Datenschutz: Ein wachsendes Bedürfnis
News und Insights

Datenschutz: Ein wachsendes Bedürfnis

Am 25. Mai 2018 trat in der Europäischen Union (EU) eine Reihe neuer Regelungen, die Datenschutz-Grundverordnung oder DSGVO, in Kraft.

Unserer Ansicht nach handelt es sich bei dem Nachfolger der 1995 erlassenen Datenschutzrichtlinie 95/46/EG um eine der wichtigsten Änderungen der EU-Datenschutzbestimmungen der letzten 20 Jahre. Die DSGVO hat weitreichende Auswirkungen sowohl für multinationale Unternehmen, die lediglich in der EU Geschäfte tätigen, als auch für diejenigen, die ihren Sitz in der EU haben.

Das Ziel der DSGVO ist die Stärkung und Vereinheitlichung der Regeln zum Schutz von Personendaten innerhalb der EU sowie beim Export von personenbezogenen Daten aus der EU. Das vorrangige Ziel ist es, natürlichen Personen wieder die Kontrolle über ihre persönlichen Daten zu geben und das regulatorische Umfeld für Unternehmen zu vereinfachen. Infolgedessen erhalten EU Einwohner mehr Kontrolle darüber, wie ihre digitalen Daten verwendet werden. Dies beinhaltet das sogenannte «Recht auf Vergessenwerden», das den betroffenen Personen das Recht gibt, ihre Daten von Firmenservern zu löschen bzw. diese zu aktualisieren und zu ändern, sowie das Recht, Auskunft über die eigenen Daten zu erhalten und diese anderen Unternehmen zu übertragen (das sog. «Recht auf Datenübertragbarkeit»). Unternehmen müssen zudem ausdrückliche Personeneinwilligung einholen, bevor sie diese zu Werbezwecken verwenden dürfen.1

Dieses neue regulatorische Rahmenwerk stellt multinationale Institute vor zahlreiche Herausforderungen wie zum Beispiel: «Welche personenbezogenen Daten sind in unserem Unternehmen gespeichert und wo befinden sich diese, sowohl computersystembezogen wie auch geographisch? Welchen Rechtsgrundlagen unterliegt ihre Speicherung und sollte man diese Taten aufbewahren, wenn sie nicht mehr nützlich sind?» Ausserdem stellt sich aufgrund des Umstands, dass viele Unternehmen zahlreiche verschiedene interne Systeme haben, die Frage, wer Zugriff auf diese Daten hat. Dies betrifft nicht nur interne Mitarbeiter, sondern auch externe Drittparteien wie Cloud-Speicheranbieter, Werbe- und Marketing-Agenturen, IT-Subunternehmen oder Outsourcing-Unternehmen für Geschäftsprozesse. Die DSGVO gilt nicht nur für digitale Daten, sondern auch für physische, wie papierbasierte Verträge, Briefe, Testamente, Mietverträge, Kundenbeschwerden.

In digital era, privacy must be a priority.

Al Gore, ehemaliger US-Vizepräsident

Übersicht über die DSGVO

Das Ziel der DSGVO ist der Schutz aller EU-Bürger vor Datenschutzverletzungen und Datenmissbrauch in einer zunehmend datenorientierten Welt, die stark von den Rahmenbedingungen im Jahr 1995 abweicht, als die Datenschutzrichtlinie erlassen wurde. Sie soll die veralteten Richtlinien modernisieren und wird für alle Unternehmen gelten, die Geschäfte in der EU tätigen (und somit im Besitz von Daten sind, die aus der EU stammen). Die wichtigsten Änderungen im Überblick:2

  • Standardisierung der Gesetze in den Mitgliedstaaten: Die DSGVO soll die Gesetze in den Mitgliedstaaten vereinheitlichen und bietet den Aufsichtsbehörden umfassende Untersuchungs- und Abhilfebefugnisse. Strafen werden proportional zu der Schwere des Verstosses verhängt, mit maximalen Geldbussen von 4 % des globalen Umsatzes oder EUR 20 Mio., je nachdem, welcher Wert höher ist.
  • Erweiterung des territorialen Geltungsbereichs: Unternehmen, die persönliche Daten von Personen in der EU verarbeiten, müssen die DSGVO einhalten, unabhängig vom Sitz des Unternehmens oder des Ortes, an dem die Daten verarbeitet werden. In diesem Zusammenhang ist der Begriff «Verarbeitung» sehr breit gefasst und beinhaltet Folgendes: das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (von Daten).
  • Klärung der Definition von personenbezogenen Daten: Die neue Verordnung definiert personenbezogene Daten generell als alle Daten, die eine Person identifizieren, einschliesslich persönlicher Indikatoren wie E-Mail-Adressen oder Telefonnummern. Dazu können auch digitale Online-Identifikationen wie IP-Adressen, Geräte-Kennungen und Cookies zählen.
  • Datenhoheit: Die DSGVO untersagt die Speicherung von Daten in Ländern oder die Übermittlung von Daten in Länder ausserhalb des Europäischen Wirtschaftsraums, die nicht über gleichwertig strenge Datenschutzstandards verfügen.3
  • Meldung von Datenschutzverletzungen: Die DSGVO schreibt vor, dass Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden den betroffenen Personen und einer Aufsichtsbehörde melden müssen. Zur Folgenbeurteilung und der Sicherstellung der zukünftigen Richtlinieneinhaltung ist die Art der Datenschutzverletzung zu bewerten, um präventive Sicherheitsmassnahmen zu definieren.
  • «Recht auf Vergessenwerden»: Auch als «Löschung» bezeichnet. Das Recht, vergessen zu werden, gibt der betroffenen Person das Recht, dass ihre personenbezogenen Daten gelöscht werden, die weitere Verbreitung dieser Daten eingestellt wird und dass potenziell Dritte die Verarbeitung ihrer Daten unterlassen müssen.
  • Auskunftsrecht der betroffenen Person: Damit haben Bürger das Recht, ihre personenbezogenen Daten einzusehen sowie Informationen darüber zu erhalten, wie, von wem und zu welchem Zweck ihre personenbezogenen Daten verwendet und verarbeitet werden.
  • Datenübertragbarkeit: Hiermit haben Personen das Recht, ihre personenbezogenen Daten von einem elektronischen Datenverarbeitungssystem zu einem anderen zu übertragen.

Zusammenfassend lässt sich sagen, dass die DSGVO ein einfaches Ziel hat: EU-Bürgern und -Einwohnern grössere Kontrolle über ihre persönlichen Daten zu geben. Der Standort oder Sitz des Unternehmens, das über die Daten verfügt, befreit nicht von der Pflicht, die DSGVO einzuhalten. Ebenso stellt auch die Grösse keinen Befreiungsgrund dar. Die DSGVO gilt gleichermassen für grosse multinationale Konzerne und Kleinunternehmen. Es gibt keine Ausnahme für Unternehmen, die nur wenige Mitarbeitende haben.

Folgen für Unternehmen

Die Einhaltung der DSGVO verursacht Kosten, unter anderem für Daten-Audits, IT-Upgrades und interne Fachberater zur Gewährleistung der fortlaufenden Einhaltung. Organisationen nehmen oft eine abwartende Haltung ein, um zu sehen, wie Regeln durchgesetzt werden und wie vergleichbare Unternehmen darauf reagieren, bevor sie kritische Entscheidungen treffen oder Anpassungen vornehmen. Im Falle der DSGVO gehen wir jedoch aufgrund untenstehender Gründe davon aus, dass eine passive, abwartende Haltung keine gute Idee ist:

  • Datenschutz wird nachweislich für Verbraucher ein immer sensibleres Thema und hat eine hohe Priorität: In den letzten Jahren hat die Nutzung von Werbeblockern stark zugenommen.4 Ein kürzlich veröffentlichter Bericht des Datenanalyse-Unternehmens PageFair zeigt, dass die Nutzung von Werbeblockern um 30 % gestiegen ist und Ende 2016 weltweit 615 Millionen Geräte mit Werbeblockern ausgestattet waren.5 Es scheint, als ob zunehmendes Bewusstsein für den potenziellen Missbrauch von persönlichen Informationen herrscht.
  • Die DSGVO ist die grösste Umwälzung im Bereich des Datenschutzes seit einer Generation; Organisationen dürfen jedoch nicht das übergeordnete Prinzip dieser neuen Verordnung vergessen: Die Vereinheitlichung der Datenschutzgesetze auf dem europäischen Kontinent, um die Beweislast von Privatpersonen auf Organisationen zu verlagern. Eine abwartende Haltung macht nur Sinn, wenn die potenziellen Risiken geringer sind als die erforderlichen Bemühungen zu ihrer Verhinderung. Die Einhaltung der DSGVO kann zu Beginn ein Umdenken bei Prozessen und Abläufen erfordern. In den meisten Fällen geht es aber um die Einführung von bewährten Verfahren für den Umgang mit und die Verwaltung von Daten, was für Unternehmen eine Selbstverständlichkeit sein sollte.
  • Bisher mussten Bürger nachweisen, dass sie die Opfer von Datenmissbrauch oder Datenschutzverletzungen waren. Zukünftig müssen Organisationen zeigen, dass sie geeignete Massnahmen zum angemessenen Schutz der persönlichen Daten getroffen haben. Im Vergleich mit der unmittelbaren Kostenbelastung, die die Einhaltung der DSGVO mit sich bringt, können die Auswirkungen auf die Reputation und die Marke durch einen Verstoss wesentlich grösser sein, wie der kürzliche Vorfall mit Facebook gezeigt hat.

Wir sind der Auffassung, dass die DSGVO Unternehmen dazu zwingen wird, die verschiedenen Speicherorte von gesammelten personenbezogenen Daten ausfindig zu machen und zu überwachen, um die neuen Vorschriften (unter anderem zu den Themen Datenauskunft, Recht auf Vergessenwerden und Datenübertragbarkeit) einzuhalten. Die Vervielfältigung und Verbreitung von Daten sowie die Notwendigkeit der Nachverfolgung, wohin Daten kopiert worden sind, machen robuste und konsolidierte Datenmanagementplattformen notwendig.

Fazit

Die neuen EU-Datenschutzvorschriften werden für viele multinationale Unternehmen, die Geschäfte in der EU tätigen und Zugriff auf personenbezogene Daten von EU-Kunden oder -Lieferanten oder in der EU beschäftigten Mitarbeitern haben, relevant sein. Die DSGVO ist eine komplexe, mehrteilige Verordnung und ihre Einhaltung verlangt die Umsetzung einer Reihe von konsolidierten Lösungen zur Sicherstellung der geltenden Anforderungen. Unabhängig davon, ob die Organisation als Verantwortlicher (die Daten erhebende Einheit) oder als Auftragsverarbeiter (z. B. ein Anbieter von Cloud-Services, der im Namen des Verantwortlichen nur Daten verarbeitet) gilt, können Verstösse gegen die entsprechenden Bestimmungen der DSGVO erhebliche Konsequenzen nach sich ziehen.

Unserer Meinung nach ist die Einführung der Meldepflicht bei Datenschutzverletzungen ein gutes Zeichen für die IT-Sicherheitsbranche. CIOs und Verwaltungsräte müssen ihre gesamte IT-Sicherheitsumgebung kritisch betrachten und wahrscheinlich mehr in Kapazitäten im Bereich Prävention investieren. Wir glauben, dass bereits die allgemeine Bedrohungslage zu erhöhten Ausgaben geführt hat. Die Offenlegung von Verstößen kann darüber hinaus Mehrinvestitionen generieren.

Wie die DSGVO zeigt, wird das Thema Schutz und Sicherheit in unserem Alltag immer allgegenwärtiger und die Implikationen auf die Automatisierung von Datenmanagement ebenfalls immer kritischer. Daraus ergibt sich eine symbiotische Beziehung zwischen Sicherheit und Automatisierung, oder Robotik, wobei mehr Vorschriften mehr Sicherheitsmassnahmen und Kontrollen erfordern und im Gegenzug dadurch mehr automatisierte Systeme und Tools erforderlich sind, um diese Prüfungen und Kontrollen effizient zu steuern und zu pflegen.

Aus unserer Sicht als langfristig orientierte Anleger sind sowohl IT-Sicherheit als auch im weiteren Sinne Schutz und Sicherheit allgemein interessante langfristige Wachstumsthemen für geduldige Anleger. Zudem glauben wir, dass diese strukturellen Wachstumstrends erst in der Anfangsphase sind. Auf Grundlage dieser Überzeugung halten wir Anteile einer Reihe von Unternehmen, die innovative Lösungen und Technologien in den Bereichen Prävention von Datenverlust, E-Mail- und Datenarchivierung sowie Identitäts- und Zugangsmanagement anbieten.