Wir ziehen Bilanz – letztes Jahr trat die Datenschutz-Grundverordnung in Kraft. Sowohl Unternehmen, Behörden als auch Organisationen waren dazu aufgefordert, einige unternehmensinterne Veränderungen hinsichtlich ihrer Datenschutzrichtlinien durchzuführen. Personenbezogene Daten, die von Unternehmen gesammelt werden, müssen seither transparent gemacht werden. So wird der Einzelperson Einsicht und Kontrolle über ihre personenbezogenen Daten gewährleistet. Unternehmen, die nicht GDPR-konform handeln, müssen mit horrenden Strafen rechnen. Bei Verstoss gegen die Auflagen drohen Bussenbeträge in Millionenhöhe.
Die Verunsicherung war gross – Viele KMUs sowie auch grosse Firmen wussten nicht, wie sie die vermeintlich grosse und aufwendige Umstrukturierung angehen sollten, um den GDPR-Richtlinien zu entsprechen. Immerhin waren alle Unternehmen betroffen, die Waren und Dienstleistungen an Personen in der EU verkaufen, beziehungsweise Daten von EU-Bürgern erfassen. Nahezu jedes Unternehmen musste sich also mit GDPR auseinandersetzen – Schliesslich werden beispielsweise durch den Versand von Newslettern, Downloads von Dokumenten oder auch Anmeldungen zu Events Daten generiert.
Je nach Branche ist es einigen Dienstleistern schwergefallen, entsprechende Massnahmen und Konzepte zu erstellen, um die personenbezogenen Daten zu sichern. Auch an Fachwissen mangelte es – so kam es, dass einige Unternehmen Schritte einleiteten, obwohl Unklarheit bestand, ob dies die passende Vorgehensweise war. Aus Unsicherheit unternahmen andere sogar gar keine Schritte, was schwerwiegende Folgen hatte. Niemand kannte das Reglement, die meisten konnten das Risiko nicht eigenständig beurteilen und dementsprechend Massnahmen priorisieren oder gar verwalten. Was zunächst als äusserst umfangreiche Anforderungen wahrgenommen wurde, entpuppte sich schliesslich als drei GDPR-Schlüsselbereiche, die ausführlich im jeweiligen Unternehmen thematisiert und entsprechend optimiert werden mussten.
Auch bei unseren Kundengesprächen konnten wir feststellen, dass sowohl viele Verantwortliche als auch die Managementebene nicht ausreichend über den Vorgang informiert waren, sodass es zu erheblichen Verzögerungen im GDPR-Prozess kam.
Catch-up GDPR
Eine kurze Auffrischung zur GDPR: Die Verordnung wurde im Frühling letzten Jahres als Schutz von Personendaten ins Leben gerufen, um einen einheitlichen Datenschutz in der EU zu garantieren. Sie dient vor allem der Einzelperson, um individuelle Daten, die bei irgendeiner Gelegenheit online eingegeben wurden, einzusehen und zu verwalten. Vor allem aber muss transparent sein, was mit den Daten geschieht und inwiefern Unternehmen diese verwenden dürfen.
Der Status Quo – das hat sich getan
GDRP zählte 2018 definitiv zu den meist diskutierten Themen in Europa – heute, knapp 15 Monate später, ziehen Datenschützer erste Bilanzen. Eines vorweg: Es gibt noch viel Spielraum nach oben. Auch ein Jahr später haben viele Unternehmen noch nicht die GDPR-Vorgaben erfüllt. Verstösse gegen die GDPR-Richtlinien zählen heute noch zu der Tagesordnung, was höhere und strengere Strafen mit sich brachte. Experten bemängeln die Konsequenzen jedoch noch immer als zu gering. Mehrere zehntausend Benachrichtigungen über Datenschutzverletzungen erreichten seit Start der GDPR-Verordnung die Datenschutzbehörden in ganz Europa. Grund dafür mag mitunter die Unkenntnis bzw. die fehlende Fachkompetenz sein.
Eine Studie zeigt nun 15 Monate nach Inkrafttreten der Datenschutz-Grundverordnung auf, dass knapp 60.000 GDPR-Verstösse europaweit gemeldet wurden – gegen einige von ihnen wurden hohe Geldstrafen verhängt, die Tendenz ist steigend.
GDPR in der Schweiz
Da die Schweiz kein EU oder Mitgliedsstaat des Europäischen Wirtschaftsraumes ist, ist die Datenschutzgrundverordnung nur semi-relevant – doch Vorsicht: Schweizer Unternehmen, die Geschäftstätigkeiten in der EU ausüben und somit personenbezogene Daten aus der EU sammeln, müssen den GDPR-Richtlinien Folge leisten. Um in Bezug auf das GDPR-Datenschutzniveau nicht zu sehr in den Rückstand zu geraten, sieht sich die Schweiz gezwungen, das Datenschutzgesetz ebenfalls anzupassen. Dieses soll laut Datenschutzrecht für Schweizer Unternehmen (Benjamin Domenig, Christian Mitscherlich, Stämpfli Verlag) frühestens Mitte 2020 in Kraft treten. Bislang hat der Gesetzgeber einen Vorentwurf des Schweizerischen Datenschutzgesetzes vorliegen, der jedoch in der kommenden Zeit noch Anpassungen erfahren wird. Fakt ist, dass sich der Vorentwurf stark an den GDPR-Richtlinien der EU orientiert. Schweizer Unternehmen wird daher schon jetzt empfohlen, die Vorschriften der Datenschutz-Grundverordnung einzuhalten.
Und dennoch: Die Gefahr für Schweizer Unternehmen besteht darin, dass die Schweiz mit strengeren Regeln als nötig konfrontiert wird. Sowohl die Schweizerische Bankiervereinigung (SBVg) als auch economiesuisse setzen sich dagegen ein, um einen sogenannten „Swiss Finish“ zu vermeiden. Ob sie mit ihrem Vorgehen Erfolg haben werden, bleibt offen. Die Revision des Datenschutzgesetztes wird jedenfalls in zwei Schritten erfolgen: dem „Schengen-Teil“ und dem „DSGVO-Teil“.
Was wir noch sagen wollten…
Noch immer ist die Verunsicherung in Unternehmen gross und der Kenntnisstand bei einigen gering. Unser Tipp: Lassen Sie sich beraten und prüfen Sie vor allen anderen Anstrengungen, ob Ihr Unternehmen überhaupt von GDPR betroffen ist. Ist dies der Fall, lokalisieren Sie die personenbezogenen Daten und prüfen, wie diese verwertet werden. Um die sensiblen Daten zu schützen, müssen Sicherheitslücken geschlossen werden, damit Datenschutzverstösse verhindert werden können. Dinotronic unterstützt Sie gerne bei diesem Prozess. Von einer Standortbestimmung bis hin zu einem organisatorischen sowie technischen Massnahmenplan zur Erfüllung der GDPR-Richtlinien stehen wir Ihnen zur Seite. Vereinbaren Sie Ihren persönlichen Beratungstermin bei Dinotronic.