunkt des Inkrafttretens. Die Ergebnisse zeigten ausserdem, dass man sich in den befragten Unternehmen nicht über das Ausmass der nötigen Veränderungen sowie über die Schwere der Strafen im Klaren ist.

Wie wirkt sich die GDPR in der Cloud aus?

Unklarheit herrscht vielerorts über die Auswirkungen der neuen Verordnung auf die Nutzung der Cloud. Klar ist: Wer persönliche Daten in der Cloud speichern und bearbeiten will, muss für deren Schutz sorgen und den Datenfluss genau dokumentieren. Europäische Cloud-Provider bemühen sich, die bestehenden Unsicherheiten auszuräumen – unter anderem durch die Gründung eines Datenschutz-Zertifikats das die Einhaltung der neuen Europäischen Bestimmungen bescheinigt.[4] Und Software Unternehmen wie zum Beispiel Commvault, die sich auf Datenmanagement und Datenschutz spezialisieren, bieten bereits Lösungsplattformen an, die dem neuen Europäischen Recht entsprechen und die neuen Anforderungen integrieren.

Für viele individuelle Firmen gibt es trotzdem noch mehr als genug zu tun: Zu bedenken sind unter anderem die Einstellung eines Datenschutzbeauftragten, die bessere Datenzugriffsverwaltung, Dokumentation von Prozessen sowie Datenhaltungen. 

UMB unterstützt Sie bei der technischen Umsetzung.

Datenschutz ist nicht einfach zu haben, und die Umsetzung der neuen Verordnung wird die IT-Infrastruktur vieler Unternehmen stark belasten. Deshalb ist es wichtig, die Planung jetzt in Angriff zu nehmen – falls sie noch nicht begonnen wurde. UMB befasst sich zurzeit mit der Umsetzung von GDPR für die internen Prozesse. UMB kann Sie – unter anderem als Commvault Platinum Partner - bei der technischen Umsetzung von GDPR unterstützen. Kontaktieren Sie uns jetzt.

 

[2] Liechtensteiner Vaterland, 21.4.2017