EU-Datenschutz-Grundverordnung (EU-DSGVO/GDPR)
Seit dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (EU-DSGVO/GDPR) als Kernstück der europäischen Datenschutzreform anwendbar. Aufgrund der extraterritorialen Wirkung der DSGVO müssen zahlreiche Schweizer Unternehmen die Verarbeitung von Personendaten auf diese neuen Datenschutzbestimmungen ausrichten, wollen sie nicht Reputationsschäden sowie Sanktionen wie Schadenersatz und Bussen in der Höhe von bis zu € 20 Mio. oder 4% des globalen Jahresumsatzes in Kauf nehmen.
Neben der Vereinheitlichung des Datenschutzes in den EU-Mitgliedstaaten sollen mit der DSGVO die Datenschutzbestimmungen auch an unsere heutige digitale Welt angepasst werden. Letzteres ist – abgesehen von den internationalen Verpflichtungen der Schweiz – auch der Grund, weshalb sowohl der Bund als auch die Kantone ihre eigenen Datenschutzgesetze revidieren. Neben diesen schweizerischen Datenschutzgrundlagen müssen aber viele Schweizer Unternehmen künftig auch die (strengere) DSGVO berücksichtigen, selbst wenn sie keine Niederlassung in der EU haben. Grund dieser allfälligen Anwendbarkeit auf Schweizer Unternehmen ist die Einführung des sogenannten Marktortprinzips: Sobald ein Unter-nehmen aus der Schweiz oder einem anderen EU-Drittstaat Produkte und Dienstleistungen in der EU ansässigen Personen anbietet oder das Verhalten dieser Personen beobachtet (z.B. durch Web-Analysetools), greift die DSGVO. Unter die DSGVO fallen nur personenbezogene Daten. Dies umfasst alle Informationen, mit denen eine Person direkt oder indirekt identifiziert werden kann.
Recht auf Vergessenwerden
Die Person, deren Daten verarbeitet werden, erhält mit der DSGVO weitreichende Rechte. So kann sie unter gewissen Umständen verlangen, dass ihre Daten gelöscht werden (Recht auf Vergessenwerden). Auch gibt es ein Recht auf Datenübertragbarkeit (Datenportabilität); dabei kann die betroffene Person die Herausgabe ihrer Daten in einem maschinenlesbaren Format sowie deren Übertragung an einen Dritten verlangen.
Verzeichnis über die Datenverarbeitungstätigkeiten
Daneben gibt es für die Unternehmen insbesondere Verpflichtungen auf organisatorischer Ebene. So ist ein Verzeichnis über die Datenverarbeitungstätigkeiten zu führen und in gewissen Fällen ein Unternehmensdatenschutzbeauftragter (intern/extern) zu benennen. Die Einhaltung der DSGVO muss zudem nachgewiesen werden können. Auf die Unternehmen kommen strenge Meldepflichten bei Datenschutzverletzungen zu, während die Anforderungen an die Einwilligung in eine Datenverarbeitung gleichzeitig steigen. Auch sind die Unter-nehmen zur Vornahme von Datenschutz-Folgeabschätzungen verpflichtet, sofern eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.
Die französischen Datenschutz-Aufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) empfiehlt für die Umsetzung der DSGVO ein Vorgehen in sechs Schritten:
- Bestellung Datenschutzverantwortlicher (unternehmensintern oder -extern)
- Datenmapping: Systematische und präzise Erfassung der bearbeiteten Personendaten und Bearbeitungsvorgänge
- Priorisierung Massnahmen: Ausgehend vom Datenmapping sind die zur Sicherstellung der DSGVO-Compliance erforderlichen Massnahmen zu bestimmen und zu priorisieren
- Datenschutz-Folgeabschätzung (DSFA): Sofern im Datenmapping Bearbeitungen mit hohen Risiken identifiziert werden, ist eine DSFA durchzuführen
- Gestaltung und Implementierung interner Abläufe: Die für die Einhaltung der DSGVO allenfalls erforderlichen neuen Abläufe sind umzusetzen (Löschkonzepte, Anfrage- und Berichtigungsprozesse etc.)
- Dokumentation: Die erforderlichen Dokumentationen sind zu erstellen und laufend zu aktualisieren
Spezifisch zur Datensicherheit (Art. 32 DSGVO) hat CNIL einen Leitfaden aus dem Jahr 2010 angepasst und empfiehlt dazu ein Vorgehen in vier Stufen:
- Datenverarbeitungen (Erfassung)
- Risikobewertung
- Mögliche Auswirkungen auf Personen (Personendaten) in drei Szenarien:
- Unbefugter Zugang
- Unerwünschte Veränderung
- Datenverlust
- Risikoquellen (interne, externe, menschliche oder sonstige Gefahren)
- Risikoszenarien (Umstände für Risikoeintritt)
- Massnahmen zur Gefahrenabwehr (bestehende oder mögliche): technische und organisatorische Sicherheitsmassnahmen (TOM)
- Wahrscheinlichkeit Risikoeintritt
- Mögliche Auswirkungen auf Personen (Personendaten) in drei Szenarien:
- Risikominimierende Massnahmen: ergreifen und stetig überprüfen
- Sicherheitsüberprüfungen (regelmässig)
Abgesehen von diesem Vorgehensmodell beschreibt der CNIL-Leitfaden zur Datensicherheit in insgesamt 17 Kapiteln die technischen und organisatorischen Sicherheitsmassnahmen (TOM) gemäss DSGVO.
Ungeachtet bereits bestehender Umsetzungsempfehlungen und Leitfäden verschiedener Gremien, sind viele Fragen zur konkreten Umsetzung der DSGVO-Anforderungen nach wie vor offen und künftig durch die Praxis zu beantworten.