Seit 25. Mai 2018 ist in der EU die neue Datenschutz-Grundverordnung (DSGVO) bzw. General Data Protection Regulation (GDPR) in Kraft. Als IT Consultant bei SmartIT Services AG sowie im Security Unterricht an der IBAW.ch bin ich dadurch öfters mit Fragen bezüglich Umsetzung der neuen EU Richtlinien bei uns in der Schweiz konfrontiert.
Der vorliegende Blogbeitrag wird in mehreren Ausgaben meine aktuellen Erkenntnisse zusammenfassen, die ich während der Vorbereitung für den Unterricht sowie in konkreten IT Projekten zum Thema GDPR sammeln konnte. Die Inhalte sollen Hilfestellung für die IT Praxis sein und nicht als "juristisch wasserdichte Abhandlung" verstanden werden (ich bin nicht Jurist, sondern Techniker).
Ist GDPR auch für Schweizer Unternehmen relevant?
Ein Referent an der Microsoft Inspire Konferenz in den USA hat sich so geäussert: „Nur wer schon Europa denken kann, ist von GDPR betroffen“. Ganz so heftig ist es dann aber doch nicht. Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) stellt zur Beantwortung dieses Punktes die folgenden Fragen bereit:
Wenn eine der Fragen mit „Ja“ beantwortet werden muss, dann ist GDPR bereits jetzt zwingend für die entsprechende Anwendung gültig und umzusetzen, auch in der Schweiz.
Als Land mitten in Europa und Schengen Mitglied ist die Schweiz darauf angewiesen, dass die EU das schweizerische Datenschutzgesetz (DSG) als „gleichwertig“ anerkennt, andernfalls wird der Datenaustausch mit Unternehmen in der EU unangenehm erschwert. Liest man den Entwurf des neuen Schweizer DSG, so lässt sich auch als Techniker rasch erkennen, dass in den zukünftigen Schweizer DSG Artikeln das EU Recht in «helvetisierter Form» übernommen ist, um diese Gleichwertigkeit zu erreichen.
Fazit: Entweder bereits jetzt oder spätestens bei Einführung des neuen Schweizer Datenschutzgesetzes ist GDPR Konformität für alle Unternehmen erforderlich, welche Personendaten bearbeiten.
Pragmatisches Vorgehen bezüglich Datenschutz
Diesen Sommer an der Microsoft Inspire Konferenz in Las Vegas habe ich mit einem CEO eines Schweizer Datacenters über GDPR gesprochen. Er hat seine Meinung so zusammengefasst: „Bevor nicht detaillierte Gerichtsurteile vorliegen, lässt sich betreffend technischer GDPR Umsetzung wenig Konkretes aussagen“. Dieses Statement deckt sich auch mit einigen Publikationen zum Thema GDPR auf dem Internet oder in Zeitschriften. - Was also tun? Einfach abwarten?
Weil spätestens mit der Einführung des revidierten Schweizer Datenschutzgesetzes alle Schweizer Unternehmungen direkt oder indirekt von GDPR betroffen sind, ist Abwarten eine nicht taugliche Strategie!
Weil die technische Umsetzung wie erwähnt noch Unsicherheiten aufweist, ist aus meiner Sicht der folgende zweistufige Ansatz geeignet, um nicht einfach die Hände in den Schoss legen zu müssen und anschliessend dann in grossen Umsetzungsstress zu geraten:
1. Aktuelles Schweizer DSG genau beachten und umsetzen
- Das aktuelle Schweizer DSG weist einen hohen Standard auf, der in vielen Teilen die Anforderungen von GDPR bereits erfüllt. Wer sich also optimal auf GDPR vorbereiten will, tut gut daran, jetzt sein aktuelles IT Umfeld gemäss geltendem Schweizer DSG zu überprüfen und wo nötig nachzurüsten.
- Der EDÖB stellt dazu auf seinem Web Portal viele praktische Leitfäden bereit, wie in welchem Umfeld ein passender Datenschutz erreicht werden kann. Darin sind auch Anleitungen für Techniker enthalten, wie sich welche Massnahmen umsetzen lassen.
2. GDPR-Delta erkennen und Massnahmen vorbereiten bzw. umsetzen
- Parallel zur erwähnten Nachrüstung nach bestehendem Schweizer DSG sind die durch GDRP neu hinzukommenden Anforderungen zu erkennen. Das GDPR-Delta ist zu bestimmen.
- In Bereichen, in denen die Umsetzung von GDPR bereits jetzt keine grossen Unsicherheiten mehr aufweist, sind die entsprechenden Massnahmen auszuführen. In den verbleibenden Bereichen müssen die offenen und unsicheren Punkte zumindest „auf den RADAR“ des Datenschutzbeauftragten gesetzt werden.
- Das Staatssekretariat für Wirtschaft (SECO) hat auf seiner Webseite die für Schweizer Unternehmen wichtigen Informationen zu GDPR-Delta in sieben Punkten zusammengefasst. Damit stehen Anhaltspunkte bereit, was in näherer Zukunft bezüglich GDPR zu tun ist.
In meinem nächsten Blog-Beitrag werde ich diese Punkte auflisten und jeden davon mit eigenen Informationen und Erkenntnissen ergänzen.
Beispielsweise ist gefragt: Wer ist überhaupt betroffen? Welche technischen und organisatorischen Anpassungen sind nötig? Wo wird GDPR bereits passend umgesetzt?
Der vorliegende Blogbeitrag wird in mehreren Ausgaben meine aktuellen Erkenntnisse zusammenfassen, die ich während der Vorbereitung für den Unterricht sowie in konkreten IT Projekten zum Thema GDPR sammeln konnte. Die Inhalte sollen Hilfestellung für die IT Praxis sein und nicht als "juristisch wasserdichte Abhandlung" verstanden werden (ich bin nicht Jurist, sondern Techniker).
Ist GDPR auch für Schweizer Unternehmen relevant?
Ein Referent an der Microsoft Inspire Konferenz in den USA hat sich so geäussert: „Nur wer schon Europa denken kann, ist von GDPR betroffen“. Ganz so heftig ist es dann aber doch nicht. Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) stellt zur Beantwortung dieses Punktes die folgenden Fragen bereit:
- Bearbeitet ihr Unternehmen personenbezogene Daten von natürlichen Personen, die sich in der EU befinden?
- Steht die Verarbeitung personenbezogener Daten im Zusammenhang mit einem Angebot über Waren oder Dienstleistungen in die EU?
- Hat die Verarbeitung personenbezogener Daten zum Ziel, das Verhalten von natürlichen Personen aus dem EU-Raum zu verfolgen?
Wenn eine der Fragen mit „Ja“ beantwortet werden muss, dann ist GDPR bereits jetzt zwingend für die entsprechende Anwendung gültig und umzusetzen, auch in der Schweiz.
Als Land mitten in Europa und Schengen Mitglied ist die Schweiz darauf angewiesen, dass die EU das schweizerische Datenschutzgesetz (DSG) als „gleichwertig“ anerkennt, andernfalls wird der Datenaustausch mit Unternehmen in der EU unangenehm erschwert. Liest man den Entwurf des neuen Schweizer DSG, so lässt sich auch als Techniker rasch erkennen, dass in den zukünftigen Schweizer DSG Artikeln das EU Recht in «helvetisierter Form» übernommen ist, um diese Gleichwertigkeit zu erreichen.
Fazit: Entweder bereits jetzt oder spätestens bei Einführung des neuen Schweizer Datenschutzgesetzes ist GDPR Konformität für alle Unternehmen erforderlich, welche Personendaten bearbeiten.
Pragmatisches Vorgehen bezüglich Datenschutz
Diesen Sommer an der Microsoft Inspire Konferenz in Las Vegas habe ich mit einem CEO eines Schweizer Datacenters über GDPR gesprochen. Er hat seine Meinung so zusammengefasst: „Bevor nicht detaillierte Gerichtsurteile vorliegen, lässt sich betreffend technischer GDPR Umsetzung wenig Konkretes aussagen“. Dieses Statement deckt sich auch mit einigen Publikationen zum Thema GDPR auf dem Internet oder in Zeitschriften. - Was also tun? Einfach abwarten?
Weil spätestens mit der Einführung des revidierten Schweizer Datenschutzgesetzes alle Schweizer Unternehmungen direkt oder indirekt von GDPR betroffen sind, ist Abwarten eine nicht taugliche Strategie!
Weil die technische Umsetzung wie erwähnt noch Unsicherheiten aufweist, ist aus meiner Sicht der folgende zweistufige Ansatz geeignet, um nicht einfach die Hände in den Schoss legen zu müssen und anschliessend dann in grossen Umsetzungsstress zu geraten:
1. Aktuelles Schweizer DSG genau beachten und umsetzen
- Das aktuelle Schweizer DSG weist einen hohen Standard auf, der in vielen Teilen die Anforderungen von GDPR bereits erfüllt. Wer sich also optimal auf GDPR vorbereiten will, tut gut daran, jetzt sein aktuelles IT Umfeld gemäss geltendem Schweizer DSG zu überprüfen und wo nötig nachzurüsten.
- Der EDÖB stellt dazu auf seinem Web Portal viele praktische Leitfäden bereit, wie in welchem Umfeld ein passender Datenschutz erreicht werden kann. Darin sind auch Anleitungen für Techniker enthalten, wie sich welche Massnahmen umsetzen lassen.
2. GDPR-Delta erkennen und Massnahmen vorbereiten bzw. umsetzen
- Parallel zur erwähnten Nachrüstung nach bestehendem Schweizer DSG sind die durch GDRP neu hinzukommenden Anforderungen zu erkennen. Das GDPR-Delta ist zu bestimmen.
- In Bereichen, in denen die Umsetzung von GDPR bereits jetzt keine grossen Unsicherheiten mehr aufweist, sind die entsprechenden Massnahmen auszuführen. In den verbleibenden Bereichen müssen die offenen und unsicheren Punkte zumindest „auf den RADAR“ des Datenschutzbeauftragten gesetzt werden.
- Das Staatssekretariat für Wirtschaft (SECO) hat auf seiner Webseite die für Schweizer Unternehmen wichtigen Informationen zu GDPR-Delta in sieben Punkten zusammengefasst. Damit stehen Anhaltspunkte bereit, was in näherer Zukunft bezüglich GDPR zu tun ist.
In meinem nächsten Blog-Beitrag werde ich diese Punkte auflisten und jeden davon mit eigenen Informationen und Erkenntnissen ergänzen.
