Im Fokus: Datenschutz

Warum sich Schweizer KMU jetzt mit dem Datenschutz befassen müssen


Während der stetig voranschreitende Digitalisierungsprozess jede Branche und jeden Sektor erfasst, explodiert das Volumen der schützenswerten Daten. Die Antwort der Regierungen darauf: neue Regeln. Die EU hat ihre neuen Datenschutzvorschriften äusserst restriktiv gestaltet, die Schweiz schlägt denselben Weg ein. Den meisten KMU in unserem Land ist jedoch nicht bewusst, dass sie von den neuen Regelungen direkt betroffen sind – und jetzt aktiv werden sollten. In diesem Artikel betrachten wir die Herausforderungen des Datenschutzes für kleinere Unternehmen. Wir zeigen auf, wie diese zu meistern sind. Das Fazit: Der Datenschutz gehört selbst für KMU auf die Agenda des Tagesgeschäfts und ist Grundlage jeder unternehmerischen Entscheidung. Die Datenschutzcompliance ist mit Kosten verbunden. Wer sie jedoch angemessen umsetzt, nutzt interessante Vorteile.

Yan Borboën

Yan Borboën

Partner, Leiter Cybersecurity Romandie

Die neue Datenschutzgrundverordnung der Europäischen Union (EU) sowie der aktuelle Gesetzesvorschlag der Schweizer Regierung gehören zu den wirkungsvollsten Datenschutzgesetzen der vergangenen 20 Jahre. Sie sind auch äusserst restriktiv – in einigen Bereichen sogar restriktiver als die FINMA-Vorschriften für Banken, die vorwiegend auf Finanz- und Kundendaten ausgerichtet sind. Die meisten kleinen und mittleren Unternehmen (KMU) in unserem Land sind sich dieser Vorschriften nicht bewusst. Oder sie wissen nicht, dass sie für jedes Unternehmen gleichermassen gelten: sowohl für grosse multinationale Lebensmittelkonzerne als auch für kleine lokale Baufirmen. Anders ausgedrückt: Die Mehrheit der Schweizer KMU – unserer Erfahrung nach zirka 90% – ist auf diese dringende Herausforderung völlig unvorbereitet.

Weshalb die neuen EU-Datenschutzvorschriften auch Schweizer KMU betreffen

Obwohl die neuen Vorschriften nur in der EU durchgesetzt werden können, betreffen sie jedes Schweizer Unternehmen, das EU-Kunden Waren oder Dienstleistungen anbietet oder EU-Kunden beaufsichtigt. Angesichts der komplexen Informationsflüsse rund um die digitale Welt bleibt der Schweizer Regierung nur eine Möglichkeit, um Probleme bei der Datenübertragung zwischen der EU und der Schweiz zu vermeiden: die Anwendung sehr ähnlicher Vorschriften. Und genau das tut sie auch. Um eine geschäftsschädigende Ungewissheit zu vermeiden, werden die neuen Datenschutzvorschriften in der Schweiz eingeführt, voraussichtlich bis Anfang 2019.

Der grösste Unterschied besteht darin, dass die Schweizer Vorschriften weitaus mildere Geldstrafen für Verstösse vorsehen als die von der EU vorgeschlagene Obergrenze in der Höhe von EUR 20 Millionen (oder 4% des weltweiten Umsatzes). Dennoch ist die von der Schweizer Regierung vorgeschlagene Höchststrafe von CHF 500’000 hoch genug, um die meisten KMU in finanzielle Schwierigkeiten zu bringen. Nun kann die EU in der Schweiz bislang keine Geldstrafen auferlegen, sie verfügt jedoch über andere Durchsetzungsmethoden. Im schlimmsten Fall kann ein Schweizer KMU an der praktischen Abwicklung von Geschäften in der EU so lange gehindert werden, bis es sein Datenproblem gelöst hat.

Warum die neuen Anforderungen für grosse und kleine Unternehmen gleich sind, für KMU jedoch ganz andere Herausforderungen darstellen

Viele haben noch nicht erkannt, dass die neuen EU-Vorschriften für sämtliche Unternehmen in allen Branchen gelten und dieselben Höchststrafen vorsehen. Während Grossunternehmen in stark regulierten Sektoren wie Banken und Pharma gewohnheitsbedingt nach neuen Regelungen Ausschau halten und über die erforderliche Erfahrung und die notwendigen Ressourcen verfügen, um die dauernden Herausforderungen im Bereich Compliance zu handhaben, ist dies bei den meisten KMU nicht der Fall. Sie haben keine Routine bei der Überwachung der regulatorischen Landschaft, und sie verfügen über keine Ressourcen für den Umgang mit allfälligen Datenschutzproblemen. Angesichts der Dringlichkeit dieser neuen Vorschriften haben einige KMU bereits begonnen, sich um die Lücke in ihrer Compliance zu kümmern.

Welche Daten KMU schützen müssen

Die neuen Vorschriften gelten für zwei Hauptkategorien von Daten: personenbezogene Daten (Namen, Adressen usw., zum Beispiel von Kunden, Mitarbeitern und Geschäftspartnern) und sensible personenbezogene Daten (über Gesundheit, Religion usw.). Daten können in strukturierter Form in Datenbanken oder in nicht strukturierter Form in gemeinsamen Ordnern gespeichert werden. Um die Datenschutzproblematik in den Griff zu bekommen, müssen die KMU zunächst die vorliegenden Daten sowie deren Speicherort und Handhabung klassifizieren und verstehen. Als Nächstes müssen sie festlegen, wie sie diese Daten schützen und verhindern können, dass sie gestohlen, gesetzwidrig an andere Unternehmen verkauft oder für Zwecke verwendet werden, die von der betroffenen Person (d. h. dem Kunden, dem Geschäftspartner oder dem Mitarbeiter) nicht gestattet wurden.

Eine gründliche Durchsicht der Daten wird wahrscheinlich offenbaren, dass der Datenschutz für jeden einzelnen Geschäftsbereich relevant ist. Die neuen Vorschriften – insbesondere das Recht auf Vergessenwerden, die geforderte Reduzierung der gespeicherten Datenmengen und die Notwendigkeit einer Datenwirkungsanalyse – werden schliesslich jeden Prozess des Unternehmens betreffen.

Wenn Sie ein KMU leiten, betrifft diese Tatsache auch Sie. Vor dem Start einer Kundenkampagne etwa müssen Sie genau wissen, ob Sie die erfassten Daten für den einen Zweck (z.B. für den Versand eines Newsletters an den Kunden) oder für einen anderen (die Einladung des Kunden zu einer Golfveranstaltung) verwenden dürfen und ob Sie dafür die Zustimmung des Kunden benötigen. Und Sie sollten darauf achten, wie Sie die Angelegenheit und die Anforderung einer Einverständniserklärung präsentieren. Sie müssen etwa bei einem Newsletter auf den Wortlaut im Disclaimer achten und dafür sorgen, dass der Kunde genau erkennen kann, wofür er seine Zustimmung erteilt.

Kurz: Sie müssen die von Ihnen gespeicherten wertvollen Informationen, die einer sicheren Handhabung bedürfen, verstehen und klassifizieren. Nicht so die Daten, die nicht geschützt werden müssen. Sobald Sie einen Überblick über Ihre Daten haben, werden Sie wissen, welche Daten geschützt werden sollen und welche Massnahmen Sie dafür ergreifen müssen.

Wie KMU ihre Daten trotz begrenzter Ressourcen und Erfahrungen schützen können

Welche Massnahmen genau für den Schutz Ihrer Daten erforderlich sind, hängt von Ihrem Unternehmen, Ihrer Branche, Ihren Kunden und dem Sitz Ihrer Kunden ab – ebenso von der Art der Daten, die Ihr Unternehmen erfasst, und von deren Handhabung. Wie erwähnt erhalten Sie erst dann einen Überblick, wenn Sie Ihre Daten klassifizieren und verstehen – und anschliessend die Lücke zwischen der aktuellen Situation und den Anforderungen der neuen Vorschriften prüfen.

Beim Datenschutz geht es nie allein um die Technologie, sondern es kommt auch auf die Prozesse und die Menschen an. Um die Datenschutzaufgaben zu meistern, wird Ihr Unternehmen Expertise in allen Bereichen benötigen. Sie müssen Entscheidungen treffen, welche die Technologie betreffen (Verschlüsselung, Firewalls usw.). Im Weiteren müssen Sie ein Datenschutzrahmenwerk definieren. Darüber hinaus werden Sie jemanden für die Koordination der relevanten Rollen und Verantwortungsbereiche in Ihrer Organisation brauchen. All dies erfordert eine Kombination aus Rechts- und IT-Expertise.

Obwohl die neuen Schweizer Vorschriften das Konzept eines Datenschutzbeauftragten als solches nicht vorsehen, sollten Sie sich die folgenden Fragen stellen: a) Benötigt Ihre Organisation einen Datenschutzbeauftragten für bestimmte Regionen, in denen Sie Ihre Geschäftstätigkeit abwickeln? b) Erfordern die Grösse und die Komplexität Ihres Unternehmens den Einbezug eines spezialisierten Datenschutzbeauftragten? c) Wie können Sie von der in Ihrer Organisation vorhandenen Expertise profitieren, um diese Koordinationsfunktion zu erfüllen, wenn Sie keinen spezialisierten Datenschutzbeauftragten ernennen? d) Benötigen Sie externe Hilfe?

Ein weiterer Schlüsselfaktor ist die in der EU vorgegebene Handhabung von Verstössen: In einem solchen Fall muss das Unternehmen die Aufsichtsbehörde innerhalb von 72 Stunden informieren. Das bedeutet, dass die Zuständigen geschult und vorbereitet werden müssen, damit sie derartige Probleme schnell ausmachen und beheben können. Diese Vorschriften können Sie auch dann betreffen, wenn Sie nur einen einzigen Kunden in der EU haben.

Für welche Lösung auch immer sich Ihr Unternehmen entscheidet, eines ist sicher: Je mehr Ihr Unternehmen von Daten abhängig ist, desto grösser wird der Bedarf nach qualifizierten Datensicherheitsexperten.

Weshalb KMU ihre Compliancekosten als eine Investition in die Zukunft sehen sollten

Um die Gesamtheit dieser Anforderungen zu erfüllen, sind Geld, Zeit und Arbeit aufzuwenden. Allerdings bringt ein geregelter Datenschutz Ihrem Geschäft erhebliche Vorteile. Zunächst vermeiden Sie das Risiko einer enormen Geldstrafe, die für Ihr Unternehmen leicht gefährlich werden kann (bis zu CHF 500’000 in der Schweiz und bis zu EUR 20 Millionen oder 4% des weltweiten Umsatzes in der EU).

Ausserdem trägt die Datenschutzcompliance zum Aufbau des Kundenvertrauens bei. Wenn Sie einen neuen digitalen Kanal einrichten (z.B. einen Onlineshop), bei dem es zu einem ernsthaften Sicherheitsverstoss kommt, werden Ihre Kunden Ihre Dienstleistungen meiden. Somit würde dieser Sicherheitsverstoss zu einem teuren Versäumnis werden, das Ihrer Reputation schaden und das Vertrauen in Ihre digitalen Strukturen erschüttern könnte.

Eine kürzlich veröffentlichte Umfrage unter rund 25’000 Webbenutzern in 24 Ländern, die von Ipsos und vom Centre for International Governance Innovation (CIGI) in Zusammenarbeit mit der United Nations Conference on Trade and Development (UNCTAD) und der Internet Society durchgeführt wurde, zeigt auf, dass sich eine beträchtliche Anzahl Personen, die keine Onlinekäufe tätigen, aus Datenschutzgründen davor scheut. Ein guter Ruf in Sachen Datenschutz bedeutet für Sie daher die Möglichkeit, eine grosse Anzahl Kunden zu gewinnen.

Der dritte – und vermutlich wichtigste – Vorteil besteht darin, dass die Kenntnis und das Verständnis Ihrer Daten und deren Handhabung Ihnen einen tiefen Einblick in die Interaktion Ihres Geschäfts mit Ihren Kunden, Mitarbeitern und Lieferanten gewähren. So können Sie erkennen, welche Daten irrelevant sind und in welchem Bereich Sie nützliche Informationen benötigen. Dies wird Ihnen helfen, Ihre Prozesse schlanker und effizienter zu gestalten, sodass für Sie daraus ein echter Mehrwert entsteht. Ausserdem könnten Sie dadurch neue Interaktionswege erschliessen, die das Kundenerlebnis aufwerten und es dadurch für Sie als Unternehmen profitabler machen. In der digitalen Umgebung könnte dieses Vorgehen in Zukunft durchaus der Schlüssel zu Überleben und Erfolg sein.

Sind Sie bereit für die neuen Datenschutzvorschriften?

Wir sind für Sie da!

Yan Borboën

Yan Borboën

Partner, Leiter Cybersecurity Romandie

+41 58 792 84 59

Gerne möchten wir diese Lektüre noch gezielter auf Ihre Wünsche ausrichten. Darum bitten wir Sie um fünf Minuten Ihrer wertvollen Zeit für die Beantwortung von Fragen zum «Disclose».
Hier geht es zur Umfrage!