Blog Umgang mit der DSGVO

  • 25.05.2018
  • Lukas Fischer
  • News
  • Data Protection, Downloads, DSGVO, ICT-Services, Security, Website
Umgang mit der DSGVO http://asinfotrack.ch/blog/view/2018-05-25_umgang_mit_der_dsgvo#anchor-comments 0 UserComments http://asinfotrack.ch/images/blog/0052_header.jpg
Die Datenschutzgrundverordnung der EU, kurz DSGVO, ist zurzeit in aller Munde. Obwohl es sich dabei um Europäisches Recht handelt, reichen die Folgen über die Grenzen der EU hinaus und betrifft auch uns als KMU in der Schweiz. Neben unzähligen Informationen aus juristischer Sicht, ergänzen wir das Thema mit den wichtigsten To-dos aus der Sicht der Informatik.

Dieser Beitrag vermittelt Ihnen einen Überblick zu den Kernpunkten der Datenschutzgrundverordnung, erklärt in Kürze den Begriff «personenbezogene Daten» im Sinne der DSGVO und zeigt allenfalls zu ergreifende Massnahmen auf, die Ihre IT-Infrastruktur betreffen.



1. Änderungen und Pflichten durch die DSGVO für Unternehmen

1.1 Anwendungsbereich

Die neue Datenschutzgrundverordnung gilt nicht nur für alle Unternehmen, die ihren Sitz in der EU haben, sondern auch für aussereuropäische Firmen, die auf dem europäischen Markt tätig sind – sei es nur durch die Möglichkeit eine Webseite in der EU aufzurufen – oder personenbezogene Daten von EU-Bürgern verarbeiten.

1.2 Informationspflicht bei Datenverarbeitung durch Dritte

Eine «Datenverarbeitung durch Dritte» liegt bereits dann vor, wenn Cloud-basierte Dienste verwendet werden, in denen personenbezogene Daten gespeichert werden. Solche Cloud-basierten Dienste sind beispielsweise Exchange Online, Dropbox, One Drive, Cloud-ERPs und viele weitere. In diesem Fall ist es wichtig auf die Konformität des jeweiligen Dienstes zu achten und/oder das Einverständnis der betroffenen Personen einzuholen.

1.3 Sanktionen

Sehr empfindlich fallen die von der Datenschutzgrundverordnung vorgesehenen Konsequenzen bei Nichteinhaltung der Regelungen aus. Die Geldbussen können bis zu 20 Mio. Euro oder bis zu 4% des gesamten weltweiten Jahresumsatzes betragen.

1.4 Meldepflicht

Wenn der Schutz personenbezogener Daten verletzt wurde, etwa durch eine Datenpanne, muss ein Unternehmen dies innerhalb von 72 Stunden melden. Allerdings besteht eine solche Pflicht nicht, wenn diese Verletzung «voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt». Bei einem Vorfall lohnt es sich für die Einschätzung juristische Unterstützung beizuziehen.

1.5 Auskunftsrecht

Jede Person kann bei einer Firma eine Bestätigung verlangen, ob personenbezogene Daten verarbeitet werden. Trifft dies zu, hat die Person ein Recht auf Auskunft über diese Daten sowie zusätzlich auf folgende Informationen:

  • die Verarbeitungszwecke
  • die Kategorien personenbezogener Daten, die verarbeitet werden
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
  • die geplante Speicherungsdauer
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • alle verfügbaren Informationen zur Herkunft der Daten
  • das Bestehen einer automatisierten Entscheidungsfindung einschliesslich Profiling (automatisierte Verarbeitung personenbezogener Daten)

1.6 Prinzip der Datensparsamkeit

Personenbezogene Daten müssen dem Zweck angemessen sowie auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt sein. Es gilt generell das Prinzip der Datensparsamkeit. Auf eine Datenspeicherung «auf Vorrat» von personenbezogenen Daten soll explizit verzichtet werden.

1.7 Spezialfall: Verarbeitungsverzeichnis

Je nach dem besteht eine Pflicht zur Führung eines Verarbeitungsverzeichnisses. Art.30 der EU-DSGVO schreibt vor, dass ein umfassendes Verarbeitungsverzeichnis geführt werden muss, welches unter anderem folgende Daten enthalten muss:

  • Namen und Kontaktdaten des/der Verantwortlichen
  • Zwecke der Daten-Verarbeitung
  • Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • Die Kategorien von Empfängern, denen gegenüber die personenbezogenen Daten offengelegt wurden oder werden
  • Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Absatz 5 dieses Artikels schliesst Unternehmen mit weniger als 250 Mitarbeitenden mit einzelnen Ausnahmen von dieser Pflicht aus. Ob Ihr Unternehmen also verpflichtet ist, ein solches Verarbeitungsverzeichnis zu führen, ist in einem ersten Schritt einzuschätzen.


2. Das Wichtigste zu personenbezogenen Daten

2.1 Personenbezogene Daten

Nach EU-DSGVO sind «personenbezogene Daten» all jene Informationen, die sich auf eine natürliche Person beziehen und so Rückschlüsse auf deren Persönlichkeit erlauben.

Beispiele für personenbezogene Daten sind Name, Geburtsdatum, Kontaktdaten wie Adressen und Telefonnummern oder auch andere eindeutige Merkmale wie Kontodaten, Sozialversicherungsnummern oder IP-Adressen.

2.2 Besondere personenbezogene Daten

Besondere personenbezogene Daten umfassen Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Sie sind besonders schützenswert und dürfen nur mit ausdrücklicher Einwilligung der betroffenen Person verarbeitet werden.

Auch Bewerbungsunterlagen sind aufgrund der vielen persönlichen Angaben und Zeugnisse hier einzuordnen. Dabei ist beispielsweise zu beachten, dass die Daten rechtzeitig nach besetzen der Arbeitsstelle wieder gelöscht bzw. vernichtet oder zurückgesendet werden.

2.3 Selbstbestimmungsrecht

Betroffene haben vor allem das Recht auf informationelle Selbstbestimmung. Das Speichern und Verarbeiten von personenbezogenen Daten ist daher nur unter Zustimmung des Betroffenen zulässig.

2.4 Zweckbindung

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Einmal erhobene Daten dürfen nicht zu anderen Zwecken als den ursprünglich festgelegten verarbeitet werden und der Zweck muss eindeutig definiert sein.


3. Was ist zu tun?

Die Auswirkungen und Folgen der DSGVO für hiesige Firmen sind noch schwierig abzuschätzen. Als Vorbereitung schlagen wir folgende Massnahmen vor:

  • Erstellung eines Datenübersichtsverzeichnisses als Übersicht wo im Unternehmen überall sensible Daten verarbeitet und/oder gespeichert werden und welche Massnahmen zu treffen sind. Dieses sollte auch physische Daten einschliessen und ersetzt nicht das Verarbeitungsverzeichnis.
  • Erstellung interner IT- und Datenschutzrichtlinien mit konkretem Bezug auf die unternehmensinternen Abläufe, damit die Umsetzung durch die Mitarbeitenden möglichst reibungslos funktioniert.
  • Erstellung von Backup- und Notfallkonzept IT-Infrastruktur zur Sicherstellung der Datenintegrität, -Sicherheit und -Verfügbarkeit.
  • Sichere Verwahrung physischer Akten prüfen bzw. sicherstellen. Sensible Daten sollen nur in Räumen mit begrenztem Zutritt und/oder in abschliessbaren Schränken aufbewahrt werden.
  • Konzept der Datensparsamkeit prüfen: Hierbei gilt es zu überprüfen, ob allenfalls mehr Daten erhoben werden als für die Geschäftsabwicklung unbedingt notwendig sind.
  • Datensicherheit mobiler Geräte prüfen, um sicherzustellen, dass im Falle eines Verlusts oder Diebstahls die auf dem Gerät vorhandenen Daten vor unberechtigtem Zugriff geschützt sind.
  • Sensibilisierung der Mitarbeitenden, um das Bewusstsein für datenschutzrechtliche Probleme zu schaffen und die Mitarbeitenden zu datenschutzkonformem Verhalten zu befähigen. Dies kann auch allgemeine Schulungen im Bereich IT-Sicherheit für Anwender beinhalten.
  • Vertragliche Anpassungen prüfen, da es allenfalls Hinweistexte zur Begründung der Datenerhebung in bestehenden Verträgen braucht.
  • Überprüfung der Webseite auf Konformität mit der DSGVO: Hier gilt es eine Datenschutzerklärung zu erstellen, welche alle relevanten Punkte umfasst und von jeder Seite aufrufbar ist. Ausserdem sollten Registrations- und Kontaktformulare sowie Kommentarfunktionen mit einem Hinweis auf diese Datenschutzerklärung versehen werden. Tracking- und Analysedienste müssen ebenfalls auf Konformität überprüft und in der Datenschutzerklärung ausgewiesen werden.
  • Erstellung Verarbeitungsverzeichnis (wo werden welche personenbezogenen Daten gespeichert und verarbeitet) inkl. Umsetzung der Massnahmen. Dies ist zwingend für Firmen mit mehr als 250 Mitarbeitenden, kleinere Firmen sind davon nur in Ausnahmefällen betroffen.

Ein Merkblatt mit den wichtigsten Infos und To-dos erhalten Sie über den folgenden Button:


Gerne unterstützen wir Sie bei all diesen Themen, um Ihr Unternehmen für die DSGVO zu wappnen. Hierzu verfügen wir über weiterführende Dokumente, vollständige Checklisten und Vorlagen. Nehmen Sie mit uns Kontakt auf, wir sind gerne für Sie da.




Kommentar schreiben


Kommentare

Noch keine Kommentare. Schreiben Sie den ersten Kommentar zu diesem Artikel!