Die Anwendungspflichtige EU-Datenschutz-Grundverordnung (DSGVO) greift ab dem 25. Mai 2018. Für die Schweiz ist das signifikante Datum auf den 1. August 2018 terminiert. Verantwortliche müssen ab diesem Datum auch datenschutzkonform arbeiten.Kein Wunder ist das Thema auch zentrales Element der Eset-Security-Days, die in Zürich über die Bühne gegangen sind.

Drei grosse Pfeiler, so Michael Schröder, Business Development Manager des IT-Security-Spezialisten Eset, in seiner Rede, deckt die Datengrundschutz-Verordnung ab: Dazu gehört die Verschlüsselung, das Remote Management und Regeln um einen Grundschutz sicherzustellen.

Im Detail ist dies der Schutz gespeicherter und transferierter Daten. Daneben muss sichergestellt sein, dass der Zugriff (insbesondere von unterwegs) auf bestimmte Daten blockiert und eingeschränkt werden kann, und auch nur auf Anfragen oder Genehmigung gestattet ist. Und drittens müssen Logins und Zugänge zu Geräten und Ressourcen abgesichert werden sowie auf einem dem Unternehmen angemessenen Schutzniveau sein.

Schröder ging in seinem Vortag «Datenschutz ist keine Raketenwissenschaft» der Frage nach, inwieweit Schweizer Unternehmen von dieser Verordnung betroffen sein werden.

Tritt die Verordnung in der EU bereits am 25. Mai in Kraft, wird die in der Schweiz ab August 2018 der Fall sein. Dabei, so Schröder, spielt die Grösse der Firma keine Rolle. Nicht ganz unerheblich dürfte dabei sein, was detailliert in den Regularien festgehalten wird, falls es zu einem Verstoss kommt: So werden die Strafen, nach offiziellem Wortlaut der Verordnung, «abschreckend» sein. «In Deutschland können sich diese maximal auf bis zu 20 Millionen Euro belaufen, in der Schweiz immerhin noch auf 300 000 Franken», so Schröder in seiner Rede.

«Das Ganze ist derzeit so unberechenbar», so der Eset-Manger weiter, «da es im Grunde genommen noch keinen einheitlichen Bussgeldkatalog gibt. Firmen, die etwa gehackt wurden, und deren Daten auf diese Weise abhandenkommen, sind gegenüber deren Kunden rechenschaftspflichtig. Im weiteren Fall könnten sich findige Anwälte einschalten, um Abmahnungen zu lancieren und so einen Anspruch auf Schadensersatz geltend machen.» In diesem Zusammenhang wies Schröder darauf hin, dass «gerade der Mittelstand zu den grössten Angriffszielen von Cyberattacken gehöre».

Im zweiten Teil seines Vortrags beschäftigte sich der Eset-Mitarbeiter mit Lösungen. Das wichtigste:  Diese müssten sich von Unternehmen auch tatsächlich umsetzen lassen. «Entscheidender Faktor», so Schröder, «ist das Unternehmen selbst. Handelt es sich bei der Firma etwa um einen kleinen Handwerksbetrieb mit fünf Mann oder etwa um einen Grosskonzern, der etwa weltweit vernetzte Aussenstellen besitzt? Zwar geht es in beiden Fällen um Datensicherheit. Unter Berücksichtigung der eigenen Risikobetrachtung und des Betriebes können diese Anforderungen auch unterschritten werden, da sie auch aufgrund der Kosten immer auch im Verhältnis zur Betriebsgrösse stehen müssen.

Dennoch, und darauf wies Schröder fokussiert hin, zählen dazu die Implementierungskosten, die Zwecke der Verarbeitung, Eintrittswahrscheinlichkeit eines Hacks und ein dem Risiko angemessenes Schutzniveau. Nochmals zurück zum Anfang: Kümmert sich das Unternehmen (egal, wie gross es ist) nicht darum, läuft es im Fall eines erfolgreich geführten Hackingangriffs grosse Gefahr, mit Schadensersatzforderungen konfrontiert zu werden.

Die EU-Datenschutzgrundverordnung, die am 25. Mai 2018 in Kraft tritt, bedeutet eine grundlegende Neuordnung. Schweizer Unternehmen sind dadurch in zweifacher Hinsicht betroffen. Erstens werden sie in zahlreichen Fällen direkt dem Recht der Europäischen Union unterstellt sein, auch wenn die Bearbeitung der Daten in der Schweiz stattfindet. Zweitens wird das neue EU-Recht auch in der laufenden Revision des Schweizerischen Datenschutzrechts berücksichtigt werden müssen, damit die Gleichwertigkeit des schweizerischen Datenschutzes mit demjenigen in der EU auch weiterhin gewährleistet ist. Schweizerische Unternehmen sollten sich daher bereits jetzt mit dem neuen EU-Datenschutzrecht und den sich daraus für sie ergebenden möglichen Folgen befassen.

Datenschutzbeauftragter: Unternehmen, deren Kerngeschäft die regelmässige oder systematische Beobachtung von Betroffenen in grossem Umfang ist oder die in grossem umfangsensitive Daten verarbeiten, sind verpflichtet, einen Datenschutzbeauftragten zu ernennen. Beim Beauftragten kann es sich um einen Mitarbeitenden des Unternehmens oder um einen externen Dienstleister handeln. Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragter bestimmt werden. Meldepflicht: Datenschutzverstösse, etwa bei Diebstahl, Verlust oder Offenbarung personenbezogener Daten an Unbefugte, sind innert 72 Stunden an die zuständige Datenschutz-behörde zu melden, ausser die Datenschutzverletzung führt voraussichtlich zu keinem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen. Zusätzlich müssen die betroffenen Personen selbst benachrichtigt werden, wenn für sie ein hohes Risiko besteht.

Aufzeichnungspflicht: Unternehmen müssen Aufzeichnungen über ihre Datenverarbeitungsaktivitäten führen.  Dies beinhaltet die Dokumentation von Kontaktdaten der für die Verarbeitung Verantwortlichen, die Zwecke der  Datenbearbeitung, die Kategorien der verarbeiteten Daten, der allfälligen Empfänger, an die Daten weitergegeben werden, Datenübermittlungen in EU-Drittländer, die Fristen für die Löschung der verschiedenen Datenkategorien und eine Beschreibung der vorgesehenen technischen und organisatorischen Schutzmassnahmen. Auch Auftragsdatenverarbeiter müssen über die von ihnen im Auftrag ausgeführten Datenverarbeitungen über ähnliche Aufzeichnungen verfügen. Unternehmen mit weniger als 250 Mitarbeitenden sind von dieser Pflicht befreit, wenn die Datenverarbeitung kein Risiko für die betroffenen Personen darstellt und keine besonders schützenswerten Personendaten betrifft.

Privacy by design: Produkte und Services sind so zu erstellen, dass diese standardmässig nur diejenigen personenbezogenen Daten verarbeiten, die für den jeweiligen Zweck erforderlich sind.

Datenschutzfolgenabschätzung: Datenverarbeitungsprozesse, die hohe Risiken für die Rechte und Freiheiten der Betroffenen  beinhalten, bedürfen einer vorgängigen unternehmensinternen  Überprüfung, insbesondere bei der Verwendung neuer Technologien.

Recht auf vergessen werden: Die Durchsetzung des Rechts der Nutzer, Informationen wieder löschen zu lassen, wird erleichtert.

Portabilität: Die Nutzer müssen die Möglichkeit haben, Daten von einem Anbieter zum nächsten mitzunehmen.

Jugendschutz: Grundsätzlich dürfen Kinder unter 16 Jahren Onlinedienste wie Facebook, Video on Demand oder Chatrooms nur mit Zustimmung der Eltern nutzen. Den EU-Staaten steht es jedoch frei, tiefere Alterswerte festzulegen, wobei ein absolutes Mindestalter von 13 Jahren gilt.

One-Stop Shop: Betroffene sollen sich künftig in ihrer Sprache an die Datenschutzbehörde in ihrem Heimatstaat wenden können, auch wenn es um Datenschutzprobleme in einem anderen Mitgliedsstaat geht.
Strafmass: Unternehmen, die gegen die neuen Datenschutz-regeln verstossen, droht eine Geldstrafe von bis zu maximal20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes –je nachdem, welcher Betrag höher ist. Kleineren Unternehmen drohen keine derartigen Sanktionen, wenn es sich um erstmalige, versehentliche oder kleinere Verstösse handelt.