Die Europäische Datenschutz-Grundverordnung (DSGVO) regelt seit 2018 die Verarbeitung von personenbezogenen Daten in der EU. Ein Gerichtsurteil weitet den Geltungsbereich nun auch auf Personendaten von EU-Bürgern aus, die in Drittländer transferiert werden. Dies kann für Schweizer KMU bereits bei der Zahlungsabwicklung über internationale Dienstleister oder der Nutzung von Cloud-Services der Fall sein.
Anlass dieses Urteils war der Rechtsstreit von Maximilian Schrems, Jurastudent in Österreich, mit der irischen Aufsichtsbehörde aufgrund der Übermittlung von Personendaten durch Facebook ohne vorliegende Einwilligung der betroffenen irischen Bürger zum Mutterkonzern in die USA. Ein Aussetzen von Datentransfers durch Behörden ist durch das Urteil ab sofort möglich. Die Geldbusse für Facebook bleibt abzuwarten.
Die Kernaussage:
Zur internationalen Übermittlung von Personendaten zählen u.a. auch Kreditkartendaten, z.B. aus dem Onlineshop, insbesondere aber auch Daten in der Cloud, sofern der Anbieter in den USA oder in einem anderen Drittland ansässig ist.
Der EuGH entscheidet nicht für die Schweiz. Aber, für exportorientierte Unternehmen in der Schweiz bedeutet dies, wie bereits auch vor Safe Harbor, dass sie Exporte von Personendaten aus der Schweiz oder Europa identifizieren und dokumentieren müssen, die sie in Drittstaaten ohne Angemessenheitsbeschluss transferieren. Hinzu kommt die Prüfung aller Datentransfers auf ein der EU gleichwertiges Datensicherheitsniveau, aber auch, ob ein Datenzugriff auf Rechenzentren stattfinden kann und die Datentransfers innerhalb der gesamten Supply Chain.
Festzustellen ist, ob Datentransfers nur auf dem Privacy Shield oder den SSC basieren oder ob ein anderer Rechtsgrund zur Anwendung kommt. Das Risiko ist die Aussetzung des Datentransfers, aber auch eine Busse der Aufsichtsbehörde von max. 250‘000 CHF, die an den CEO adressiert wird und ein Strafregistereintrag, der 20 Jahre nicht löschbar ist.
Nach dem Austritt von Grossbritannien (UK) aus der EU endet die Übergangsphase am 31.12.2020. Was Sie in und vor allem nach der Übergangsphase beachten und wie Sie sich vorbereiten müssen, erfahren Sie in diesem Beitrag.
Wann ist der Brexit für ein Schweizer KMU relevant?
Betroffene Personengruppen:
Wenn die EU-Kommission UK zu einem datenschutzrechtlich sicheren Drittland wie bspw. die Schweiz erklärt, müsste der Angemessenheitsbeschluss im Rekordtempo erfolgen. Passiert das nicht, müssen Sie sich um das Datenschutzniveau selbst kümmern.
UK wird ohne Angemessenheitsbeschluss datenschutzrechtlich von der EU abgeschnitten und muss wie Russland, China… behandelt werden. Aber auch dann gibt es Möglichkeiten, Datentransfers und die Zusammenarbeit mit britischen Unternehmen datenschutzrechtlich sicher zu regeln, wie durch
Wir empfehlen, Datenverarbeitungsprozesse, Datenschutzerklärungen, Einwilligungen und Auskunftsverfahren bezüglich der Übermittlung von Personendaten zu überprüfen. Seien Sie vorbereitet, dass UK sein sicheres Datenschutzniveau verlieren kann.
Die DSGVO wird im schweizerischen DSG verankert. Am 24. September 2020 hat der Nationalrat auch den lange umstrittenen schärferen Profiling-Regeln (des SR) zugestimmt und damit einen Absturz der Vorlage verhindert. Der nun angenommene Kompromissvorschlag bei den Profiling-Regeln bedeutet, dass zwischen «normalem» Profiling und Profiling mit «hohem Risiko» unterschierden wird. Für Letzteres ist eine ausdrückliche Einwilligung der Betroffenen nötig.
Der vorliegende Gesetzesentwurf hat das Ziel, den Datenschutz zu stärken – wodurch?
Die EU-DSGVO liefert nicht nur den Anlass sondern auch die notwendige Unterstützung zur Reflexion über neue Grundsätze in puncto Datensicherheit, um das Business zukunftssicher aufzustellen in einer digitalisierten Welt. Die DSGVO ist bereits in vielen Unternehmen als “best practice” anerkannt und eine der wesentlichsten Voraussetzungen für das Vertrauen der Benutzer in das Internet – im Zusammenspiel mit der Einführung innovativer internetbasierter Dienste in einer globalen Wirtschaft wird somit das Wirtschaftswachstum unterstützt.
Implementieren Sie die DSGVO Compliance in Ihrem Unternehmen. Sie ist Ihr Wettbewerbsvorteil gegenüber Ihren Mitbewerbern.
Das Urteil des EuGH vom 1. Oktober 2019 in der Rechtssache C-673/17 (Planet49) besagt folgendes und bedeutet für Sie:
(Richtlinienkonforme Auslegung von § 15 Abs. 1 TMG und § 15 Abs. 3 TMG (BGH Urteil v. 16.05.2017, Az.: VI ZR 135/13 bzw. BGH Beschluss v. 05.10.2017 I ZR 7/16)
Stress am Arbeitsplatz durch zu geringe Ressourcen und Fahrlässikeiten sind der grösste Risikofaktor. «….88 % der Teilnehmenden erkennen, dass die Digitalisierung mit zusätzlichen Cyber-Risiken einhergeht, und dass neben den sichtbaren Chancen auch die unsichtbaren Gefahren wachsen. Laut bsi.bund.de erkennen nur 29 % der befragten Institutionen Cyber- Sicherheit und den Datenschutz als Wettbewerbsvorteil…»
Ein Beispiel: nachdem ein lokaler Kontrollraum des Unternehmens ausgefallen war, stand fest, dass die Rechner mit einer Ransomeware infiziert waren. Auslöser war die «smarte» Kaffeemaschine, mit dem Internet verbunden, die selbständig Nachbestellungen orderte. Die Kaffeemaschine war nicht nur mit einem isolierten Wi-Fi Netzwerk verbunden, sondern auch mit dem Netzwerk des lokalen Kontrollraums. Es fehlte die Endpoint Security, Netzwerksegmentierung und eine Application Network Communication Control.
“Best practice” zur systematischen Identifikation von Risiken ist die neutrale Risikoaufnahme, die Systematik und Objektivität sichert. Das Ergebnis ist eine Übersicht des Gefahrenpotentials und eine Risikobewertung für Präventionsmassnahmen:
Eine zukunftsorientierte Datenpolitik des Vertrauens für Fortschritt und Innovation ist ein Qualitätsmerkmal. Sie beeinflusst positiv den Erfolg des Unternehmens und führt zu höherer Mitarbeiterzufriedenheit.
Ihre Orientierungshilfe in der Umsetzung der DSGVO ist unser online Test.Vereinbaren Sie mit uns einen unverbindlichen Gesprächstermin.
CyberWehr RMS GmbH
Alte Landstrasse 109
8803 Rüschlikon (ZRH), Switzerland
2020 © All rights reserved by CyberWehr
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.