Der Datenschutz prägt Unternehmen und Industrien in der ganzen Welt
Die Europäische Union (EU) setzt mit ihrer Datenschutzgrundverordnung (DSGVO) eine hohe Messlatte für den Standard von Datenschutzgesetzen weltweit. Länderspezifische Abweichungen sind möglich, aber Unternehmen sollten sich darauf vorbereiten, immer strengere Anforderungen erfüllen zu müssen.
Datenschutz hat höchste Priorität
Wir befinden uns inmitten der vierten industriellen Revolution, die von einer extremen sozialen und wirtschaftlichen Vernetzung getrieben wird. Schlüsselfaktoren dieser rasanten Veränderungen sind die Digitalisierung und die Verfügbarkeit von Daten; die Menge der verarbeiteten Informationen wächst von Tag zu Tag – und zwar exponentiell. Fast jede Tätigkeit produziert heute Daten in irgendeiner Form, sei es ein einfaches Telefongespräch oder der Einkauf mit der Kreditkarte. Diese Datenmasse muss von Organisationen und Unternehmen gespeichert und aktiv bewirtschaftet werden, damit sie in der modernen, digitalisierten Welt überleben können.
Der Schutz persönlicher Daten ist so eminent wichtig, dass er weltweit fast überall ganz oben auf der Prioritätenliste der Regierungen steht. Die EU hat mit der Datenschutzgrundverordnung (DSGVO) einen Regulierungsstandard eingeführt, der die Messlatte sehr hoch legt. Als Folge der DSGVO ist eine Welle neuer Vorschriften in anderen Ländern zu erwarten, und Unternehmen auf der ganzen Welt sollten sich darauf einstellen, immer strengeren Datenschutzanforderungen gerecht zu werden.
Jedes Unternehmen, das personenbezogene Daten von EU-Bürgern sammelt oder bewirtschaftet, muss die DSGVO einhalten. Das gilt auch für Unternehmen, die keine Niederlassung in der EU haben, aber EU-Bürgern Waren und Dienstleistungen anbieten oder ihre Daten verarbeiten. Werden die Datenschutzbestimmungen nicht eingehalten, kann das schwerwiegende finanzielle Folgen haben, mit drastischen Geldbussen in der Höhe von bis zu 4 Prozent des globalen Konzernumsatzes oder 20 Millionen Euro.
DSGVO – der neue Datenschutz
Die neue Datenschutzgrundverordnung der Europäischen Union (EU-DSGVO) wurde entwickelt und eingeführt, um personenbezogene Daten besser zu schützen. Dabei musste die DSGVO viel breitere Anforderungen abdecken als die Datenschutzrichtlinie von 1995. Die DSGVO wurde am 24. Mai 2016 veröffentlicht und trat nach einer Umsetzungsperiode von zwei Jahren im Mai 2018 in Kraft.
Die DSGVO umfasst acht Hauptthemen, die aus drei verschiedenen Gesichtspunkten behandelt werden müssen: Unternehmensperspektive (welche Daten werden verarbeitet), IT (wo werden die personenbezogenen Daten verarbeitet) und Drittparteien (an wen werden personenbezogene Daten übermittelt). Die acht Hauptthemen sind:
- Datenerfassung
- Prinzipien des Datenschutzes
- Normen/Standards
- Rechte der Betroffenen
- Verzeichnis der Datenverarbeitung
- Datenschutzverletzungen
- Ernennung Datenschutzbeauftragter
- Datenschutz-Folgenabschätzung
Viele Unternehmen, sowohl in der EU als auch in anderen Ländern wie zum Beispiel in der Schweiz, wählten einen risikobasierten Ansatz für die Umsetzung der DSGVO. Das führte zu einer wellenartigen Einführung, bei der jeweils bestimmte Massnahmen priorisiert wurden. Einige Unternehmen haben sämtliche Compliance-Massnahmen bereits bis im Mai 2018 implementieren können, aber die meisten Unternehmen arbeiten immer noch daran. Unter anderem müssen noch die Wirksamkeit der Massnahmen sichergestellt, die eingeführten Prozesse automatisiert und die Datenschutzmassnahmen aus strategischer Sicht überprüft werden.
Ob Sie in Europa, in den USA, oder in einer abgelegenen Region Chinas tätig sind – Sie müssen sich mit dem Thema Datenschutz befassen, und für Unternehmen mit einer weltweiten Präsenz kann es kompliziert werden. Unter Umständen ist es für ein in den USA ansässiges Unternehmen sinnvoll, die Anforderungen der DSGVO weltweit und in sämtlichen Ländern zu erfüllen, weil die meisten anderen Datenschutzgesetze gleichwertig oder weniger streng sind als die Richtlinien der EU.
Datenschutz rund um die Welt
Die DSGVO gilt automatisch in allen EU-Ländern, ohne dass sie in nationales Recht umgesetzt werden muss. Der Gesetzestext lässt in bestimmten Bereichen jedoch nationale Ausnahmeregelungen zu, zum Beispiel in Bezug auf die Verarbeitung und Übermittlung spezieller Datenkategorien.
In Deutschland stellt das neue Bundesdatenschutzgesetz (BDSG) zum Beispiel zusätzliche Anforderungen an die Verarbeitung personenbezogener Daten. Die österreichischen Vorschriften sind umfangmässig begrenzt, aber meist strenger als die entsprechenden Richtlinien der DSGVO. Wie in Deutschland, wird unter anderem die Verarbeitung von Videoaufnahmen strikter reguliert. Das französische Datenschutzgesetz enthält strengere Vorschriften zu biometrischen Daten am Arbeitsplatz, und in Italien sind die Strafen bei unrechtmässiger Verwendung personenbezogener Daten höher. Auch die britischen Ausnahmeregelungen sind für bestimmte Datenkategorien anspruchsvoller. Wegen dem anstehenden Brexit wird das britische Datenschutzrecht genau beobachtet: UK-spezifischer Datenschutz könnte dazu führen, dass die DSGVO in Grossbritannien nicht mehr direkt anwendbar ist.
Während die DSGVO in der EU bereits umgesetzt ist, sind andere Länder noch dabei, an ihren Datenschutzgesetzen zu arbeiten – und versuchen oft, sie an die DSGVO anzupassen. Auch die Schweiz stärkt den Datenschutz und das Bundesgesetz über den Datenschutz (DSG) ist eng an die europäischen Richtlinien angelehnt. Dies ist auch aus wirtschaftlicher Sicht unerlässlich, da der Datenaustausch mit Unternehmen und staatlichen Behörden aus Ländern, die keinen vergleichbaren Schutz personenbezogener Daten haben, nur unter erheblichen Schwierigkeiten möglich ist. Detaillierte Informationen zum DSG finden Sie in unserer Publikation «Was bringt die Revision des Schweizer Datenschutzgesetzes mit sich, und wie hängt dies mit der DSGVO und ePrivacy-Verordnung zusammen?»
In den USA haben die meisten Bundesstaaten bestimmte Richtlinien zum Umgang mit personenbezogenen Daten eingeführt, wobei Kalifornien in Sachen Datenschutz weit voraus ist. Landesweit wurde eine Reihe von Vorstössen eingereicht, die einen nationalen Datenschutzstandard festlegen würden, aber bisher wurde keiner durch den Kongress verabschiedet.
Unsere Studie «The global footprint of data protection regulations» gibt einen detaillierten Überblick über den Datenschutz in den wichtigsten Ländern der Welt.
Wie PwC Schweiz Ihrem Unternehmen helfen kann
Einige der wichtigsten Datenschutzanforderungen sind in der DSGVO festgelegt, aber es gibt weitere Bestimmungen, die Unternehmen in Europa und im Rest der Welt beachten müssen. Datenschutz ist ein komplexes Thema, vor allem wenn Ihr Unternehmen in mehreren Ländern präsent ist und somit unterschiedlichen Gesetzgebungen unterliegt. Welche Vorschriften gelten, wann muss gehandelt, und welche Prozesse müssen umgesetzt werden?
Unsere PwC-Experten helfen Ihnen, sämtliche Datenschutzbestimmungen einzuhalten:
- Assessment und Analyse des Handlungsbedarfs
- Erfassung der personenbezogenen Daten
- Entwicklung eines Aktionsplans
- Implementierung der Compliance-Massnahmen
Dank unseren multidisziplinären Teams ist PwC in der Lage, Sie Schritt um Schritt bei der Implementierung der notwendigen Massnahmen zu begleiten. Unser Datenschutzteam besteht aus Rechtsanwälten, Beratern, Cybersicherheitsspezialisten, Wirtschaftsprüfern, Risikospezialisten, Forensikern und Strategen – und wir sind in allen wichtigen EU-Ländern vor Ort für Sie da.