Eset erklärt, warum die EU-DSGVO auch Nicht-EU-Bürger schützt
Der slowakische Hersteller Eset hat zu den Security Days 2018 geladen. Unter anderem erklärte das Unternehmen, wieso die EU-DSGVO auch Schweizer Unternehmen betrifft und wie viel der Begriff "personenbezogene Daten" tatsächlich abdeckt.
Jedes Jahr reist der slowakische Sicherheitsanbieter Eset mit seiner Roadshow fast um die ganze Welt. Dieses Jahr machten die Eset Security Days ihren letzten Stopp in Zürich, in der alten Papierfabrik in Sihlcity. Rund 85 Besucher folgten dem Ruf Esets.
Mit einem Fokus auf Fachthemen statt Produktvorstellungen will Eset sich von vergleichbaren Veranstaltungen abheben. Dieses Jahr drehte sich der Anlass um das Thema IT-Security ist Chefsache. "Wir stellen in Gesprächen immer wieder fest, dass man den Überblick gar nicht mehr hat", sagte Maik Wetzel, Channel Sales Director DACH bei Eset, im Vorfeld des Anlasses. "Dafür ist aber das Managment zuständig."
Eset wolle aber nach eigenen Angaben an den Security Days nicht mit der Angstkeule schwingen, sondern konkrete Lösungsansätze aufzeigen. Zwei Wege, mit dem Thema umzugehen, seien etwa Outsourcing und Versicherungen.
Rainer Schwegler, Territory Manager Switzerland bei Eset. (Source: Netzmedien)
"Mehr und mehr Kunden sind nicht mehr am Kauf von Produkten und Lösungen interessiert", sagte Wetzel. "Sie wollen ihre Security als kompletten Service beziehen." Der Markt bewege sich immer mehr in Richtung einer ganzheitlichen Betreuung des Kunden, einer freundschaftlichen Zusammenarbeit. Dies erlaube dem Kunden, sich mehr auf sein Kerngeschäft zu fokussieren.
Und Eset biete seinen Partnern das nötige Rüstzeug, um diesem Kundenwunsch gerecht zu werden.
Taggenaue Abrechnung
So lassen sich die Produkte von Eset etwa in verschiedene Remote-Managment-Lösungen integrieren, wodurch der Partner sie vollautomatisch auf seine Kundensysteme ausrollen und verwalten könne. Auch die Lizenzierung laufe automatisch und biete die Möglichkeit taggenau abzurechnen.
Maik Wetzel (rechts) zusammen mit Thorsten Urbanski, Head of Communication & PR bei Eset. (Source: Netzmedien)
Moderate Prämien für Cyberversicherungen
Für das Thema Versicherungen hatten die Veranstalter zwei Kundenberater von Qualibroker eingeladen: Roger Rogenmoser und Daniel Oberhänsli. Letzterer ist zudem Mitglied der Geschäftsleitung des Anbieters von Versicherungs-und Risikolösungen.
Daniel Oberhänsli, Mitglied der Geschäftsführung von Qualibroker. (Source: Netzmedien)
Eine Cyberversicherung decke vieles ab. Je nach Schadensfall auch den entgangenen Nettogewinn, die Wiederherstellungskosten aber auch die Lösegeldforderungen, wenn man etwa Opfer eines Ransomware-Angriffs wurde.
Aktuell seien die Prämien für derartige Versicherungen noch moderat, sagte Oberhänsli.
Jeder verarbeitet personenbezogene Daten
Die Datenschutzgrundverordnung der EU (EU-DSGVO) war zwar schon letztes Jahr Thema an den Eset Security Days. Am 25. Mai dieses Jahres tritt sie in Kraft. "Wir sind nicht verrückt. Wir wissen, dass die Schweiz nicht zur EU gehört", sagte Wetzel. "Aber wir wissen auch, dass manche Schweizer Unternehmen trotzdem davon betroffen sein werden."
Die EU-DSGVO regelt den Umgang mit personenbezogenen Daten. Genau hier steckt aber bereits ein grosses Problem, wie aus dem Vortrag von Michael Schröder hervorgeht, Business Development Manager bei Eset Deutschland. Viele Unternehmen seien davon überzeugt, sie würden gar keine derartigen Daten verarbeiten. Ein Irrtum.
Was alles gemäss der EU-DSGVO zu personenbezogenen Daten gehört. (Source: Netzmedien)
Schröder habe nach eigenen Angaben aktuell eine Wette laufen. Er wettet, dass keiner ihm ein Unternehmen nennen könne, dass keine personenbezogenen Daten verarbeitet. Eine Niederlage musste er bisher noch nicht eingestehen. Denn der Begriff ist im Wortlaut der Verordnung sehr weit gefasst.
Personenbezogene Daten werden definiert als alles, womit man selbst oder mithilfe von Dritten eine natürliche Person eindeutig identifizieren kann. Neben den offensichtlichen – Kreditkartennummern, Gesundheitsdaten und Namen – fallen auch weniger offensichtliche Kandidaten in diese Kategorie. Darunter etwa dynamische IP- und Mac-Adressen.
Warum mehr Personen und Firmen betroffen sind, als man denkt
Mit der neuen Verordnung verschiebt sich auch die Beweislast. Denn Unternehmen seien nun zu jeder Zeit rechenschaftspflichtig. Der Firmensitz ist zudem zweitrangig. Zwar betrifft die DSGVO automatisch alle Firmen mit Sitz in der EU. Sie betrifft aber auch alle Firmen mit einer Niederlassung oder einem Auftragsverarbeiter in der EU.
Noch wichtiger ist allerdings die Person, deren Daten verarbeitet werden. Handelt es sich dabei um einen Bürger mit Wohnsitz in der EU, greift die DSGVO – die Betriebsgrösse, die Branche und der Sitz des Unternehmens, das die Daten verarbeitet, spielt dann keine Rolle.
Die DSGVO gilt jedoch auch für Personen, die sich aktuell in der EU aufhalten, wie es im Wortlaut heisst. Das heisst also, dass ein Amerikaner, der in Amsterdam Urlaub macht, ebenfalls den Schutz der DSGVO geniesst.
Michael Schröder, Business Development Manager bei Eset Deutschland. (Source: Netzmedien)
Im Falle einer Übertretung drohen hohe Bussgelder: bis zu 20 Millionen Euro oder 4 Prozent des Vorjahresumsatzes. Die Bussgelder bleiben laut Schröder wohl bei der aussprechenden Behörde. Beamte dürften deswegen wohl extra motiviert sein, aktiv zu werden im Falle einer Übertretung.
Zusätzlich zu den Bussgeldern werden für Unternehmen aber auch noch Schmerzensgeld-Zahlungen hinzukommen. Pro Opfer seien bis zu 2500 Euro realistisch. "Wie viele Kunden haben Sie, die bei einem Datenverlust davon Gebrauch machen würden, um ihren nächsten Urlaub zu finanzieren?", sagte Schröder.
Rund 85 Personen kamen für die Eset Security Days nach Zürich. (Source: Netzmedien)