Datenschutz: Neue Gesetze und was nun?

Am 25. Mai 2018 bricht für den Datenschutz ein neues Zeitalter an. Die bisherigen nationalen Gesetzte in der EU, Deutschland, Österreich und auch in der Schweiz verlieren Ihre Gültigkeit und werden praktisch komplett ersetzt. Mit der Totalrevision der Gesetzgebung in der EU und auf nationaler Ebene muss der Datenschutz in Unternehmen grundlegend neu und anders angegangen werden. Begriffe, Standards und Methoden ändern sich. Für Unternehmen entstehen dadurch hohe Risiken. Gleichzeitig bietet sich aber auch die Chance, die Prozesse und die IT des Unternehmens neu auszurichten und zu entschlacken. Das Thema Datenschutz kann geschickt mit Vorgehensweisen aus dem Qualitätsmanagement (ISO 9001) und der Informationssicherheit (ISO 27001) kombiniert werden. So wird das Unternehmen zukunftsweisend aufgestellt und Aufwände werden reduziert. Eine Zertifizierung nach ISO 9001/27001 ist dabei nicht unbedingt nötig. Mit dem vorliegenden Newsletter geben wir Ihnen einen Überblick über die neusten Gesetzgebungen und Standards damit Sie Ihr Unternehmen auf die Zukunft einstellen können.

EU Datenschutzgrundverordnung EU-DSGVO

Die EU DS-GVO tritt am 25. Mai 2018 in Kraft, d.h. die Anforderungen müssen bis dahin umgesetzt sein, sonst drohen Unternehmen heftige Strafen. Im Gegensatz zu früher werden Verstösse nicht mehr als Kavaliersdelikt geahndet, sondern die Strafen müssen gemäss Art. 83 EU DSGVO „wirksam“ und „abschreckend“ sein. Konkret sind bis zu EUR 20.000.000,- oder 4% des weltweiten Umsatzes als Strafmass vorgegeben. Die EU DSGVO steht über der nationalen Gesetzgebung und bringt eine Vielzahl neuer Regelungen und Pflichten für Unternehmen mit sich. Neu ist auch, dass die Gesetze nach Art. 3 DSGVO extra-territorial gültig sind, d.h. konkret, dass die allermeisten Unternehmen in der Schweiz betroffen sind.

Deutschland: Datenschutz-Anpassungs-und-Umsetzungsgesetz DSAnpUG-EU

Hinter dem Kürzel DSAnpUG-EU (oder auch Bundesdatenschutzgesetz BDSG-neu) verbirgt sich eine Totalrevision der deutschen Gesetzgebung, die im Juni 2017 auf der letzten Sitzung des Bundestages vor der Sommerpause noch schnell durchgewunken wurde. Gutachter bescheinigen dem neuen Gesetz handwerkliche Fehler, Überfrachtung, Unstrukturiertheit und teilweise Rechts- bzw. Verfassungswidrigkeit. Dies bedeutet für die Industrie zusätzliche Unsicherheiten in der Interpretation und Umsetzung. Neu ist z.B. das Recht zur Verbandsklage gegenüber Unternehmen (§ 80), die Ausweitung der Haftung auf Nichtvermögensschäden (§ 83) und ein ausgedehnter Beschäftigtendatenschutz (§ 26). Auch das deutsche DSAnpUG-EU gilt nach § 1 (3) extra-territorial, d.h. schweizer Unternehmen sind meistens betroffen.

Österreich: Datenschutz-Anpassungsgesetz 2018

Im Juli 2017 hat auch Österreich mit dem Datenschutzgesetz 2018 die bestehenden Gesetze umfassend geändert. Nach wie vor wird der Datenschutz als Grundrecht auch auf juristische Personen ausgedehnt (DSG 2000 §1 im Verfassungsrang) und die Übermittlung personenbezogener Daten bedarf weiterhin der ausdrücklichen Anordnung des Arbeitgebers (§ 6). Ein Verbandsklagerecht besteht nicht, aber die Haftung wurde auf immaterielle Schäden ausgedehnt (§ 18).

Schweiz: Revision des Datenschutzgesetzes

In der Schweiz hat der Bundesrat die 2. Revision des Datenschutzgesetzes am 21.12.16 in die Vernehmlassung geschickt. In den Erläuterungen stellt der Bundesrat klar, dass die Annäherung an die EU DSGVO zentral ist, um weiterhin als sicherer Drittstaat mit angemessenem Datenschutzniveau von der EU anerkannt zu werden. Vor diesem Hintergrund ist es für die meisten schweizer Unternehmen unabdingbar, sich zügig auf die neue EU-Rechtslage einzustellen.

Qualitätmanagementsystem ISO 9001

Weltweit setzen mehr als 1.1 Mio Unternehmen auf das Qualitäts-management nach ISO 9001. In immer mehr Branchen ist eine Zertifizierung ein Muss, um überhaupt Produkte am Markt anbieten zu können. Als strategisches Führungs- und Steuerungssystem wurde es in den letzten 20 Jahren entbürokratisiert. In der neusten Ausgabe ISO 9001(2015) wird der Wert der Dokumentation nochmals reduziert und stattdessen mehr das Denken in Chancen und Risiken gefördert. Ausserdem wird die Anwendbarkeit für Dienstleitungen verbessert und grösseres Gewicht auf die Resultate der Arbeitsprozesse mit Blick auf den Kunden gelegt. Der Datenschutz lässt sich in diese Systematik sehr gut integrieren. Teure Doppelspurigkeiten können dadurch im Unternehmen verhindert werden und der Datenschutz kann effizient ausgerichtet werden.

Informationssicherheits-Managementsystem ISO 27001

Die Norm ISO 27001 zur Informationssicherheit hat sich in wenigen Jahren als Standard in Europa etabliert. Sie hat Vorläufer wie den deutschen BSI-Grundschutz sowie viele branchenspezifische Standards abgelöst. Im Gegensatz zum Datenschutz werden bei der ISO 27001 nicht nur personenbezogene Daten sondern vertrauliche Informationen im Unternehmen insgesamt geschützt. Die ISO 27001 schliesst damit den Datenschutz ein, bietet aber gleichzeitig eine aus Sicht der Unternehmen interessantere Systematik. Sie stellt den Schutz der Unternehmens-IT als Ganzes ins Zentrum und erlaubt dem Unternehmen zielgerichtet und kontrolliert gegen die wachsenden Bedrohungen durch Hacker, Industriespionage oder IT-Ausfälle als Ganzes vorzugehen. Die Zertifizierung zur ISO 27001 ist heute noch ein Wettbewerbsvorteil. Es ist allerdings davon auszugehen, dass sie innerhalb kurzer Zeit zum Muss insbesondere für IT-Firmen wird. Mit der ISO 27001 kann ein Unternehmen auch die Einhaltung des „Stands der Technik“ im Datenschutz nachweisen (siehe EU DSDVO Art. 25 (1) ) und sich so gegen Haftungsansprüche schützen.

Fazit

Schweizer Unternehmen sollten sich auf das Thema Datenschutz vorbereiten, weil sie direkt der EU-Gesetzgebung unterliegen, oder weil sich die nationale schweizer Gesetzgebung an die EU-Gesetzgebung anpassen wird. Es empfiehlt sich den Datenschutz mit international anerkannten Normen wie der ISO 9001 und/oder der ISO 27001 zu kombinieren, um so den in der Gesetzgebung verlangten "Stand der Technik" nachzuweisen. Ausserdem kann ein Unternehmen damit den Datenschutz effizienter und ganzheitlich umsetzen. Strebt man keine Zertifizierung an, so können die ISO-Normen als sichere, zukunftsorientierte Richtschnur für die Umsetzung dienen. Vermeiden Sie es viel Geld in nutzlose und ineffiziente Bürokratie zu investieren, nur um „compliant“ zu sein. Gestalten Sie Ihr Unternehmen aktiv und nutzen die Chancen aus den rechtlichen und technologischen Umbrüchen um Ihr Unternehmen intern und im Wettbewerb weiter nach vorne zu bringen. Gerne sind wir Ihnen dabei behilflich. Nehmen Sie Kontakt mit uns auf.