Dieser Beitrag vermittelt Ihnen einen Überblick zu den Kernpunkten der Datenschutzgrundverordnung, erklärt in Kürze den Begriff «personenbezogene Daten» im Sinne der DSGVO und zeigt allenfalls zu ergreifende Massnahmen auf, die Ihre IT-Infrastruktur betreffen.
Kapitelübersicht
1.Änderungen und Pflichten durch die DSGVO für Unternehmen
1.1 Anwendungsbereich
Die neue Datenschutzgrundverordnung gilt nicht nur für alle Unternehmen, die ihren Sitz in der EU haben, sondern auch für aussereuropäische Firmen, die auf dem europäischen Markt tätig sind – sei es nur durch die Möglichkeit eine Webseite in der EU aufzurufen – oder personenbezogene Daten von EU-Bürgern verarbeiten.
1.2 Informationspflicht bei Datenverarbeitung durch Dritte
Eine «Datenverarbeitung durch Dritte» liegt bereits dann vor, wenn Cloud-basierte Dienste verwendet werden, in denen personenbezogene Daten gespeichert werden. Solche Cloud-basierten Dienste sind beispielsweise Exchange Online, Dropbox, One Drive, Cloud-ERPs und viele weitere. In diesem Fall ist es wichtig auf die Konformität des jeweiligen Dienstes zu achten und/oder das Einverständnis der betroffenen Personen einzuholen.
1.3 Sanktionen
Sehr empfindlich fallen die von der Datenschutzgrundverordnung vorgesehenen Konsequenzen bei Nichteinhaltung der Regelungen aus. Die Geldbussen können bis zu 20 Mio. Euro oder bis zu 4% des gesamten weltweiten Jahresumsatzes betragen.
1.4 Meldepflicht
Wenn der Schutz personenbezogener Daten verletzt wurde, etwa durch eine Datenpanne, muss ein Unternehmen dies innerhalb von 72 Stunden melden. Allerdings besteht eine solche Pflicht nicht, wenn diese Verletzung «voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt». Bei einem Vorfall lohnt es sich für die Einschätzung juristische Unterstützung beizuziehen.
1.5 Auskunftsrecht
Jede Person kann bei einer Firma eine Bestätigung verlangen, ob personenbezogene Daten verarbeitet werden. Trifft dies zu, hat die Person ein Recht auf Auskunft über diese Daten sowie zusätzlich auf folgende Informationen:
- die Verarbeitungszwecke
- die Kategorien personenbezogener Daten, die verarbeitet werden
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
- die geplante Speicherungsdauer
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- alle verfügbaren Informationen zur Herkunft der Daten
- das Bestehen einer automatisierten Entscheidungsfindung einschliesslich Profiling (automatisierte Verarbeitung personenbezogener Daten)
1.6 Prinzip der Datensparsamkeit
Personenbezogene Daten müssen dem Zweck angemessen sowie auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt sein. Es gilt generell das Prinzip der Datensparsamkeit. Auf eine Datenspeicherung «auf Vorrat» von personenbezogenen Daten soll explizit verzichtet werden.
1.7 Spezialfall: Verarbeitungsverzeichnis
Je nach dem besteht eine Pflicht zur Führung eines Verarbeitungsverzeichnisses. Art.30 der EU-DSGVO schreibt vor, dass ein umfassendes Verarbeitungsverzeichnis geführt werden muss, welches unter anderem folgende Daten enthalten muss:
- Namen und Kontaktdaten des/der Verantwortlichen
- Zwecke der Daten-Verarbeitung
- Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- Die Kategorien von Empfängern, denen gegenüber die personenbezogenen Daten offengelegt wurden oder werden
- Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
Absatz 5 dieses Artikels schliesst Unternehmen mit weniger als 250 Mitarbeitenden mit einzelnen Ausnahmen von dieser Pflicht aus. Ob Ihr Unternehmen also verpflichtet ist, ein solches Verarbeitungsverzeichnis zu führen, ist in einem ersten Schritt einzuschätzen.
2.Das Wichtigste zu personenbezogenen Daten
2.1 Personenbezogene Daten
Nach EU-DSGVO sind «personenbezogene Daten» all jene Informationen, die sich auf eine natürliche Person beziehen und so Rückschlüsse auf deren Persönlichkeit erlauben.
Beispiele für personenbezogene Daten sind Name, Geburtsdatum, Kontaktdaten wie Adressen und Telefonnummern oder auch andere eindeutige Merkmale wie Kontodaten, Sozialversicherungsnummern oder IP-Adressen.
2.2 Besondere personenbezogene Daten
Besondere personenbezogene Daten umfassen Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Sie sind besonders schützenswert und dürfen nur mit ausdrücklicher Einwilligung der betroffenen Person verarbeitet werden.
Auch Bewerbungsunterlagen sind aufgrund der vielen persönlichen Angaben und Zeugnisse hier einzuordnen. Dabei ist beispielsweise zu beachten, dass die Daten rechtzeitig nach besetzen der Arbeitsstelle wieder gelöscht bzw. vernichtet oder zurückgesendet werden.
2.3 Selbstbestimmungsrecht
Betroffene haben vor allem das Recht auf informationelle Selbstbestimmung. Das Speichern und Verarbeiten von personenbezogenen Daten ist daher nur unter Zustimmung des Betroffenen zulässig.
2.4 Zweckbindung
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Einmal erhobene Daten dürfen nicht zu anderen Zwecken als den ursprünglich festgelegten verarbeitet werden und der Zweck muss eindeutig definiert sein.
3.Was ist zu tun?
Die Auswirkungen und Folgen der DSGVO für hiesige Firmen sind noch schwierig abzuschätzen. Als Vorbereitung schlagen wir folgende Massnahmen vor:
- Erstellung eines Datenübersichtsverzeichnisses als Übersicht wo im Unternehmen überall sensible Daten verarbeitet und/oder gespeichert werden und welche Massnahmen zu treffen sind. Dieses sollte auch physische Daten einschliessen und ersetzt nicht das Verarbeitungsverzeichnis.
- Erstellung interner IT- und Datenschutzrichtlinien mit konkretem Bezug auf die unternehmensinternen Abläufe, damit die Umsetzung durch die Mitarbeitenden möglichst reibungslos funktioniert.
- Erstellung von Backup- und Notfallkonzept IT-Infrastruktur zur Sicherstellung der Datenintegrität, -Sicherheit und -Verfügbarkeit.
- Sichere Verwahrung physischer Akten prüfen bzw. sicherstellen. Sensible Daten sollen nur in Räumen mit begrenztem Zutritt und/oder in abschliessbaren Schränken aufbewahrt werden.
- Konzept der Datensparsamkeit prüfen: Hierbei gilt es zu überprüfen, ob allenfalls mehr Daten erhoben werden als für die Geschäftsabwicklung unbedingt notwendig sind.
- Datensicherheit mobiler Geräte prüfen, um sicherzustellen, dass im Falle eines Verlusts oder Diebstahls die auf dem Gerät vorhandenen Daten vor unberechtigtem Zugriff geschützt sind.
- Sensibilisierung der Mitarbeitenden, um das Bewusstsein für datenschutzrechtliche Probleme zu schaffen und die Mitarbeitenden zu datenschutzkonformem Verhalten zu befähigen. Dies kann auch allgemeine Schulungen im Bereich IT-Sicherheit für Anwender beinhalten.
- Vertragliche Anpassungen prüfen, da es allenfalls Hinweistexte zur Begründung der Datenerhebung in bestehenden Verträgen braucht.
- Überprüfung der Webseite auf Konformität mit der DSGVO: Hier gilt es eine Datenschutzerklärung zu erstellen, welche alle relevanten Punkte umfasst und von jeder Seite aufrufbar ist. Ausserdem sollten Registrations- und Kontaktformulare sowie Kommentarfunktionen mit einem Hinweis auf diese Datenschutzerklärung versehen werden. Tracking- und Analysedienste müssen ebenfalls auf Konformität überprüft und in der Datenschutzerklärung ausgewiesen werden.
- Erstellung Verarbeitungsverzeichnis (wo werden welche personenbezogenen Daten gespeichert und verarbeitet) inkl. Umsetzung der Massnahmen. Dies ist zwingend für Firmen mit mehr als 250 Mitarbeitenden, kleinere Firmen sind davon nur in Ausnahmefällen betroffen.
Ein Merkblatt mit den wichtigsten Infos und To-dos erhalten Sie über den folgenden Button:
Gerne unterstützen wir Sie bei all diesen Themen, um Ihr Unternehmen für die DSGVO zu wappnen. Hierzu verfügen wir über weiterführende Dokumente, vollständige Checklisten und Vorlagen. Nehmen Sie mit uns Kontakt auf, wir sind gerne für Sie da.