Kommentar von Gabriel Gabriel, Managing Director Brainloop Schweiz

Bei vielen Schweizer Unternehmen besteht Unsicherheit darüber, ob und wenn ja, inwiefern sie von der neuen Europäischen Datenschutzgrundverordnung (EU-DSGVO) betroffen sind. Insbesondere beschäftigt (wenn vorhanden) Datenschutzverantwortliche, aber auch IT-Leiter und die Geschäftsleitungen die Frage, welche Massnahmen sie zum Schutz der Personendaten und im Detail zur Erfüllung der entsprechenden Kriterien treffen müssen.

Es ist zwar in der näheren Vergangenheit bei zahlreichen Gelegenheiten und auf allen möglichen Plattformen mit Artikeln, Interviews und Stellungnahmen von Experten darauf hingewiesen worden, in welchen Fällen Schweizer Firmen von der neuen DSGVO betroffen sind. Massgebend sind Kriterien wie Niederlassungen in der EU, die EU als Zielmarkt oder die Beobachtung von Besucherverhalten aus der EU auf Schweizer Internetseiten. Von der EU-DSGVO sind aber auch viele andere Schweizer Unternehmen betroffen.

Alle Schweizer Unternehmen betroffen

Weil sich die neue Schweizer Datenschutzgesetzgebung dem Gesetz der EU über kurz oder lang angleicht, betrifft sie grundsätzlich alle Schweizer Unternehmen, die auf irgendeine Weise personenbezogene Daten erheben, be- oder verarbeiten oder speichern. Denn die Schweiz ist Mitglied des Europarates, auf dessen Konvention 108 die DSGVO beruht. Da die Schweiz diese Grundsätze in ihrer neuen Gesetzgebung spiegeln wird, kann man also getrost folgern, dass die DSGVO den allergrössten Teil der Schweizer Unternehmen betrifft. Immerhin ist die aktuelle Gesetzgebung mittlerweile über ein Vierteljahrhundert alt.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Adrian Lobsiger sagt dazu in einem Interview im Swiss IT Magazine, die Schweiz werde in ihrem neuen Datenschutzgesetz die nötigen Anpassungen vornehmen, unabhängig davon, ob sie von der EU oder dem Europarat kommen. “Wir sind unseren Usern schuldig, dass wir bald nicht mehr mit einem Erlass aus dem Jahre 1993 arbeiten.“ Weiter rät er, dass Firmen Risiken kennen und analysieren, Ordnung halten und wissen sollten, wo ihre Daten liegen. Lobsiger: «Intelligentes und dokumentiertes Arbeiten sind der Sinn der Verordnung.»

Datenschutz auslagern

Das bedeutet konkret, dass sich Unternehmen nicht nur darüber im Klaren sein müssen, was die Anforderungen an die neuen Gesetze sind, wo und in welchen Unternehmensbereichen sie Bedeutung haben. Sie sollten demzufolge auch entsprechende Massnahmenimplementierungen planen und vornehmen oder gar Folgeabklärungen mit verschiedenen Eskalationsstufen treffen, angefangen bei der Prüfung des Risikos für die Rechte und Freiheiten der Betroffenen bis hin zu Informationspflichten gegenüber Aufsichtsbehörden.

Es geht aber auch einfacher. Und zwar, indem man für den Transport und die Speicherung von Daten Dienstleistungen wie cloud-basierte Services Anspruch nimmt, die im Einklang mit der DSGVO und dem kommende Schweizer Datenschutzgesetz sind. Brainloop belegt mit diversen Zertifikaten wie der nach ISO 27001/27018, ISAE 3402 Typ II und seit Neuestem der TCDP-Zertifizierung, dass alle seine Online-Dienste hinsichtlich Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, Wiederherstellbarkeit, Überprüfung zur Sicherung der Verarbeitung, Löschung die Anforderungen an den Datenschutz erfüllen.

Datenschutz-Sorglospaket

Selbstverständlich gibt es ausser der compliant-gerechten Speicherung von Daten noch andere Berührungspunkte mit Datenschutzgesetzen, beispielsweise was die Informationspflicht von Webseitenbesuchern zur Verwendung von Cookies, Transparenz durch Anpassung der allgemeinen Geschäftsbedingungen, Datenschutzrichtlinien oder Service Level Agreements angeht. Unternehmen, die ihre Daten, egal ob personenbezogen schützenswert oder aus unternehmerischer Sicht vertraulich, mit Brainloops Diensten in den lokalen Schweizer Rechenzentren vorhalten, erhalten aber quasi ein «DSGVO-Sorglospaket» für den Umgang beim Austausch und der Lagerung von Informationen. Regelmässige lokale Audits zur Einhaltung der Richtlinien der Eidgenössischen Finanzmarktbehörde Finma bezeugen darüber hinaus, dass Schweizer Brainloop Kunden auch auf die Einhaltung des besonders streng regulierten Finanzmarktes zählen können.

