Nur fünf Monate nach Weihnachten wird es ernst mit der EU-Datenschutzgrundverordnung (EU-DSGVO). Die teils veralteten, unvollständigen Normen der einzelnen EU-Mitgliedsstaaten werden dann durch eine der schärfsten Datenschutzrichtlinien der Welt ersetzt. Verbraucher werden EU-weit die gleichen Rechte hinsichtlich Schutz ihrer persönlichen Daten und Transparenz haben, und zwar zu einem gleich hohen Standard. Obwohl die Anforderungen bereits lang und breit kommuniziert worden sind und die Übergangsfrist schon länger läuft, sind viele Unternehmen noch nicht auf den Stichtag am 25. Mai 2018 vorbereitet.
Gastbeitrag von Gerhard Raffling, Country Manager Schweiz bei Commvault
Von der DSGVO betroffen ist jedes Unternehmen, das personenbezogene Daten von EU-Einwohnern sammelt oder verarbeitet, unabhängig davon, wo es ansässig ist und auch wenn es Daten nur speichert ohne sie zu verarbeiten. Das bedeutet: Der Einfluss der EU-Gesetzgebung reicht dann weit über die eigenen Grenzen hinaus und schlägt Landesrecht, wenn Unternehmen Geschäfte in der EU tätigen – selbst wenn das Unternehmen keinen physischen Sitz in der EU hat. Um den Datenaustausch nicht zu erschweren, haben schweizerische Unternehmen sich bereits in der Vergangenheit am Datenschutzrecht anderer Märkte orientiert und sollten so auch mit der EU-DSGVO verfahren.
Das Ziel der DSGVO
Die Datenschutzgrundverordnung soll nicht grundsätzlich verhindern, dass Unternehmen personenbezogene Daten erheben oder verarbeiten. Sie soll aber die Möglichkeiten einschränken und sanktionieren, wenn etwa Privatpersonen der Datenerhebung und Verarbeitung überhaupt nicht oder nicht im tatsächlichen Umfang zugestimmt haben. Die informationelle Selbstbestimmung von natürlichen Personen wird gestärkt, unter anderem durch datenschutzfreundliche technische Voreinstellungen. Nationale Datenschutz- und Regulierungsbehörden können wirkungsvoller und mit Sanktionen gegen Verletzungen vorgehen; und haben tatsächlich weniger Spielraum, eine Beschwerde einfach zu ignorieren.
Was das in der Praxis bedeutet
Sobald die EU-DSGVO Anwendung findet, unterliegen Unternehmen der Kontrolle staatlicher Prüfinstanzen und müssen für grösstmögliche Sicherheit und Transparenz bei Datenverarbeitungsprozessen sorgen.
Vielen Verantwortlichen ist jedoch nicht klar, wo sensible Daten überall gespeichert sind, und dass genau dieses Unwissen zur Achillesferse werden kann. Beispiel: Von einer einzigen E-Mail können durch Backup- und Recovery-Prozesse an die 50 Kopien entstehen, gespeichert auf dem Desktop-PC, dem Mobiltelefon, der Cloud, dem Datacenter und an vielen, weiteren Orten. Damit personenbezogene Informationen nicht als Dark Data im Datensumpf verschwinden und Unternehmen in Folge Millionen kosten, ist gutes Datenmanagement entscheidend. Hilfreich hierbei ist der Einsatz von professionellen Management- und File-Sharing-Systemen, um die stetig wachsenden Datenmengen einfacher zu verwalten.
Wer gegen das strengste Datenschutzgesetz der Welt verstösst, muss mit Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes rechnen. Datenschutz wird zwangsläufig zur Chef-Sache – schliesslich haftet dieser bei einem Verstoss.
Es wird spannend sein, zu beobachten, welche Unternehmen und Dienstleister Ende Mai tatsächlich DSGVO-konform arbeiten und wie das Fazit des 2020 vorzulegenden Bericht ausfallen wird.
Was in der DSGVO drinnen steht
Die Verordnung umfasst eine Reihe von neuartigen Rechten und Verpflichtungen, darunter:
- Angepasster Datenschutz: Schutz personenbezogener Daten vor Missbrauch in jeder Phase ihres Lebenszyklus.
- Datenminimierung: Sammlung und Speicherung von so wenig personenbezogenen Daten wie möglich.
- Recht, vergessen zu werden: Löschung aller personenbezogenen Daten einer Person auf Anforderung.
- Übertragung und Portabilität von Daten: Migration der personenbezogenen Daten einer Person zu einem anderen Anbieter auf Anforderung.
- Verwaltung der Zustimmung
- Benachrichtigung über Datenschutzverletzungen innerhalb von 72 Stunden
- Integrität und Verfügbarkeit von personenbezogenen Daten nach einem Ausfall oder Fehler.
- Dokumentation
