Das neue Datenschutzgesetz der Europäischen Union (EU) ist ein Friendly Fire: Es nimmt die grossen Datenkraken ins Visier, trifft aber primär kleine und mittlere Unternehmen. In einem Monat wird die Datenschutz-Grundverordnung (DSGVO) scharfgestellt. Dann herrscht Nulltoleranz in Sachen Datenschutz. Wer dagegen verstösst, dem drohen Bussen von bis zu 4 Prozent des Jahresumsatzes. Selbst Schweizer Firmen sind davor nicht gefeit.
Eigentlich sollten damit Uber, Facebook, Google, Amazon und Co. enger an die Zügel genommen und die Rechte der Nutzer gestärkt werden. Nur: «Den grossen Konzernen bereitet die Verordnung weniger Kopfzerbrechen als einem KMU», sagt IT-Experte Patrick Püntener. «Die Techriesen können jede beliebige Summe aufwenden, um sich der Verordnung anzupassen.» Sollten sie das Gesetz nicht strikt einhalten, könnten sie dank ihrer finanziellen Stärke eine Busse eher verkraften.
Eine Geldvernichtungsmaschine
Ein KMU kann sich das nicht leisten. Ohnehin gilt: Je kleiner das Unternehmen, desto grösser ist im Verhältnis der Aufwand, um die IT der DSGVO anzupassen. «Die gesamte Industrie muss nun viel Geld in die Hand nehmen, um ein Gesetz zu erfüllen, das für sie nicht in dieser Ausprägung nötig gewesen wäre», sagt Püntener. Für die Unternehmen sei das eine grosse Geldvernichtungsmaschine.
Und das sagt einer, der davon profitiert. Püntener ist Mitgründer und CEO des IT-Unternehmens Cycl. Der Hauptsitz der 1999 gegründeten Firma liegt in Basel, im Innenhof einer ehemaligen Schreinerei. Wo einst Möbel gebaut wurden, zimmert Cycl nun Software für Unternehmen. So reduzierte Cycl etwa für den Pharmamulti Roche die weltweit 600 verschiedenen Intranetze auf eines. Oder baute das Intranet und weitere IT-Lösungen für SRG, Rega, Suva, verschiedene Kantonalbanken und mehrere Migros-Genossenschaften. Umsatz oder Gewinn gibt Püntener nicht preis. Doch die von Cycl entwickelte Intranet-Software Matchpoint hat bereits 750'000 aktive Nutzer.
IT-Unternehmen profitieren
Dank der DSGVO eröffnet sich nun für Püntener ein weiteres Geschäftsfeld. Ein potenziell riesiges. Spätestens wenn die Schweiz mit einem neuen Datenschutzgesetz nachzieht, müssen alle Unternehmen ihren Umgang mit Daten anpassen – und somit ihre IT. Das Schweizer Pendant könnte zum Teil sogar schärfer ausfallen. So drohen laut Gesetzesentwurf vom vergangenen September gar Freiheitsstrafen für den Missbrauch von Identitätsdaten.
Patrick Püntener: Der CEO des IT-Unternehmens Cycl sieht die neue Datenschutzverordnung kritisch, obwohl sich damit für ihn ein weiteres Geschäftsfeld auftut.
Doch auch die ab dem 25. Mai geltende EU-Verordnung tangiert mehr Schweizer Betriebe als gemeinhin vermutet. Betroffen sind einerseits Unternehmen, die von der Schweiz aus Angebote an EU-Bürger richten. Firmen, die auf der Website Preise in Euro publizieren, eine Domain aus einem EU-Land haben oder deren Website das Verhalten von EU-Bürgern trackt. Anderseits: Die Verordnung trifft auch sämtliche Zulieferer – selbst wenn sie keinen Kontakt zu Kundschaft aus der EU pflegen.
Busse ist nicht grösste Gefahr
So sieht Püntener nicht die Busse als grösste Gefahr: «Firmen könnten die Geschäftspartner aus der EU verlieren, wenn sie die Verordnung nicht einhalten.» Diese verlangt nämlich, dass die gesamte Lieferkette gesetzeskonform ist. Unternehmen aus der EU müssen belegen, dass sämtliche Zulieferer das Gesetz erfüllen.
So sorgt die DSGVO weltweit für Aufregung. Etwa in Madagaskar: «Ich weiss von einer Schweizer Firma, die in Madagaskar Rohstoffe bezieht. Der dortige Hersteller habe jedoch riesige Probleme, überhaupt eine Infrastruktur für den Datenschutz hochzuziehen», so Püntener.
Solche Probleme gibt es hierzulande nicht. Doch gerade kleinere Betriebe scheren sich kaum um die Verordnung. Im Februar startete Cycl eine Kampagne für ihr Assessment zur DSGVO. Es soll den Firmen helfen, sich dem Gesetz anzupassen. Angemeldet haben sich bisher zwanzig Unternehmen. Es sind grössere und bekannte Namen. «Dabei müsste es von den 100'000 KMU ja eigentlich eine Schwemme von Anfragen geben», sagt Püntener.
Zu kompliziert für KMU
Laut einer im Februar publizierten Studie des Beratungsunternehmens EY haben sich nur 40 Prozent der befragten Schweizer Firmen auf die DSGVO vorbereitet. Und laut einer Studie des weltweiten Netzwerks vom Wirtschaftsprüfungsunternehmen RSM glauben 51 Prozent der Befragten, die Verordnung sei für KMU und mittelständische Betriebe zu kompliziert.
Verständlich. Sie stellt den bisherigen Datenschutz auf den Kopf: Neu ist es verboten, Nutzerdaten überhaupt zu verwenden – ausser der Kunde gibt seine Erlaubnis. Das Unternehmen darf die Daten nur für diesen Zweck nutzen und muss sicherstellen, dass es sie nicht anderweitig einsetzt. «Das kann technisch sehr aufwendig sein», sagt Püntener. Zudem müssen heikle Nutzerdaten besonders geschützt werden; etwa durch Verschlüsselung.
Nützt es dem Konsumenten
Doch Schützen ist nicht die einzige Aufgabe. Firmen sind neu dazu verpflichtet, zu protokollieren, was mit den Daten geschieht. Und sie müssen auf Wunsch Daten herausgeben und löschen. Um das zu ermöglichen, müsse zum Teil die Software neu geschrieben werden. Püntener geht davon aus, dass es künftig beim Aufbau einer neuen IT-Applikation eine Phase für Security und Compliance brauche: Das generiere rund 10 Prozent mehr Aufwand. Die Verordnung kommt somit Unternehmen teuer zu stehen.
Profitieren zumindest Konsumenten? «Ich hoffe, dass man dank dem Gesetz die Datenkraken besser in den Griff bekommt», sagt Püntener. Allerdings brauche es dafür wohl zusätzliche Gesetze. Solche, die noch schärfer sind.