Podium

Markus Limacher von Infoguard über die EU-DSGVO

Uhr
von Coen Kaat

Ab dem 25. Mai 2018 gilt’s ernst: die Datenschutzgrundverordnung der EU tritt in Kraft. Und mit ihr eine Fülle an neuen Pflichten und Anforderungen. Warum auch Schweizer Unternehmen sich darüber informieren sollten, erklärt Markus Limacher, Head of Security Consulting, Infoguard.

Markus Limacher, Head of Security Consulting, Infoguard. (Source: zVg)
Markus Limacher, Head of Security Consulting, Infoguard. (Source: zVg)

Warum ist es auch für Schweizer Unternehmen wichtig, sich über die EU-Datenschutz-Grundverordnung (DSGVO) zu informieren?

Markus Limacher: Die EU-Datenschutz-Grundverordnung hat exterritorialen Charakter. Das bedeutet, sie regelt den globalen, einheitlichen Datenschutz von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen von EU-Bürgern oder Personen mit Wohnsitz in der EU. Somit sind auch Schweizer Unternehmen betroffen, die solche Daten sammeln und/oder verarbeiten.

Wie gut sind Schweizer Unternehmen auf die DSGVO vorbereitet?

Unserer Einschätzung nach besteht noch deutlich Nachholbedarf in ­Bezug auf die EU-Datenschutz-Grundverordnung. Bei vielen Firmen herrscht Unsicherheit bezüglich der Auslegung und der Anwendung – besonders auch in Bezug auf Prozesse und Richtlinien zur Sicherstellung schneller Reaktionsmassnahmen im Fall von Datenschutzverstössen und deren Informationsflüsse.

Was raten Sie Schweizer Unternehmen, die sich bisher noch nicht mit der DSGVO beschäftigt haben?

Setzen Sie sich mit dem Thema auseinander. Und besonders wichtig: Die EU-Datenschutz-Grundverordnung ist ein Thema, das auch ins Top-Management gehört. Prüfen Sie ob und inwiefern Sie von der DSGVO betroffen sind, gegebenenfalls mit externer, professioneller Unterstützung. Initiieren und operationalisieren Sie die folgenden wichtigsten Massnahmen: Identifizieren Sie die Datenflüsse und Kontrollmechanismen sowie bestehende Lücken. Ernennen Sie einen Data Protection Officer (DPO). Bauen Sie Datenschutz standardmässig in Ihre Produkte, Prozesse und Services mit ein. Identifizieren und klassifizieren Sie personenbezogene Daten und Metadaten und kontrollieren Sie, wer darauf Zugriff hat. Implementieren Sie zum Schutz von Personendaten angemessene Sicherheitsmassnahmen. Legen Sie Verfahren zur Bearbeitung personenbezogener Daten fest.Holen Sie die Zustimmung der betroffenen Personen ein. Überwachen Sie Ihre Systeme und melden Sie Vorfälle innert 72 Stunden. Führen Sie bei neuen Projekten, Prozessen und Dienstleistungen zur Sammlung und Verarbeitung personenbezogener Daten eine Datenschutz-Folgeabschätzung durch.

Wo sehen Sie die grössten Herausforderungen für Schweizer Unternehmen?

Die grössten Herausforderungen sehe ich in der adäquaten Umsetzung des DSGVO sowie in der Etablierung von Prozessen zur Erkennung und Meldung der zuständigen Datenschutz-Aufsichtsbehörde von Sicherheitsvorfall innerhalb von 72 Stunden.

Was geschieht mit Schweizer Unternehmen, die gegen die DSGVO verstossen?

Als Konsequenz droht pro Verstoss eine Busse von 2 bis 4 Prozent des weltweiten Jahresumsatzes beziehungsweise 10 bis 20 Millionen Euro – je nachdem, welcher Betrag höher ist. Die EU-Mitgliedstaaten können auch diverse andere Sanktionen festlegen.

Welche Prozesse sind am stärksten von der neuen Verordnung ­betroffen?

Ganz klar die Identifikation personenbezogener Daten sowie die Zustimmung aller betroffenen Personen einzuholen, dass deren Daten verwendet werden dürfen. Auch Verträge und Geschäftsbedingungen für die Verarbeitung personenbezogener Daten müssen angepasst werden. Ebenfalls stark betroffen sind Verfahren für die Speicherung, Löschung, Übertragung und Überprüfung dieser Daten.

Was muss der Channel besonders beachten?

Besonders für Abwicklungsprozesse bei IT-Dienstleistern und Distributoren gelten besondere Massnahmen. Die DSGVO bezieht sich auch auf Schweizer Unternehmen, welche in der EU Waren- oder Dienstleistungen anbieten oder das Verhalten von Personen in der EU analysieren. Bei diesen Unternehmen empfehlen sich folgende Massnahmen: Bauen Sie Datenschutz standardmässig in Ihre Produkte, Prozesse und Services mit ein (inkl. Web-Auftritt in klarer Sprache). Legen Sie Verfahren zur Bearbeitung personenbezogener Daten fest, inkl. Verträgen mit Auftragsdatenbearbeitenden sowie Auslandsdatentransfer. Holen Sie die (freiwillige) Zustimmung der betroffenen Personen ein. Eine Einwilligung kann auch widerrufen werden. Überprüfen Sie Prozesse und Richtlinien bezüglich Betroffenenrechte. Denken Sie auch an die Implementierung von Datenlöschungen, Datenminimierung und Datenportabilität.

Webcode
DPF8_78504