15.05.2018

DSGVO: Die Anwendbarkeit der EU-DSGVO steht unmittelbar vor der Tür

Vorgehensempfehlungen zur Implementation der DSGVO und zur Datensicherheit für betroffene Schweizer Unternehmen.

Von: Reto Fanger   Drucken Teilen   Kommentieren  

Dr. iur. Reto Fanger

Dr. iur. Reto Fanger ist Rechtsanwalt (advokatur-fanger.ch), Datenschutzbeauftragter des Kantons Luzern, Dozent an der Hochschule Luzern und Mitorganisator des Lucerne Law & IT Summit (LITS) der Uni Luzern.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

EU-Datenschutz-Grundverordnung (EU-DSGVO/GDPR)

Bald ist es soweit: Am 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung (EU-DSGVO/GDPR) als Kernstück der europäischen Datenschutzreform anwendbar sein. Aufgrund der extraterritorialen Wirkung der DSGVO müssen zahlreiche Schweizer Unternehmen die Verarbeitung von Personendaten auf diese neuen Datenschutzbestimmungen ausrichten, wollen sie nicht Reputationsschäden sowie Sanktionen wie Schadenersatz und Bussen in der Höhe von bis zu € 20 Mio. oder 4% des globalen Jahresumsatzes in Kauf nehmen.

Neben der Vereinheitlichung des Datenschutzes in den EU-Mitgliedstaaten sollen mit der DSGVO die Datenschutzbestimmungen auch an unsere heutige digitale Welt angepasst wer-den. Letzteres ist – abgesehen von den internationalen Verpflichtungen der Schweiz – auch der Grund, weshalb sowohl der Bund als auch die Kantone ihre eigenen Datenschutzgesetze revidieren. Neben diesen schweizerischen Datenschutzgrundlagen müssen aber viele Schweizer Unternehmen künftig auch die (strengere) DSGVO berücksichtigen, selbst wenn sie keine Niederlassung in der EU haben. Grund dieser allfälligen Anwendbarkeit auf Schweizer Unternehmen ist die Einführung des sogenannten Marktortprinzips: Sobald ein Unter-nehmen aus der Schweiz oder einem anderen EU-Drittstaat Produkte und Dienstleistungen in der EU ansässigen Personen anbietet oder das Verhalten dieser Personen beobachtet (z.B. durch Web-Analysetools), greift die DSGVO. Unter die DSGVO fallen nur personenbezogene Daten. Dies umfasst alle Informationen, mit denen eine Person direkt oder indirekt identifiziert werden kann.

Recht auf Vergessenwerden

Die Person, deren Daten verarbeitet werden, erhält mit der DSGVO weitreichende Rechte. So kann sie unter gewissen Umständen verlangen, dass ihre Daten gelöscht werden (Recht auf Vergessenwerden). Auch gibt es ein Recht auf Datenübertragbarkeit (Datenportabilität); dabei kann die betroffene Person die Herausgabe ihrer Daten in einem maschinenlesbaren Format sowie deren Übertragung an einen Dritten verlangen.

Verzeichnis über die Datenverarbeitungstätigkeiten

Daneben gibt es für die Unternehmen insbesondere Verpflichtungen auf organisatorischer Ebene. So ist ein Verzeichnis über die Datenverarbeitungstätigkeiten zu führen und in gewissen Fällen ein Unternehmensdatenschutzbeauftragter (intern/extern) zu benennen. Die Einhaltung der DSGVO muss zudem nachgewiesen werden können. Auf die Unternehmen kommen strenge Meldepflichten bei Datenschutzverletzungen zu, während die Anforderungen an die Einwilligung in eine Datenverarbeitung gleichzeitig steigen. Auch sind die Unter-nehmen zur Vornahme von Datenschutz-Folgeabschätzungen verpflichtet, sofern eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.

Die französischen Datenschutz-Aufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) empfiehlt für die Umsetzung der DSGVO ein Vorgehen in sechs Schritten:

  • Bestellung Datenschutzverantwortlicher (unternehmensintern oder -extern)
  • Datenmapping: Systematische und präzise Erfassung der bearbeiteten Personendaten und Bearbeitungsvorgänge
  • Priorisierung Massnahmen: Ausgehend vom Datenmapping sind die zur Sicherstellung der DSGVO-Compliance erforderlichen Massnahmen zu bestimmen und zu priorisieren
  • Datenschutz-Folgeabschätzung (DSFA): Sofern im Datenmapping Bearbeitungen mit hohen Risiken identifiziert werden, ist eine DSFA durchzuführen
  • Gestaltung und Implementierung interner Abläufe: Die für die Einhaltung der DSGVO allenfalls erforderlichen neuen Abläufe sind umzusetzen (Löschkonzepte, Anfrage- und Berichtigungsprozesse etc.)
  • Dokumentation: Die erforderlichen Dokumentationen sind zu erstellen und laufend zu aktualisieren

Spezifisch zur Datensicherheit (Art. 32 DSGVO) hat CNIL einen Leitfaden aus dem Jahr 2010 angepasst und empfiehlt dazu ein Vorgehen in vier Stufen:

  • Datenverarbeitungen (Erfassung)
  • Risikobewertung
    • Mögliche Auswirkungen auf Personen (Personendaten) in drei Szenarien:
      • Unbefugter Zugang
      • Unerwünschte Veränderung
      • Datenverlust
    • Risikoquellen (interne, externe, menschliche oder sonstige Gefahren)
    • Risikoszenarien (Umstände für Risikoeintritt)
    • Massnahmen zur Gefahrenabwehr (bestehende oder mögliche): technische und organisatorische Sicherheitsmassnahmen (TOM)
    • Wahrscheinlichkeit Risikoeintritt
  • Risikominimierende Massnahmen: ergreifen und stetig überprüfen
  • Sicherheitsüberprüfungen (regelmässig)

Abgesehen von diesem Vorgehensmodell beschreibt der CNIL-Leitfaden zur Datensicherheit in insgesamt 17 Kapiteln die technischen und organisatorischen Sicherheitsmassnahmen (TOM) gemäss DSGVO.

Ungeachtet bereits bestehender Umsetzungsempfehlungen und Leitfäden verschiedener Gremien, sind viele Fragen zur konkreten Umsetzung der DSGVO-Anforderungen nach wie vor offen und künftig durch die Praxis zu beantworten.

Produkt-Empfehlungen

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    CHF 78.00

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    Mehr Infos

  • WEKA Musterverträge

    WEKA Musterverträge

    Die in der Praxis am häufigsten eingesetzten Musterverträge.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 13. Juni 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 19. Juni 2018

    mehr Infos

  • Praxis-Seminar, ½ Tag, ZWB, Zürich

    Update Datenschutz

    Neuerungen in der EU und der Schweiz

    Nächster Termin: 06. September 2018

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos