15.08.2018

EU-DSGVO: Einheitliche Regelung von Compliance und IKS bei Schweizer Unternehmen

Seit dem 25. Mai 2018 ist die EU-DSGVO in Kraft und stellt damit eine neue, einheitliche Regelung zum Schutz von personenbezogenen Daten von EU-Bürgern dar. Der Anwendungsbereich dieser neuen Datenschutzbestimmungen betrifft auch Schweizer Unternehmen, sofern diese personenbezogene Daten von Personen, die sich auf dem EU-Gebiet befinden, mit dem Ziel verarbeiten, diesen Personen Waren oder Dienstleistungen anzubieten (unabhängig, ob gegen Bezahlung oder unentgeltlich), oder deren Verhalten in den Mitgliedstaaten der EU zu verfolgen (Art. 3 Abs. 2 Buchst. a und b DSGVO).

Von: Prof. Dr. Thomas Rautenstrauch  DruckenTeilen Kommentieren 

Prof. Dr. Thomas Rautenstrauch

Thomas Rautenstrauch ist Professor für Betriebswirtschaftslehre, insbesondere Accounting und Controlling sowie Leiter des Center for Accounting & Controlling an der HWZ Hochschule für Wirtschaft Zürich. Weiterhin ist er als Gastprofessor für Management Accounting im Executive MBA des Institute for Management in Technology (iimt) an der Universität Fribourg tätig. Thomas Rautenstrauch ist Autor von mehreren Fachbüchern und zahlreichen Artikeln in Fachzeitschriften und in der Wirtschaftspresse.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Die Aktualisierung des IKS

Die rechtskonforme Umsetzung und Einhaltung der neuen Bestimmungen des DSGVO ist eine zusätzliche Herausforderung für das Compliance Management in den betroffenen Schweizer Unternehmen und kann im Falle der Verletzung der DSGVO zu erheblichen Sanktionen und Strafen führen. Nach dem internationalen Verständnis von interner Kontrolle auf der Grundlage des anerkannten Rahmenwerks COSO IC gehört zum Ziel eines IKS die Compliance, weshalb mit dem Inkrafttreten der DSGVO eine Aktualisierung/Erweiterung des IKS unbedingt erforderlich ist.

Systematisches Vorgehen zur Anpassung des IKS an die Anforderungen der EU-DSGVO

Schritt 1

Für Schweizer Unternehmen stellt sich in einem ersten Schritt die Anforderung, den Umfang (Scope) der IKS-relevanten Anpassungen zur Umsetzung der DSGVO zu bestimmen. Dazu ist zunächst zu fragen, ob und in welchen Bereichen/Einheiten des Unternehmens bzw. der Unternehmensgruppe personenbezogene Daten von in der EU ansässigen Personen verarbeitet werden.

Unter dem Begriff der Verarbeitung von Daten wird im Rahmen der EU-DSGVO folgendes verstanden: das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten (Art. 4 Ziff. 2 DSGVO). Dies kann persönliche Daten wie Name, Geburtsdatum, Kontaktdaten (Adressen, Telefonnummer, E-Mail), Kontodaten oder auch Sozialversicherungsnummern betreffen, wogegen heikle Informationen wie z.B. die ethnische Herkunft, die politische Gesinnung, religiöse Überzeugungen oder auch Gesundheitsdaten nur mit expliziter Einwilligung der betroffenen Person verarbeitet werden dürfen. Insofern ist es zu Beginn wichtig, zunächst eine Übersicht mit folgenden Angaben darüber zu erstellen, um eine Risikoidentifikation und -beurteilung vornehmen zu können:

  • in welchen Bereichen/Einheiten
  • welche Art von personenbezogenen Daten
  • in welcher Form verarbeitet werden,
  • und ob hierunter Daten von in der EU ansässigen Bürgern fallen.

In der Praxis werden vor allem der Handel und Vertrieb aber auch der Personalbereich einer Unternehmung hierfür in Frage kommen, falls an in der EU ansässige Bürger Waren- und Dienstleistungen verkauft werden oder in der EU ansässige Bürger als Arbeitskräfte des Unternehmens tätig sind.

Schritt 2

Die Verarbeitung personenbezogener Daten erfolgt regelmässig im Zusammenhang mit Geschäftsprozessen, weshalb die Identifikation der DSGVO-relevanten Schlüsselprozesse den zweiten Schritt bildet.

Betroffen sind vor allem Internetbasierte Unternehmen, wie z.B. Online-Händler, deren professionelles Kundentracking zur Gewinnung von Daten über das (Kauf-)Verhalten der Kunden in erster Linie durch die neuen Anforderungen der DSGVO betroffen ist. Schlüsselprozesse wie die Auftragsabwicklung (Order-to-Cash), der Einkauf (Purchase-to-Pay), oder die Herstellung (Make-to-Stock) müssen dahingehend überprüft werden, ob in diesen personenbezogene Daten von in der EU ansässigen Personen in irgendeiner Weise verarbeitet werden. Hierfür ist abzuklären, welche datenschutzrechtlichen Massnahmen im Unternehmen bereits vorhanden sind und ob sie mit der EU-DSGVO konform sind. Ebenso ist auf dieser Stufe eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung notwendig, denn die strafrechtlichen Sanktionen bei Verletzungen der DSGVO können happig sein und reichen von Verwarnungen bis hin zu umsatzabhängigen Geldbussen (Artikel 83 Abs. 2 und Abs. 5 DSGVO).

Schritt 3

Innerhalb der unter Schritt 2 selektierten Schlüsselprozesse ist anschliessend das genaue Compliance-Risiko zu identifizieren und eine zugehörige Schlüsselkontrolle ist zu definieren.

Falls zum Beispiel festgestellt wird, dass im Rahmen eines Tracking vom Kunden-Kaufverhalten besondere Arten personenbezogene Daten mit höherer Sensibilität gesammelt und ausgewertet werden, muss durch eine geeignete Kontrolle sichergestellt sein, dass dem erhöhten Datenschutz in diesem Punkt Folge geleistet wird.

Den Grundsatz in der DSGVO bildet das Verbot mit Erlaubnisvorbehalt. Danach ist die Verarbeitung personenbezogener Daten zwar zunächst grundsätzlich verboten– ausser es liegt eine ausdrückliche Erlaubnis der betroffenen Personen vor. Diese kann in Form einer gesetzlichen Regelung oder durch die Einwilligung der betroffenen Personen vorliegen. Gerade in Fällen, in denen die Datenverarbeitung in grossem Umfang sowie als Kerntätigkeit des Unternehmens erfolgt, muss laut der EU-DSGVO ein Datenschutzbeauftragter bestellt werden, welcher in vielen Schweizer Unternehmen heute (noch) nicht existiert.

Die im DSGVO kodifizierte Nachweispflicht verlangt, dass alle notwendigen Dokumente und Prozesse zur Einhaltung der DSGVO vorhanden sind und eingehalten werden. Auf der Prozessebene sind in diesem Zusammenhang die folgenden Fragen zu stellen (IHK Stuttgart, 2018):

  • «Gibt es einen Prozess zur Einholung, Dokumentation von Einwilligungen, der mit eventuell eingehenden Widersprüchen verknüpft ist?
  • Wie und von wem werden Auskunftsersuchen beantwortet?
  • Wie werden Verletzungen von Datenschutzrechten („Datenpannen“/IT-Sicherheitsvorfälle) innerbetrieblich behandelt?»

Diese und weitere Fragen machen deutlich, dass eine angemessene Compliance-Regelung sich idealer Weise nicht nur auf Ebene einzelner Prozesse vollzieht, sondern bereits übergreifend und somit im Kontrollumfeld durch Richtlinien, Weisungen und Reglemente zu verankern ist. Vor allem auf die Nutzung von Synergien mit Schnittstellenbereichen wie dem Qualitätsmanagement sollte geachtet werden.

Fazit

Die neue EU-DSGVO führt zu neuen ernstzunehmenden Compliance-Risiken für zahlreiche Schweizer Unternehmen. Hiervon betroffen sind nicht nur eCommerce oder andere Internet-basierte Geschäftsmodelle, welche umfangreiche Kundendaten auch von in der EU ansässigen Personen für Vertriebs- und Marketingzwecke verarbeiten. Auch Unternehmen, die Mitarbeitende beschäftigen, welche in der EU ansässig sind und deren Verhalten, z.B. in Krankheitsfällen, verfolgt wird. Für das IKS im Unternehmen stellt sich somit eine neue Herausforderung durch die notwendige Anpassung des Kontrollumfelds und der risikobehafteten Prozesse. Vor allem die Nachweispflicht der Unternehmen kann im Zweifel zu umfangreichen Dokumentationspflichten führen, weshalb ein systematisches, schrittweises Vorgehen zur Einrichtung bzw. Anpassung eines IKS erforderlich wird.

Referenzen/Literatur
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO). IHK Stuttgart, 2018: www.stuttgart.ihk24.de/Fuer-Unternehmen/recht_und_steuern/Aktuelles/prueffragebogen-zur-datenschutz-grundverordnung/3821774

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Internes Kontrollsystem (IKS)

So richten Sie Ihr IKS nachhaltig und effizient aus

Stellen Sie Ihr IKS auf den Prüfstand: Lernen Sie Risiken gezielt zu identifizieren und realistisch zu bewerten. So binden Sie Ihr IKS effizient und angemessen in die Betriebsabläufe ein.

Nächster Termin: 04. Juni 2019

mehr Infos

Produkt-Empfehlungen

  • Jahrbuch Finanz- und Rechnungswesen 2018

    Jahrbuch Finanz- und Rechnungswesen 2018

    Hochkarätige Autoren informieren Sie über die aktuellen Trends im Finanz- und Rechnungswesen.

    CHF 98.00

  • Internes Kontrollsystem

    Internes Kontrollsystem

    Know-how, Tipps und viele Fallbeispiele unterstützen Sie bei der Konzeption bis hin zur Implementierung Ihres IKS.

    Mehr Infos

  • WEKA Musterverträge

    WEKA Musterverträge

    Die in der Praxis am häufigsten eingesetzten Musterverträge.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Compliance und Wettbewerbsrecht für Profis mit Prof. Dr. Patrick Krauskopf

    Neuste Entwicklungen und aktuelle Rechtspraxis

    Nächster Termin: 05. Juni 2019

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 11. Dezember 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Internes Kontrollsystem (IKS)

    So richten Sie Ihr IKS nachhaltig und effizient aus

    Nächster Termin: 04. Juni 2019

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos