Zürich – In den letzten Jahren hat sich die Art und Weise, wie Organisationen Daten speichern und teilen, drastisch verändert: Die wachsende Vernetzung der Welt hat zu einer internationalen Geschäftskultur geführt, in der Mitarbeiter Daten zwischen Ländern von unterschiedlichen Endgeräten ohne Weiteres hin und her schicken. Mit einher ging in den letzten 20 Jahren ein technologischer Wandel: Durch das Internet, Cloud Computing und Big Data sieht sich der europäische Gesetzgeber dazu gezwungen, die seit 1995 existierende Datenschutzrichtlinie durch eine neue Regelung, die Datenschutz-Grundverordnung (DS-GVO) zu ersetzen und damit ein europaweit höheres Mass an Sicherheit für personenbezogene Daten zu schaffen.
Die neue Regelung ist im April 2016 vom EU-Parlament beschlossen worden und im Mai in Kraft getreten. Bis zum Ende der Übergangsfrist am 25. Mai 2018 müssen sich Unternehmen den vereinheitlichten Datenschutzregularien innerhalb der EU anpassen. In Anbetracht der Vielzahl an erheblichen Änderungen ist eine Frist von lediglich zwei Jahren für die Umsetzung ein enges Zeitfenster. Die neue Regelung wird auch für viele Schweizer Unternehmen gelten. Sie sollten sich deshalb jetzt mit den Änderungen im EU-Datenschutzrecht befassen, um notwendige Änderungen einleiten und die Bestimmungen der EU und der Schweiz erfüllen zu können. Denn die Schweiz wird die neuen EU-Richtlinien in die aktuell in Revision befindliche Datenschutzgesetz miteinbeziehen, um sicherzustellen, dass die EU schweizerisches Recht anerkennt und der für Schweizer Firmen wichtige Datenaustausch mit Unternehmen in der EU nicht erschwert wird (1).
Bussen bis vier Prozent des globalen Umsatzes möglich
Ziel der europäischen Reform ist es, die Forderungen der Bürger nach mehr Transparenz und Schutz in Bezug auf ihre persönlichen Daten zu erfüllen. Ausserdem ist die EU in der Pflicht, die Datenschutzgesetzgebung zu vereinheitlichen und dadurch Rechtssicherheit zu erzielen. Doch wie kann sich ein europaweit tätiges Unternehmen auf die neuen Regelungen einstellen? Die Reaktionen auf die neue Verordnung müssen schnell ausfallen. Denn ansonsten ist mit Bussgeldern von bis zu vier Prozent des globalen Jahresumsatzes und rechtlichen Schritten zu rechnen. Zudem kann der Ruf eines Unternehmens erheblich leiden. So mussten bereits Unternehmen wie Unilever, Punica und Adobe – zugegebenermassen verhältnismässig geringe – Bussgelder in der Höhe von 11’000 Euro zahlen. Das Bussgeld fiel jedoch lediglich deshalb so gering aus, weil die Unternehmen noch während des Prozesses ihre Datenschutzregelungen umstellten.
Die Arbeitsweise mit anderen Ländern überdenken
Eine der grössten Veränderungen, die die neue Regelung mit sich bringt, ist die Frage der Datenherkunft. Nicht mehr nur Unternehmen mit Sitz in der EU, sondern auch europäische Tochtergesellschaften ausländischer, also auch Schweizer Unternehmen, die lediglich Daten von Personen aus der EU verarbeiten, sind betroffen. Das war bisher nicht eindeutig geregelt: So sah sich beispielsweise Microsoft gezwungen, gerichtlich klären zu lassen, dass ein Beschluss einer US-amerikanischen Strafverfolgungsbehörde, der die Herausgabe von auf Servern in Irland gespeicherten E-Mail-Daten zum Gegenstand hatte, unrechtmässig ergangen war.
Mehr als je zuvor fragen sich daher Unternehmen und Privatpersonen in Europa, in welchem Land ihre Daten verarbeitet und gelagert werden. Ab 25. Mai 2018 müssen Organisationen gewährleisten, dass die in ihren Rechenzentren gelagerten Informationen niemals ohne Autorisierung die länderspezifische Gesetzeszone verlassen. Bürger haben dann ein Recht darauf, zu erfahren, welche ihrer Daten gesammelt und wie sie verarbeitet werden. Sie werden ausserdem das Recht haben, der Übertragung und Verarbeitung ihrer Daten in Drittländern zu widersprechen beziehungsweise müssen dieser vorab zustimmen. Das wiederum kann jedoch zur Folge haben, dass Verbraucher die Dienste überhaupt nicht mehr in Anspruch nehmen können.
Die Verarbeitung personenbezogener Daten neu regeln
Angesichts der in den letzten Jahren stark gestiegenen Nutzung von Cloud-Services ist es unwahrscheinlich, dass persönliche Daten ausschliesslich innerhalb der eigenen Organisation gelagert werden. Bevor die Übergangsphase der DS-GVO endet, müssen die Unternehmen die Art und Weise, wie sie ihre Daten sammeln, klassifizieren, lagern, teilen und schützen, überarbeiten. Denn in der neuen Verordnung ist die Definition des Begriffs „persönliche Daten“ weiter gefasst und klassifiziert mehr Daten als persönlich. Die neuen Transparenz- und Informationspflichten der Unternehmen führen dazu, dass persönliche Daten stärker geschützt sind. Unternehmen müssen daher sicherstellen, dass alle darunter fallenden automatisch verarbeiteten Daten geschützt sind.
Zusammenarbeit muss einfach wie auch sicher sein
Heute arbeiten Firmen vermehrt mit verschiedenen externen Partnern – auch aus sogenannt unsicheren Drittländern – zusammen, um innovativ und erfolgreich zu bleiben. Dabei gilt es, sich an Datenschutzregularien zu halten, um Kundeninformationen sowie den eigenen Ruf zu schützen. Das moderne Unternehmen erfüllt beide Anforderungen, indem es einfache und sichere Technologien zum Schutz personenbezogener Daten nutzt. Abhilfe beim Teilen von Daten mit dritten Parteien können Kollaborationsplattformen schaffen, die sich durch ein hohes Mass an Benutzerfreundlichkeit auszeichnen und den Alltag erleichtern. Sie können die neuen, anspruchsvollen Forderungen durch verschiedene Features erfüllen. Diverse Verschlüsselungsmethoden verhindern, dass Daten in die falschen Hände gelangen: Mit einer Zweifachauthentifizierung ist garantiert, dass nur autorisierte Nutzer Zugriff auf die jeweiligen Dokumente haben. Durch Information Rights Management kann zudem für jede Datei bestimmt werden, ob sie heruntergeladen oder ausgedruckt werden darf. Das sind nur wenige Beispiele für die Vorteile solch sicherer Datenräume, die die Einhaltung der neuen Datenschutz-Grundverordnung erleichtern.
Fazit
Die neue Regelung ist für Verbraucher äusserst positiv. Endlich wird ihnen europaweit ein Bestimmungsrecht über ihre persönlichen Daten verliehen. Auch die Tatsache, dass ein harmonisiertes Recht in Europa besteht, ist definitiv zu begrüssen. Es ist jedoch nicht absehbar, ob die EU all diese neuen Regelungen auch so konsequent umsetzen kann, wie es nötig wäre. Sanktionen wird es sicherlich geben – inwieweit die Durchsetzung von finanziellen Strafen rechtlich machbar ist, bleibt jedoch fraglich. Für Unternehmen wird es eine Herausforderung sein, die neuen Anforderungen an Sicherheitsstandards einzuführen und konsequent umzusetzen. Sie sollten die Übergangsphase dringend nutzen, um daran zu arbeiten, die Datenverarbeitungsprozesse auf Anpassungsbedarf zu prüfen und bereits den neuen Regeln entsprechend rechtskonform zu gestalten.
(1) Auswirkungen auf Schweizer Unternehmen: Die Schweiz wird die neue Datenschutzgrundverordnung der EU in die aktuelle Revision des Datenschutzgesetzes miteinbeziehen und mehrheitlich mit diesem in Übereinstimmung bringen. Schliesslich gilt es sicherzustellen, dass die EU das schweizerische Recht auch anerkennt und Schweizer Unternehmen mit Unternehmen in der EU uneingeschränkt Datentausch betreiben können. Die neue europäische Verordnung wird für Schweizer Unternehmen verbindlich, die hierzulande Daten für in der EU ansässige Niedererlassungen oder Tochterfirmen verarbeiten oder wenn ein Schweizer Rechenzentrumsanbieter für Firmen in der EU arbeitet. Sie hat ebenso für Schweizer Unternehmen Gültigkeit, die Daten von in der EU lebenden Personen verarbeiten, etwa wenn diese ihnen Dienste oder Waren in der EU anbieten. Aber auch, wenn der Anbieter das Verhalten von in der EU ansässigen Personen beobachtet, beispielsweise bei der Analyse des Besucherverhaltens von Nutzern aus der EU auf einer Schweizer Webseite oder App. In der Praxis bedeutet dies, dass das EU-Recht beispielsweise für Schweizer Online-Shops, Exporteure oder Anbietern von Online-Bestell-Plattformen u.ä. gilt.