Wie Unternehmen ihre IT fit für die EU-DSGVO machen
Das Europa Institut an der Universität Zürich hat seine Tagung zum Datenschutz dem Thema EU-DSGVO gewidmet. Im Zentrum standen Erfahrungsberichte aus Unternehmen sowie Empfehlungen zur Umsetzung der Verordnung.
Die neuen Regeln der Europäischen Union zum Datenschutz (EU-DSGVO), die im kommenden Mai in Kraft treten, bewegen. Wortwörtlich, denn die Tagung, die das Europa Institut der Universität Zürich am 25. Januar zum Thema veranstaltete, war gut besucht. Zahlreiche Verteter aus Unternehmen, Behörden und Jurisprudenz folgten der Einladung in den Saal des "Lake Side" am Zürichsee, um sich einen Nachmittag lang über die EU-DSGVO zu informieren.
Im Zentrum standen dabei nicht theoretische Fragen. Die Tagung war der Praxis und den konkreten Herausforderungen bei der Umsetzung der EU-Verordnung gewidmet. Das zeigte sich schon beim ersten Referat. Dirk Spacek, Experte für Informationstechnologierecht bei Walder Wyss Rechtsanwälte, zeigte, wie sich Medienunternehmen auf den 25. Mai 2018 vorbereiten sollten.
Martina Arioli führte durch die Tagung. (Source: Netzmedien)
Nutzer von Content würden heute im Internet sehr bereitwillig Daten von sich preisgeben, wenn sie dafür einen konkreten Mehrwert erhielten, sagte Spacek. Umso stärker müsste die Unterhaltungs- und Werbebranche die EU-DSGVO im Blick behalten. Spacek erläuterte anhand von vier Beispielen die neuralgischen Punkte.
Ob personalisierte Unterhaltung im Auto, Analyse der Mediennutzung, interaktive Inhalte oder Smart-Home-Assistenten wie Amazons Alexa - überall spielen gemäss Spacek verschiedene rechtliche Vorschriften eine Rolle. In Bezug auf die DSGVO sei vor allem das Verbotsregime, die Einwilligung der Nutzer in die Datenverarbeitung, das Recht auf "menschliches Gehör" sowie die Meldepflicht bei Datenlecks von Bedeutung.
Dirk Spacek von Walder Wyss Rechtsanwälte. (Source: Netzmedien)
Es reiche im künftigen EU-Regime nicht aus, vormarkierte Kästchen im Profil des Nutzers zu setzen (Opt-out) oder eine stillschweigende Einwilligung zu erwarten, warnte Spacek. Es müssten nun Datenschutzverantwortliche bestimmt, verständliche Datenschutzerklärungen verfasst und der Umgang mit Nutzerdaten transparent gemacht werden. Zudem sei es nicht zulässig, die Erbringung von Dienstleistungen von der Einwilligung in eine Datenbearbeitung abhängig gemacht werden, wenn dies zur Vertragserfüllung nicht erforderlich ist. Noch seien viele Fragen offen, sagte Spacek.
Der Weg zum Datenschutz bei SAP
Michael Morgenthaler, stellvertretender Datenschutzbeauftragter im betrieblichen Datenschutz bei SAP, gab im Anschluss Auskunft über die Umsetzung der DSGVO beim deutschen IT-Unternehmen. Zentral sei hierbei die Nachweispflicht, sagte Morgenthaler. Ein Unternehmen müsse nachweisen können, dass es alles richtig mache.
SAP habe dazu ein Datenschutzmanagementsystem entwickelt, das die Prozesse der Firma mit der DSGVO in Einklang bringe und dokumentiere. Datenschutz im Unternehmen sei ein komplexes und kontinuierliches Vorhaben. Eine besondere Herausforderung bestehe darin, dass die einmal aufgestellten Richtlinien auch eingehalten werden.
Michael Morgenthaler, stellvertretender Datenschutzbeauftragter im betrieblichen Datenschutz bei SAP. (Source: Netzmedien)
Dazu sei eine ständige Überprüfung und klare Regeln nötig. Vom Management über den Datenschutz-Beauftragten bis hin zum einzelnen Mitarbeiter. Bei SAP sei das etwa in Form eines übergreifenden "General Book", detaillierten "Work Instructions" und Schulungen realisiert worden.
"Am Ende muss das ganze Thema in die Köpfe rein", sagte Morgenthaler. Und ganz wichtig: Datenschutz kostet. Es müsse klar sein, wer ihn bezahlt und wer dafür zuständig sei. Denn bei Verstössen drohten hohe Bussen und ein Imageschaden. Nicht zuletzt, weil die Behörden im Rahmen der DSGVO öffentlich über verhängte Strafen informieren.
Wie es die Swisscom macht
Wie ein Schweizer Unternehmen in der Praxis Compliance mit der DSGVO schafft, zeigte Nicolas Passadelis, Head of Data Governance bei Swisscom. Im Zentrum stünden hierbei die Daten und deren Bedeutung für die Stakeholder, führte er aus. Swisscom habe sich selbst eine "Datenkultur" gegeben, die für alle Unternehmensbereiche gelte.
Umsatz sei nicht alles, sagte Passadelis. Man müsse den Mitarbeitern klarmachen, dass Daten ein wertvolles Asset seien, mit dem sorgfältig und vertrauensvoll umzugehen sei. Das heisse auch, dass nicht alles mit Daten gemacht werden sollte, was technisch möglich und kommerziell wünschbar sei. Wenn jemand im Unternehmen auf ihn zukomme und Einsicht in Kundendaten möchte, laute seine Antwort zunächst oft "Nein", so Passadelis.
Nach Innen sei es beim Thema Datenschutz wichtig, dass die Geschäftsleitung im Bild sei. Nach Aussen brauche es offene Kommunikation mit Kunden und der Öffentlichkeit. Es herrsche momentan Unsicherheit beim Publikum, sagte Passadelis. Deshalb müsse neben der Legalität auch die Legitimität der Data Governance beachtet werden.
Nicolas Passadelis, Head of Data Governance bei Swisscom. (Source: Netzmedien)
Passadelis erklärte dem Publikum das Vorgehen von Swisscom anhand eines "strategischen Frameworks für die Datennutzung", das die drei Ziele Effizienz, Effektivität und Umsatz miteinander in Einklang zu bringen versuche. Kein leichtes Unterfangen, denn den steigenden Erwartungen der Kunden stünden sinkende Preise gegenüber.
Bei der Umsetzung setze Swisscom auf eine Arbeitsteilung anhand von drei "Lines of Defense". Hierbei würden verschiedene Ansprechspartner im Unternehmen eingebunden. Unabdingbar sei, dass zuverlässiges Wissen auch über technische und rechtliche Materien geschaffen werde. Die Leute müssten wissen, was sie tun, forderte Passadelis.
Zusammenfassend meinte der Datenschutzrechtler von Swisscom, dass die digitale Transformation alle Unternehmensbereiche erfasse. Dies verlange eine umfassende Datenkultur, die sowohl auf die Ergreifung von Chancen als auch die Vermeidung von Risiken ausgerichtet sein müsse. Das Fundament dieser Kultur seien Data Goverance, Skills sowie vor allen Dingen Kommunikation nach Innen und Aussen.
Das schweizerische Bundesgesetz über den Datenschutz unter der Lupe
Jutta Sonja Oberlin, Managerin bei der Beratungsfirma Deloitte, widmete ihr Referat dem schweizerischen Bundesgesetz über den Datenschutz (DSG), das sich momentan in der politischen Beratung befindet. Der Entwurf des DSG sei kein Copy-and-Paste der DSGVO, betonte Oberlin, doch böten die EU-Regeln eine gute Richtschnur für die Compliance. Nicht zuletzt, da sie vom Strafmass her härter ausgelegt seien.
Wie Passadelis sagte Oberlin, dass Unternehmen als erstes eine Datenschutz-Strategie erarbeiten müssten. Die Implementierung dieser Strategie müsse dann mit Nachdruck vorgenommen werden. Bei allen Bemühungen um den Datenschutz müssten sich Betroffene auch die Frage stellen: "Was bin ich bereit zu riskieren?" Die vom DSG angedachten Bussen seien hier nicht der entscheidende Faktor, sie machten den Unternehmen "nicht wirklich Angst". Schwerer wiege der zu befürchtende Reputationsschaden bei Verstössen.
Oberlin zeigte dem Publikum den Prozess, mit dem Deloitte die DSG-Konformität seiner Kunden beurteile. Besonderes Augenmerk lenkte sie hierbei auf Drittparteien und Partner. Diese stellten ein Unternehmen oft vor Probleme, da deren Auswirkungen auf den Datenschutz schwer zu erfassen seien. Zu viel Aufwand sollte man bei einem Assessment aber trotzdem nicht betreiben, sagte sie.
Jutta Sonja Oberlin von Deloitte stellte das neue schweizerische Datenschutzgesetz vor. (Source: Netzmedien)
Drei Aspekte stachen beim Referat von Jutta Sonja Oberlin hervor. Erstens machte sie deutlich, dass die vom DSG verlangte Meldung von Datensicherheits-Verletzungen für die IT-Abteilungen eine grosse Herausforderung darstelle. Deshalb sei die Planung der entsprechenden Prozesse früh an die Hand zu nehmen. Für ein mit dem DSG konformes Data Breach Management müssten Unternehmen wissen, wo sie welche Daten verarbeiten, wo sie Daten speichern und wo Daten hinfliessen.
Zweitens fielen anonymisierte Daten nicht unter DSGVO resp. DSG, weil sie nicht personenbezogen seien. Allerdings bestünden hier noch Fragezeichen, wenn es um verschlüsselte Daten gehe.
Drittens wies Oberlin wie andere Referenten auf die Prinzipien "Privacy by design" und "Privacy by default" sowie das "Recht auf Vergessenwerden" hin. Schon bei der Entwicklung von Produkten müsse der Datenschutz berücksichtigt werden. So sollte etwa eine Kamera beim autonomen Fahrzeug erfasste Gesichter automatisch verpixeln und über eine automatische Löschfunktion verfügen.
Es gilt, sich auf die neuen Datenschutz-Regeln sorgfältig vorzubereiten, das machte die Zürcher Tagung deutlich. Das Regelwerk der DSGVO mag in seiner Komplexität und Grösse überwältigend wirken, Grund zur Panik bestehe deswegen aber nicht. Betroffene Unternehmen müssten diejenigen Aspekte, Handlungsfelder und vor allem Daten identifizieren, die für sie relevant sind.
Die Folien der Referate mit weiteren Informationen sind zeitlich beschränkt online verfügbar.