DSGVO: Handlungsbedarf im Datenschutz

Warum sollten sich Schweizer Firmen um eine europäische Datenschutz-Verordnung Sorgen machen? Kurz: Weil das Internet keine Landesgrenzen kennt und weil in zwei Jahren das Schweizer Gesetz voraussichtlich an die europäische Regelung angepasst wird.

So ziemlich jede Firma mit einer öffentlich zugänglichen Website dürfte von der DSGVO betroffen sein. Denn oberster Zweck der neuen Regelung ist es, die Daten europäischer Bürger zu schützen – auch wenn diese Daten auf Servern ausserhalb der Europagrenzen gespeichert werden. 
Wenn also EU-Bürger Ihre Website besuchen (können), sollten Sie sich näher mit der DSGVO befassen.

Angeregte Diskussion

Die beiden Referenten am FFHS Business Breakfast beleuchten das Thema aus rechtlicher und aus praktischer Sicht: Claudia Leonie Wasmer ist Juristin bei datenschutz focus & unternehmen, Auditorin bei Datenschutzzertifizierungen der SQS und Dozentin zum Thema Datenschutz im Rahmen des MAS Business Law an der FFHS. Sie rät den Anwesenden dringend dazu sich auf die Einführung der DSGVO vorzubereiten.

Dem stimmt ihr Gegenüber Mathieu Habegger grundsätzlich zu. Als technischer Leiter und Partner bei der SwissMediaPartners AG weist er aber auch auf die Kluft zwischen Recht und Technik hin: Man wisse aktuell schlicht noch nicht, ob auch alles technisch machbar sei, was die neue Verordnung vorschreibe. 
Fest steht, dass investieren muss, wer der DSVGO zumindest grösstenteils entsprechen will. Denn Firmen haben neu die folgenden Datenschutz-Grundsätze zu beachten:

• Dokumentationspflicht: Sie müssen nachweisen können, dass sie Daten verwenden dürfen, die Herkunft und Verwendung von Daten muss dokumentiert werden.
• Datenminimierung: Unternehmen dürfen nur Daten sammeln und speichern, die sie für einen bestimmten Zweck verwenden. Das Sammeln von Zusatz-Infos, die vielleicht in Zukunft einmal nützlich sein könnten, ist also untersagt...
• Sicherheit und Privacy by Design: Unternehmen müssen die Sicherheit der Daten garantieren können. Sie müssen Notfallszenarien implementieren können, falls es zu Leaks kommt.
• Einwilligung: Unternehmen müssen bei ihren Kunden (oder anderen Datenquellen) explizit die Erlaubnis einholen, dass sie zur Verwendung der Daten berechtigt sind. Weil neu auch IP-Adressen als persönliche Nutzerdaten gelten, werden die Datenschutz-Einwilligungsaufforderungen auf Websites aktuell immer häufiger.
• Rechenschaftspflicht: Unternehmen müssen persönliche Daten jederzeit auf Anfrage ausweisen, ändern oder komplett löschen können. Idealerweise wird ein Grossteil dieser Anfragen von automatisierten Prozessen erledigt.

Diese Anforderungen generieren zum Teil erheblichen Aufwand. Dieser lohnt sich aber gleich zweifach, argumentieren die Experten. Zum einen ist man rechtlich auf der sicheren Seite. Zum anderen ist Konformität mit der DSGVO ein ganz entscheidender Wettbewerbsvorteil. So dürfen öffentlich-rechtliche Firmen neu nur noch mit Partnern zusammenarbeiten, die den Anforderungen der DSGVO entsprechen. Wer dem Standard nicht entspricht, zieht künftig den Kürzeren.

Fragen über Fragen

Die Fragen aus dem Publikum zeigten deutlich: Noch ist nicht alles klar rund ums Thema DSVGO:

• Wie gehen wir mit eingekauften Adressen in Zukunft um? Wasmer antwortet: Genau diese Praxis, also der Handel mit Kontaktdaten, ist Mitgrund für die strengere Verordnung. Datenverkäufer müssen neu die Einwilligung aller Kontakte garantieren können. Käufer müssen sich diesbezüglich vertraglich beim Verkäufer absichern. Mathieu: Die E-Privacy Directive regelt Cookies etc. strenger. Firmen dürfen nicht mit Daten arbeiten, zu denen sie keine explizite Einwilligung haben.
• Wie setzen wir die Rechenschaftspflicht bei Drittanbietern um? Firmen müssen ein Verfahrensverzeichnis führen, müssen belegen können, dass sie alle Datengrundsätze eingehalten haben.
• Ist Datenschutz nur ein Nachteil? Nein, der neue Datenschutz ist auch eine Chance in manchen Branchen. Auftraggeber und Kunden werden vermehrt auf die Einhaltung von DSVGO achten.
• Muss man bei Patientendaten klären, woher die Kunden kommen? Wenn Behandlung in der Schweiz stattfindet, gilt grundsätzlich Schweizer Recht. Komplex sind die verschiedenen regionalen Rechtsformen (EU, Bundesrepublik, Bundesland; Bund, Kanton) hier lohnt sich eine genauere rechtliche Abklärung, so Wasmer.
• Brauchen wir einen Data Protection Officer? Wasmer erklärt: Ein Datenschutzbeauftragter muss vor Ort sein, um Auskunft geben zu können. Die Funktion kann outgesourced werden. Aufgrund von unterschiedlichen Lokal-Gesetzen wird sich in international tätigen Firmen wahrscheinlich ein Officer pro Niederlassung durchsetzen.
• Reicht es nicht, wenn wir Daten verschlüsseln/anonymisieren? Habegger winkt ab: Anonyme Daten gibt es praktisch nicht mehr. Anonym ist, wenn Sie sagen 'Ich habe 17 Leute auf meiner Website'. Sobald Sie zwei Sessions einem User zuordnen können, sind die Daten nicht mehr anonym. Durch Korrelation können selbst quasi-anonyme Daten ent-anonymisiert werden. Wasmer gibt ihrem Kollegen recht: Anonym gibt es mit Big Data eigentlich nicht mehr. Banken arbeiten deswegen zum Teil mit künstlichen Daten. Dabei werden die eigentlichen Daten abstrahiert. In dieser abstrahierten Form sind Daten nicht oder viel schwerer einem Individuum zuzuordnen.
• Wie ist mit Fotos umzugehen? Habegger erklärt: Auch Bilder sind persönliche Daten, entsprechend greift die DSGVO: Besucher einer Veranstaltung müssen vor dem Event ihre Einwilligung zur Erstellung und Verbreitung von Bildern geben können, und ihre Bildrechte auch wieder zurückziehen können. Fotos von Menschenmengen oder Gruppen werden in der Praxis problematisch.

Fazit

Gefragt, wo Firmen denn aktuell stehen, beschreibt Leonie Wasmer, eine angespannte Situation: «Als Beraterin sehe ich Mandanten unter Druck. Als Auditorin höre ich: 'Wir haben alles im Griff".» Sie geht davon aus, dass die DSGVO auch für grosse Firmen zur Knacknuss wird. «Grosse Firmen warten zu mit der Veröffentlichung ihrer DSGVO-Strategie, um Wettbewerbsvorteile nicht preiszugeben. Die Strategie «Abwarten» ohne im Hintergrund etwas zu unternehmen, wird sich nicht auszahlen. Denn bis zum 25. Mai müssen Firmen zumindest aufzeigen können, dass sie aktiv geworden sind.»

Dem Fazit stimmt Habegger grundsätzlich zu. Er regt aber auch an, die Anwendung und Rechtsprechung der neuen Verordnung abzuwarten, bevor man teure Massnahmen umsetzt. Denn: Erst in der Anwendung des Gesetzes wird sich zeigen, was Richtern wie wichtig ist. Entsprechend können Firmen ihre DSGVO-Massnahmen und -Budgets optimal priorisieren.

«Gesetze wie die DSGVO geben einen Impuls», schliesst Wasmer, «in 20 Jahren wird man sich daran gewöhnt haben». Das wichtigste sei, dass man jetzt aktiv würde.