5 Minuten Lesezeit

Die neue Datenschutz-Grundverordnung der EU – Schreckgespenst für Schweizer Unternehmen?

27.07.17 15:50

Dank der Globalisierung und Digitalisierung des Handels haben auch kleinere und mittlere Unternehmen die Möglichkeit, ihre Waren und Dienstleistungen ohne allzu grossen Aufwand über die Landesgrenzen hinaus anzubieten. Das bringt allerdings nicht nur neue Chancen in Sachen Umsatz mit sich, sondern auch immer wieder neue Regulierungen und Vorschriften, die es einzuhalten gilt. Im Bereich IT sind Schweizer Unternehmen zwar seit einiger Zeit vor neuen Auflagen verschont geblieben, jetzt stehen ihnen mit der General Data Protection Regulation (GDPR) aber potentiell grössere Veränderungen ins Haus.

Aber wer ist eigentlich genau von der GDPR betroffen? Und welche Massnahmen müssen KMU treffen, um die Vorschriften der Verordnung einzuhalten? In diesem Artikel finden Sie die Antworten auf diese – und weitere – Fragen.

 

Wer ist von der GDPR betroffen?

Da die GDPR eine Verordnung der EU ist, könnte man schnell auf die Idee kommen, dass sie nur für Unternehmen gilt, die in der EU ansässig sind. Dem ist aber nicht so – die Verordnung greift weltweit, denn sie soll sicherstellen, dass alle EU-Bürger ein Mindestmass an Kontrolle über ihre personenbezogenen Daten haben. Daher sind auch Firmen von der Verordnung betroffen, die ihre Waren und Dienstleistungen in der EU anbieten – selbst wenn sie keine Niederlassung im EU-Gebiet haben. Darüber hinaus gilt die GDPR auch für Unternehmen, die EU-Bürger beschäftigen und personenbezogene Daten dieser Mitarbeiter verarbeiten. Dabei macht es keinen Unterschied, ob der EU-Bürger noch eine weitere Staatsbürgerschaft besitzt oder nicht.

Wie Sie sehen, hat die GDPR also weitreichende Auswirkungen, insbesondere für Schweizer Firmen, die häufig mit der EU geschäftlich verbunden sind oder Mitarbeiter aus der EU beschäftigen.

Welche Änderungen ergeben sich aus der GDPR – und welche Massnahmen sind nötig?

Die GDPR, die am 25. Mai 2018 in Kraft treten wird, bringt vor allem zwei grundlegende Neuerungen mit sich: Die Informationspflicht der Unternehmen bei der Speicherung personenbezogener Daten wird deutlich ausgeweitet und EU-Bürger erhalten wesentlich mehr Kontrolle über ihre personenbezogenen Daten. Unter anderem können betroffene Privatpersonen jetzt verlangen, dass Daten berichtigt oder sogar gelöscht werden. Bei Verstössen gegen die Auflagen der GDPR drohen empfindliche Geldstrafen bis zu einer Höhe von 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens.

Angesichts solcher Sanktionen müssen gerade KMU darauf achten, die Vorgaben strikt einzuhalten. Zur besseren Übersicht daher hier die zehn wichtigsten Punkte zur GDPR kurz zusammengefasst:

  1. Die bisherigen Grundsätze bei der Datenbearbeitung gelten weiterhin (Transparenz, Zweckbindung, Verhältnismässigkeit).
  2. Für die Datenbearbeitung ist die Einwilligung des Betroffenen oder ein anderer Rechtfertigungsgrund nötig.
  3. Die Gültigkeit der Einwilligung muss laufend überprüft werden, da die Einwilligung jederzeit zurückgezogen werden kann.
  4. Die Betroffenen müssen umfassend über die Speicherung der Daten informiert werden.
  5. Betroffene können Auskunft über die Daten verlangen, auf Rückgabe, Korrektur, Vervollständigung oder Löschung der Daten bestehen und Widerspruch gegen bestimme Arten der Datenbearbeitung einlegen.
  6. Der für die Datenbearbeitung Verantwortliche muss belegen, dass er die Vorgaben zum Datenschutz einhält (Dokumentationspflicht).
  7. „Risiko-Unternehmen“ müssen einen Datenschutzbeauftragten benennen – faktisch werden aber auch viele andere Firmen einen solchen benötigen.
  8. Personenbezogene Daten müssen durch angemessene technische und organisatorische Sicherheitsmassnahmen geschützt werden.
  9. Datenschutzverstösse, die Folgen für den Betroffenen haben können, müssen kurzfristig der zuständigen Behörde und unter Umständen auch dem Betroffenen selbst gemeldet werden.
  10. Ausgelagerte Datenbearbeitung unterliegt gesonderten Vorgaben. Insbesondere die Weitergabe von Daten in Länder ohne ausreichenden Datenschutz ist stark eingeschränkt.

Für die IT-Abteilung bedeutet das, sie muss wissen, welche personenbezogenen Daten im Unternehmen gespeichert werden, wo diese zu finden sind, aus welchen Quellen sie stammen und wie sie sich effizient auffinden, bearbeiten und löschen lassen. Hier kann eine umfassende Plattform zum Datenmanagement die Arbeit sehr erleichtern, denn sie ermöglicht eine einheitliche Datenverwaltung, zudem lassen sich die Daten so besser vor unberechtigten Zugriffen schützen.

Webinar Dossier-Management am Beispiel Datenschutzmanagement 

Einfache Umsetzung der GDPR mit Microsoft

Angesichts der hohen Anforderungen, die Unternehmen mit der GDPR zu erfüllen haben, hat sich Microsoft bereits im Vorfeld dazu entschlossen, die eigenen Produkte auf eine einfache Einhaltung und Umsetzung der GDPR auszurichten. Bei den Clouddiensten der Redmonder erhalten Sie sogar eine vertragliche Zusicherung, dass die Vorgaben bei diesen Diensten eingehalten werden. Hier ein Überblick wie die einzelnen Produkte beim Einhalten der GDPR unterstützen. 

Microsoft Office und Office 365

Ein wesentlicher Schritt zur Erfüllung der Verpflichtungen der Datenschutz-Grundverordnung besteht darin, die von Ihnen gespeicherten personenbezogenen Daten und deren Speicherort zu identifizieren und zu kontrollieren. Es gibt zahlreiche Office 365-Lösungen, die Ihnen helfen können, personenbezogene Daten zu identifizieren und den Zugriff darauf zu verwalten:

  • Verhinderung von Datenverlust
  • Suche, Klassifizieren und Verwaltung vom Daten-Lebenszyklus
  • eDiscovery (Compliance Untersuchung)
  • Explizite Datenzugriffsautorisierung während Servicevorgängen

Windows 10 und Windows Server 2016

Microsoft ist der Auffassung, dass effektive Sicherheit umfassend sein muss, vom Desktop-Rechner bis hin zu den Servern, auf denen sich die Daten befinden. Windows 10 und Windows Server 2016 verfügen über führende Verschlüsselungs- und Antischadsoftware-Technologien sowie Identitäts- und Zugriffslösungen, die Ihnen die Umstellung von Kennwörtern auf sicherere Formen der Authentifizierung ermöglichen.

Microsoft Azure

Zu identifizieren, welche Daten Sie haben, und zu kontrollieren, wer darauf Zugriff hat, ist eine entscheidende Anforderung der Datenschutz-Grundverordnung. Azure ermöglicht Ihnen die Verwaltung der Benutzeridentitäten und -anmeldeinformationen sowie die Steuerung des Zugriffs auf Ihre Daten auf mehrere Arten.

Microsoft SQL Server

Die Kontrolle über den Zugriff auf Ihre Datenbanken und die Verwaltung der Verwendung von und des Zugriffs auf Daten sind wichtige Anforderungen der Datenschutz-Grundverordnung. SQL Server- und Azure SQL-Datenbanken bieten Kontrollfunktionen für die Verwaltung von Datenbankzugriff und -autorisierung auf mehreren Ebenen.

Microsoft Dynamics 365

Die Kontrolle, wer Zugriff auf personenbezogene CRM Daten hat, ist entscheidend für den Schutz dieser Daten. Datensicherheit ist eine wichtige Anforderung der Datenschutz-Grundverordnung. Dynamics 365 ermöglicht Ihnen auf mehrere Arten die Verwaltung und Steuerung des Zugriffs auf Ihre Daten.

Microsoft Enterprise Mobility + Security

Microsoft hat Enterprise Mobility + Security mit führenden Sicherheitsfunktionen ausgestattet, um Ihre Daten in der Cloud zu schützen, einschließlich der Kategorien persönlicher Daten, wie in der Datenschutz-Grundverordnung gekennzeichnet. Enterprise Mobility + Security enthält identitätsgesteuerte Sicherheitstechnologien, die Ihnen helfen, persönliche Daten, die von Ihrer Organisation aufbewahrt werden, zu erkennen, zu kontrollieren und zu schützen, potenzielle Schwachpunkte zu offenbaren und zu erkennen, wenn Datenverstösse auftreten.

UPGREAT – der starke Partner an Ihrer Seite

Als Gold-Partner von Microsoft verfügen wir über das nötige Knowhow um Sie umfassend und individuell zu beraten. Ausserdem helfen wir Ihnen, eine passende Strategie zu entwickeln, unterstützen Sie bei der Umsetzung und achten darauf, dass Sie mit den passenden Lizenzen das Potential Ihrer IT voll ausschöpfen. 

Rolf Weber

Gepostet von Rolf Weber

Als «Digital Transformation Coach» kombiniere ich fachliches Handwerk rund um moderne Cloud-Services (Microsoft 365, Teams, SharePoint) mit strategischer Perspektive, befähige Mitarbeitende, neue Technologien praktisch anzuwenden und verlasse mich auf mein Gespür, Menschen in den unterschiedlichsten Situationen zu begeistern.