VISCHER ist eine Schweizer Anwaltskanzlei, die sich der rechtlichen Lösung von Geschäfts-, Steuer- und Regulierungsfragen widmet.
SWISS LAW AND TAX
Dienstleistungen
Immaterialgüterrecht
Life Sciences, Pharma, Biotechnologie
Prozessführung und Schiedsgerichtsbarkeit
Lernen Sie unser Team kennen
Unser Know-how, unsere Expertise und unsere Publikationen
Alle anzeigen
Events
Blog
Karriere
8. Dezember 2016
Mit der Reihe "Digital Business Law Bites" geben wir einen kleinen Einblick in die Fülle unserer Erfahrungen und Klientenprojekte rund um digitale Geschäftsprozesse.
Steigende regulatorische Anforderungen an den Datenschutz und die Datensicherheit stellen Unternehmen vor Herausforderungen. Innovativen Anbietern eröffnen sich aber auch Chancen für die Differenzierung des eigenen Angebots und der entsprechenden Positionierung.
«I have read and agree to the Terms» trifft für Datenschutzerklärungen im Online-Geschäft selten zu. Der Nutzer liest Datenschutzerklärungen kaum und macht von Wahlmöglichkeiten wenig Gebrauch – sofern diese überhaupt bestehen. Gleichzeitig wünschen sich Nutzer mehr Kontrolle über ihre Daten. Dies scheitert oft an der mangelnden Benutzerfreundlichkeit, aber auch am fehlenden Wissen. Innovative Unternehmen können diese Bedürfnisse über die Unternehmenskommunikation bedienen und als Wettbewerbsvorteil nutzen.
Bei der Information der Nutzer über die Datenbeschaffung und -bearbeitung («notice») ist Transparenz entscheidend. Datenschutzerklärungen, die selbst die Expertin nach der Lektüre nicht versteht, sind ohne Mehrwert für die Kundin und die Reputation. Die EU verlangt eine leicht zugängliche und verständliche Erklärung in einer klaren und einfachen Sprache. Versprechen hat der Anbieter einzuhalten, z.B. dass Chat-Mitteilungen nach Ablauf einer gewissen Dauer tatsächlich verschwinden wie zugesichert und nicht im Log gespeichert und für Dritte zugänglich bleiben wie bei Snapchat. Das Einholen der Einwilligung («consent») nach erfolgter Information ist ein Muss für die Beschaffung und Bearbeitung von Nutzerdaten. Ein ideales Produktedesign erlaubt es den Nutzern einfach und unkompliziert, Präferenzen zu definieren und Daten zu löschen. Dies erhöht die Rechtssicherheit für den Anbieter und die Qualität der Datenanalyse, z.B. wenn Nutzer die nicht mehr relevanten Daten entfernen. Der Verzicht auf die Datennutzung («opt-out») eines Nutzers ist schon aus Reputationsgründen zu befolgen. Regulatorische Anforderungen an die Sicherheit der Daten durch organisatorische und technische Massnahmen nehmen zu. Zugesicherte Sicherheitsniveaus sind einzuhalten.
Datenschutzerklärungen sind selten ähnlich attraktiv gestaltet wie Werbung. Es gibt jedoch Design-Alternativen zu seitenlangen Fliesstexten in Juristensprache. Bereits kleine Änderungen erhöhen die Leserfreundlichkeit; so z.B. die Verwendung von «layered notices», bei der eine kurz gehaltene Übersichtsseite mit aussagekräftigen Überschriften und Erklärungen in Alltagssprache der Leserin einen ersten Eindruck vermittelt (z.B. IBM und Microsoft). Dem Interessierten stehen verlinkte rechtliche Erläuterungen zur Vertiefung zur Verfügung. Zusammenfassende Überschriften oder Tabellen verbessern die Lesbarkeit. Symbole oder «Icons» schaffen auch in textbasierten Erklärungen Übersicht. Grafiken dienen als Zusammenfassung für die Leserin, unabhängig vom Sprachniveau der Adressatin (z.?B. eBay International AG für www.ebay.ch). Die Möglichkeiten effektiver Datenschutzkommunikation als Mittel zur Abgrenzung von der Konkurrenz sind längst nicht ausgeschöpft.
Die bekannte Zahl der Konsumenten, die in der Schweiz von einem Datenmissbrauch («data breach») betroffen sind, ist relativ gering. Auch die Kosten für Unternehmen im Falle eines «data breachs» sind tief, gemessen am Aufwand für umfassende präventive Massnahmen. Reputationsschäden oder Auswirkungen auf den Unternehmenswert bleiben allerdings meist unberücksichtigt. Unternehmen schaffen zur Prävention teils finanzielle Anreize in Form von «bug bounties», damit Sicherheitslücken gemeldet und nicht ausgenutzt werden. Selbst mehrere hunderttausend US-Dollar reichten z.B. bei Apple aber nicht aus zur Meldung einer Sicherheitslücke in iOS anstelle der Nutzung für Schadsoftware («malware»). Mängel in der Datensicherheit können aber auch ohne «malware» direkt den Unternehmenswert negativ beeinflussen: Der Vorwurf angeblich festgestellter Sicherheitsmängel der Produkte, z.B. Herzschrittmacher der St. Jude Medical, belasten den Aktienwert. Für eine Zielgesellschaft in Übernahmeverhandlungen kann dieser Vorwurf den Verkaufspreis drücken oder den Verkauf verunmöglichen. Die (angebliche) Identifikation von Sicherheitsrisiken durch Dritte, z.B. Konkurrenten, hat bei technologieintensiven Branchen enormes Schädigungspotenzial.
Vor allem KMU können es sich selten leisten, im Bereich Datensicherheit intern die notwendige Fachkompetenz aufzubringen. Auch die öffentliche Verwaltung ist zudem immer öfter Ziel von Angriffen. Eine Zusammenführung von Wissen und Fähigkeiten in diesem Bereich bietet ein Betätigungsfeld für innovative private Anbieter, aber auch für «public private partnerships». Prävention vs. Cyberinsurance Geschäftsleitungen behandeln Datensicherheit oft als reines «compliance»-Thema. Die meiste Aktivität erfolgt nach Bekanntwerden eines «data breach». Die zunehmende Digitalisierung und Vernetzung, z.B. in Form des Internet of Things (IoT), multipliziert das Risiko für Unternehmen. Da Unsicherheit der grösste Feind der Unternehmensentwicklung ist, investieren Unternehmen mit der notwendigen Finanzkraft in Versicherungslösungen (sog. «cyberinsurances»), um die direkten finanziellen Risiken abzufedern. Abstufungen der Prämien je nach ergriffenen Massnahmen und Ratings zur Evaluation von Sicherheitslevels sollen notwendige Anreize zur Prävention schaffen. Anbieter von cybersecurity-Lösungen setzen Anreize zur Investition in die Prävention anstelle von rein nachgelagerten Versicherungslösungen, indem sie selbst Garantien für die Sicherheit ihrer Produkte abgeben. Ob Garantie oder Versicherung – Reputationsschäden lassen sich nur durch direkte Massnahmen zur Prävention im Unternehmen vermeiden.
Das Schweizer Datenschutzrecht erlaubt den Transfer von Personendaten ins Ausland. Sofern das Zielland gemäss Liste des Eidgenössischen Datenschutzbeauftragten (EDÖB) keinen adäquaten Datenschutz bietet, bedarf es für die Bekanntgabe der Daten eines anderen Rechtfertigungsgrundes. Vor allem sicherheitssensitive Branchen wie das Gesundheits-, Banken- oder Rechtswesen sind gehalten, Sicherheitsrisiken zu vermeiden. Mit steigenden Anforderungen in der Schweiz und in der EU sowie den Rechtsunsicherheiten im Verhältnis mit den USA bieten sich Chancen für Unternehmen mit Schweizer Cloud-Angeboten (z.B. Webhosting von Hostpoint AG oder Swisscom myCloud mit dem claim «Security in the heart of Switzerland»). Die Vermarktung muss auch einem Geschäftsführer, der möglicherweise über keine vertieften IT-Kenntnisse verfügt, die Vorzüge einer verlässlichen Schweizer Lösung aufzeigen.
Autorin: Delia Fehr-Bosshard
Kategorien: Digital Business Law Bites, Blog
