Umgang mit der DSGVO

Die Datenschutzgrundverordnung der EU, kurz DSGVO, ist zurzeit in aller Munde. Obwohl es sich dabei um Europäisches Recht handelt, reichen die Folgen über die Grenzen der EU hinaus und betrifft auch uns als KMU in der Schweiz. Neben unzähligen Informationen aus juristischer Sicht, ergänzen wir das Thema mit den wichtigsten To-dos aus der Sicht der Informatik.

Dieser Beitrag vermittelt Ihnen einen Überblick zu den Kernpunkten der Datenschutzgrundverordnung, erklärt in Kürze den Begriff «personenbezogene Daten» im Sinne der DSGVO und zeigt allenfalls zu ergreifende Massnahmen auf, die Ihre IT-Infrastruktur betreffen.



1.Änderungen und Pflichten durch die DSGVO für Unternehmen

1.1 Anwendungsbereich

Die neue Datenschutzgrundverordnung gilt nicht nur für alle Unternehmen, die ihren Sitz in der EU haben, sondern auch für aussereuropäische Firmen, die auf dem europäischen Markt tätig sind – sei es nur durch die Möglichkeit eine Webseite in der EU aufzurufen – oder personenbezogene Daten von EU-Bürgern verarbeiten.

1.2 Informationspflicht bei Datenverarbeitung durch Dritte

Eine «Datenverarbeitung durch Dritte» liegt bereits dann vor, wenn Cloud-basierte Dienste verwendet werden, in denen personenbezogene Daten gespeichert werden. Solche Cloud-basierten Dienste sind beispielsweise Exchange Online, Dropbox, One Drive, Cloud-ERPs und viele weitere. In diesem Fall ist es wichtig auf die Konformität des jeweiligen Dienstes zu achten und/oder das Einverständnis der betroffenen Personen einzuholen.

1.3 Sanktionen

Sehr empfindlich fallen die von der Datenschutzgrundverordnung vorgesehenen Konsequenzen bei Nichteinhaltung der Regelungen aus. Die Geldbussen können bis zu 20 Mio. Euro oder bis zu 4% des gesamten weltweiten Jahresumsatzes betragen.

1.4 Meldepflicht

Wenn der Schutz personenbezogener Daten verletzt wurde, etwa durch eine Datenpanne, muss ein Unternehmen dies innerhalb von 72 Stunden melden. Allerdings besteht eine solche Pflicht nicht, wenn diese Verletzung «voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt». Bei einem Vorfall lohnt es sich für die Einschätzung juristische Unterstützung beizuziehen.

1.5 Auskunftsrecht

Jede Person kann bei einer Firma eine Bestätigung verlangen, ob personenbezogene Daten verarbeitet werden. Trifft dies zu, hat die Person ein Recht auf Auskunft über diese Daten sowie zusätzlich auf folgende Informationen:

1.6 Prinzip der Datensparsamkeit

Personenbezogene Daten müssen dem Zweck angemessen sowie auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt sein. Es gilt generell das Prinzip der Datensparsamkeit. Auf eine Datenspeicherung «auf Vorrat» von personenbezogenen Daten soll explizit verzichtet werden.

1.7 Spezialfall: Verarbeitungsverzeichnis

Je nach dem besteht eine Pflicht zur Führung eines Verarbeitungsverzeichnisses. Art.30 der EU-DSGVO schreibt vor, dass ein umfassendes Verarbeitungsverzeichnis geführt werden muss, welches unter anderem folgende Daten enthalten muss:

Absatz 5 dieses Artikels schliesst Unternehmen mit weniger als 250 Mitarbeitenden mit einzelnen Ausnahmen von dieser Pflicht aus. Ob Ihr Unternehmen also verpflichtet ist, ein solches Verarbeitungsverzeichnis zu führen, ist in einem ersten Schritt einzuschätzen.

2.Das Wichtigste zu personenbezogenen Daten

2.1 Personenbezogene Daten

Nach EU-DSGVO sind «personenbezogene Daten» all jene Informationen, die sich auf eine natürliche Person beziehen und so Rückschlüsse auf deren Persönlichkeit erlauben.

Beispiele für personenbezogene Daten sind Name, Geburtsdatum, Kontaktdaten wie Adressen und Telefonnummern oder auch andere eindeutige Merkmale wie Kontodaten, Sozialversicherungsnummern oder IP-Adressen.

2.2 Besondere personenbezogene Daten

Besondere personenbezogene Daten umfassen Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Sie sind besonders schützenswert und dürfen nur mit ausdrücklicher Einwilligung der betroffenen Person verarbeitet werden.

Auch Bewerbungsunterlagen sind aufgrund der vielen persönlichen Angaben und Zeugnisse hier einzuordnen. Dabei ist beispielsweise zu beachten, dass die Daten rechtzeitig nach besetzen der Arbeitsstelle wieder gelöscht bzw. vernichtet oder zurückgesendet werden.

2.3 Selbstbestimmungsrecht

Betroffene haben vor allem das Recht auf informationelle Selbstbestimmung. Das Speichern und Verarbeiten von personenbezogenen Daten ist daher nur unter Zustimmung des Betroffenen zulässig.

2.4 Zweckbindung

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Einmal erhobene Daten dürfen nicht zu anderen Zwecken als den ursprünglich festgelegten verarbeitet werden und der Zweck muss eindeutig definiert sein.

3.Was ist zu tun?

Die Auswirkungen und Folgen der DSGVO für hiesige Firmen sind noch schwierig abzuschätzen. Als Vorbereitung schlagen wir folgende Massnahmen vor:

Ein Merkblatt mit den wichtigsten Infos und To-dos erhalten Sie über den folgenden Button:

Gerne unterstützen wir Sie bei all diesen Themen, um Ihr Unternehmen für die DSGVO zu wappnen. Hierzu verfügen wir über weiterführende Dokumente, vollständige Checklisten und Vorlagen. Nehmen Sie mit uns Kontakt auf, wir sind gerne für Sie da.


Lukas Fischer

System- & Netzwerktechniker


Das Thema EU-DSGVO bringt mir im Alltag die notwendige Sensibilisierung betreffend Schutz von Kundendaten sowie die Möglichkeit unsere Kunden im Umgang mit deren Kundendaten zu unterstützen.