Daniel Schmutz von Trend Micro über die EU-DSGVO
Ab dem 25. Mai 2018 gilt’s ernst: die Datenschutzgrundverordnung der EU tritt in Kraft. Und mit ihr eine Fülle an neuen Pflichten und Anforderungen. Warum auch Schweizer Unternehmen sich darüber informieren sollten, erklärt Daniel Schmutz, Regional Marketing Manager ALPS, Trend Micro.
Warum ist es auch für Schweizer Unternehmen wichtig, sich über die EU-Datenschutz-Grundverordnung (DSGVO) zu informieren?
Daniel Schmutz: Die DSGVO ist nicht auf den EU-Raum beschränkt. Sie betrifft jedes Unternehmen, das personenbezogene Daten von EU-Bürgern speichert oder verarbeitet.
Wie gut sind Schweizer Unternehmen auf die DSGVO vorbereitet?
Unternehmen, die auch bislang das Thema Datenschutz ernst genommen haben, sind in der Regel gut vorbereitet. Das grösste Nachholpotenzial haben viele Unternehmen beim Schutz vor Datenverlust. Sie haben sich oft nur gegen offenkundige Probleme wie Ransomware geschützt, das Thema Datendiebstahl, speziell von nicht unternehmenskritischen Daten, hingegen nur selten betrachtet.
Was raten Sie Schweizer Unternehmen, die sich bisher noch nicht mit der DSGVO beschäftigt haben?
Es lohnt sich, den eigenen Umgang mit und Schutz von Personenbezogenen Daten kritisch zu hinterfragen. Unternehmen sollten ihre Systeme und Prozesse genauer betrachten und Lücken ausbessern. Die DSGVO stellt damit eine Chance dar, die IT und speziell die IT-Sicherheit zu verbessern.
Wo sehen Sie die grössten Herausforderungen für Schweizer Unternehmen?
Die grösste Herausforderung besteht darin, dieses Gesetz ernst zu nehmen. Es wird von aussen an die Schweiz herangetragen, damit ist Widerstand vorprogrammiert. Zudem kann niemand vorhersagen, ob die EU ab Mai 2018 tatsächlich willens oder in der Lage ist, medienwirksame Prozesse wegen Verstössen zu führen. Deshalb warten viele Firmen ab, was passiert. Diese Haltung ist eigentlich sehr bedauerlich, denn Datenschutz ist auch in der Schweiz wichtig.
Was geschieht mit Schweizer Unternehmen, die gegen die DSGVO verstossen?
Unternehmen, die personenbezogene Daten nicht entsprechend schützen und deren Verlust öffentlich wird, werden höchstwahrscheinlich Strafen zahlen müssen. Dafür hat die EU die Voraussetzungen geschaffen. Cyberkriminelle haben zudem auch schon bisher nach geglückten Datendiebstählen, wie jüngst bei Uber, Löse- beziehungsweise Schweigegeld für diese Daten verlangt. Es steht zu erwarten, dass sich dieser Trend fortsetzt, die Preise für das Schweigen jedoch höher werden.
Welche Prozesse sind am stärksten von der neuen Verordnung betroffen?
Die IT-Security wird wohl am meisten Veränderungen erfahren. Durch die Höhe der Strafzahlungen rückt die Frage nach der Wahrscheinlichkeit eines Datendiebstahls für viele Unternehmen in den Bereich der Risikobetrachtung und damit in die Führungsetagen. In vielen Unternehmen werden deshalb neue Prozesse in diesem Bereich entstehen.
Was muss der Channel besonders beachten?
Der Channel wird neue Dienstleistungen bieten müssen. Unternehmen wollen sich nach "Stand der Technik" schützen, haben aber selten genügend eigenes Wissen. Hier kann der Channel mit seiner Expertise von Beratung bis Umsetzung unterstützen.