Neue EU-Datenverordnung: Auch Schweizer Unternehmen in der Pflicht - Themen auf topsoft

Neue EU-Datenverordnung: Auch Schweizer Unternehmen in der Pflicht

Am 25. Mai 2018 tritt die General Data Protection Regulation (GDPR) in Kraft. Durch neue Technologien wie Big Data sammeln immer mehr Unternehmen immer mehr Daten über ihre Kunden. Bereits in der Vergangenheit kam es dadurch verstärkt zu Missbrauch und Diebstahl der Daten. Dem will die EU mit dem Inkrafttreten einer einheitlichen Datenschutzverordnung in einigen Wochen nachhaltig entgegenwirken. Dadurch wird sich für die meisten Firmen die Notwendigkeit zu substantiellen Veränderungen in den Kontrollen und Reporting-Standards ergeben – mit allen Auswirkungen auf die Geschäftsabläufe. Bei Nichteinhaltung riskieren Unternehmen beträchtliche Geldbussen.

Unternehmen müssen damit schnellstmöglich sicherstellen, dass sie die von ihnen gesammelten Daten entsprechend der neuen Regeln und der umfangreichen Auflagen im Rahmen von GDPR, die nun für Datenverarbeiter gelten, verarbeiten. Das stellt auch Schweizer Unternehmen vor einige Herausforderungen.

Santiago Caneiro, Country Manager Schweiz bei Interoute, hebt hervor, worauf Unternehmen achten müssen:

 

Strafen können hoch sein, sind aber proportional

GDPR machte Schlagzeilen wegen der erheblichen Erhöhung der Strafen, die von der Regulierungsbehörde verhängt werden können (bis zu 4 % des weltweiten Umsatzes bei den schwerwiegendsten Verstössen). Dennoch sind die Strafen nach Ermessen und sollen „effektiv, proportional und abschreckend“ sein. Das Bussgeldsystem ist innerhalb der EU vereinheitlicht und es bleibt abzuwarten, wie diese Strafen in der Praxis gehandhabt werden, da Regulierungsbehörden konsistent sein wollen.

Es ist allerdings zu erwarten, dass sie die ersten Fälle, die auftreten, umfassend untersuchen werden, um sicherzustellen, dass jede Strafe angemessen festgelegt wird. Auch lässt sich festhalten, dass GDPR zwei Ebenen an maximalen Strafen vorsieht, je nach Art des Verstosses. Der höhere Grenzwert ist bei vier Prozent des weltweiten jährlichen Umsatzes gedeckelt oder, falls diese Summe geringer ist, 20 Millionen Euro bei schwerwiegenden Verstössen wie einer Verletzung der Datenschutzrechte.

Um den genauen Betrag festlegen zu können, ist es im Rahmen der GDPR erforderlich, dass die Aufsichtsbehörde eine Reihe an Faktoren berücksichtigt. Darunter sind beispielsweise die Art der betroffenen Daten, Eindämmungsmassnahmen, die das Unternehmen ergriffen hat und bisherige Verstösse. Das bedeutet, dass bei der Bewertung eines möglichen Verstosses in Bezug auf GDPR, Unternehmen, die verantwortungsbewusste Schritte zur Erfüllung der GDPR-Anforderungen eingeleitet haben, positiver beurteilt werden.

Datenflüsse verstehen

Schweizer Unternehmen sollten mit der Umsetzung der GDPR Compliance bereits sehr weit fortgeschritten sein. Ganz grundlegend ist, dass sich alle Entscheidungsträger über die Inhalte der neuen Verordnung im Klaren sind und wissen, was nötig ist, um Compliance sicherzustellen, wenn sie Kunden in der EU haben. Die wirklichen alltäglichen Herausforderungen für Unternehmen werden sein, ihre Datenbestände zu verstehen und zu wissen, wohin diese Daten fliessen.

Diese Herausforderungen spüren besonders Unternehmen, deren Denkansatz traditionell nicht datenzentriert war. Sie müssen bestimmen, wo jegliche persönlichen Daten gespeichert werden und wer die Daten verwaltet. Zusätzlich sollten sie sich bewusst sein, welche Datenschutzregeln gelten.

Schuldzuweisungen schützen nicht vor Strafen

Die Versuchung ist gross, das Risiko von GDPR vollständig auf den IT-Dienstleister zu verlagern. Allerdings wird unter GDPR sowohl vom Datenverantwortlichen – normalerweise dem Unternehmen – als auch vom Datenverarbeiter – oft der Dienstleister – verlangt, die bestehenden Risiken bei der Verarbeitung zu beurteilen und Massnahmen einzuführen, um diese Risiken zu senken, beispielsweise durch Verschlüsselung. Diese Massnahmen sollten adäquate Sicherheitsstandards, einschliesslich Vertraulichkeit, sicherstellen.

Darüber hinaus sollten sie den neuesten Stand der Technik sowie Implementierungskosten im Verhältnis zu den Risiken und der Art von persönlichen Daten, die geschützt werden sollen, berücksichtigen. Unternehmen sind angehalten, mit ihren Dienstleistern zusammenarbeiten, um sicherzustellen, dass jegliche Verarbeitung transparent ist und dass vorhandene technische und organisatorische Massnahmen ein angemessenes Mass an Schutz sicherstellen.

 

Über Interoute
Interoute ist Eigentümer und Betreiber eines der grössten Netzwerke Europas und einer globalen Cloud-Service-Plattform, die 17 Rechenzentren, 17 Virtual Data Centres und 51 Co-Location-Zentren sowie Direktanbindungen zu weiteren 195 Rechenzentren von Partnern in Europa umfasst. Interoutes Full-Service-Unified-ICT-Plattform wird von internationalen Unternehmen und vielen der weltweit grössten Telekommunikationsunternehmen ebenso genutzt wie von Regierungen und Universitäten.