Um die Einführung des neuen Datenschutzgesetzes effektiv umsetzen zu können, empfehlen wir ein strukturiertes Vorgehen anhand der nachfolgenden acht Schritte:
1. Übersicht über die Verarbeitung von Personendaten im Unternehmen
Dies beginnt naheliegenderweise mit einer Übersicht über die im Unternehmen verarbeiteten Personendaten. Es gilt, sämtliche Datenbearbeitungsprozesse zu erkennen und festzuhalten. Hierbei spielt insbesondere die Beurteilung eine Rolle, ob Sie Daten als sogenannter Datenverantwortlicher oder als Verarbeiter bearbeiten. Es ist daher entscheidend, die beiden Begriffe zu kennen und auseinanderhalten zu können, weshalb wir diese hier kurz definieren:
• Verantwortlicher: ist als derjenige definiert, der gemeinsam mit anderen oder allein über «die Zwecke und Mittel» der Bearbeitung von Personen «entscheidet». Häufig erhebt der Verantwortliche die Daten zu bestimmten Zwecken und legt damit die Datenschutzrechtliche Grundlage für die weitere Verarbeitung.
• Auftragsbearbeiter/Auftragsverarbeiter: verarbeitet die Personendaten im Auftrag und auf Anweisung eines Verantwortlichen
Mit diesem Wissen ist es möglich, ein Data Mapping zu machen, um zu erkennen, wo und in welcher Rolle Daten im Unternehmen erhoben werden.
2. Erarbeitung von Datenschutzerklärungen
Auf die Datenschutzerklärungen und deren notwendigen Inhalt gehen wir nachfolgend im Kapitel Informationspflichten detaillierter ein.
3. Übersicht über Datenbekanntgaben an Dritte
Es ist von grosser Wichtigkeit, sich bewusst zu werden, wo Dritte in die Bearbeitung von Daten involviert werden. Die Datenübermittlung an Dritte (sowohl ins In- wie auch ins Ausland) erfordert eine rechtliche oder vertragliche Grundlage. Als Datenverantwortlicher sind Sie in der Pflicht, Dritte, die Ihre Daten bearbeiten, auf wirksamen Datenschutz zu verpflichten.
4. Übersicht über internationale Datentransfers
Insbesondere bei der Datenbekanntgabe ins Ausland müssen oft weitere Schutzmassnahmen ergriffen werden. Die Liste der Länder, in die Daten bedenkenlos exportiert werden können ist sehr kurz. Bei Datenbekanntgabe in andere Länder bedarf es weitergehender Schutzmassnahmen wie insbesondere dem Abschluss von Standardvertragsklauseln.
5. Erstellung eines Bearbeitungsverzeichnisses
Dieser Punkt betrifft grössere Unternehmen ab 250 Mitarbeitenden. Der erforderliche Inhalt des Bearbeitungsverzeichnisses ist in Art. 12 nDSG beschrieben, in Absatz 5 desselben Artikels finden sich die Ausnahmen von der Pflicht der Führung eines Bearbeitungsverzeichnisses.
6. Überprüfung und Aktualisierung der technischen und organisatorischen Massnahmen TOM
Die Summe der im Betrieb ergriffenen technischen und organisatorischen Massnahmen stellen die praktische Umsetzung von Datenschutz im Unternehmen dar. Die TOM umfassen also diejenigen Massnahmen, die Sie als Unternehmen ergreifen, um Daten sicher zu erfassen, zu bearbeiten, aufzubewahren, weiterzugeben und zu vernichten. Massnahmen müssen ergriffen werden, um die Sicherstellung
• der Vertraulichkeit von Daten,
• der Integrität von Daten,
• der Verfügbarkeit und Belastbarkeit der Datensysteme,
• der rechtskonformen Datenbearbeitung durch Dritte
• der regelmässigen Prüfung, Evaluierung und Verbesserung von TOM
zu gewährleisten. Massnahmen sind zu ergreifen, wenn ihr Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht.
7. Implementierung interner Prozesse für neue DSG-Anforderungen
Das aktualisierte Datenschutzgesetz bringt in einzelnen Bereichen neue Anforderungen mit sich. Unternehmen müssen interne Prozesse definieren zur Erfüllung neuer Datenschutzrechtlicher Pflichten, wie:
• Data security incident Prozess für die Meldung von Datenschutzverletzungen
• Prozess für die Durchführung von Datenschutz-Folgeabschätzungen
• Prozess für die Bearbeitung von Ansprüchen von betroffenen Personen (z.B. Auskunftsbegehren)
• Prozess für die Archivierung und Löschung von Daten
8. Bestimmung einer internen Ansprechperson für Datenschutzthemen
Bei der unternehmensinternen Ansprechperson für Datenschutzthemen muss es sich um eine Person handeln, die datenschutzrechtlich geschult ist.
Informationspflichten
Die Informationspflichten von Datenverantwortlichen werden durch das neue Datenschutzgesetz deutlich erweitert. Betroffene Personen müssen über die Datenbearbeitung informiert werden, auch in Fällen wo die Daten nicht direkt bei der betroffenen Person erhoben werden. Betroffene können unter anderem Kunden, Webseitenbesucher, App-Nutzer, Lieferanten oder auch die eigenen Mitarbeiter sein.
Die Information muss nicht mit einem Pop-up-Fenster aufgedrängt werden, sondern es genügt, wenn die betroffenen Personen die Möglichkeit haben, sich zu informieren. Die Datenschutzerklärung sollte in den Sprachen der Website veröffentlicht werden.
Die Datenschutzerklärung auf Ihrer Website muss insbesondere folgende Angaben enthalten (Art. 19 Abs. 2 ff. nDSG):
• Wer ist für die Website verantwortlich und wie kann der Kontakt erfolgen?
• Für welchen Zweck oder für welche Zwecke werden die Personendaten bearbeitet?
• Wer sind allfällige Empfänger:innen der bearbeiteten Personendaten?
• Wie wird ein allfälliger Daten-Export abgesichert?
• Welche Rechte haben die betroffenen Personen im Zusammenhang mit dem Datenschutz?
Die Angaben zur Identität und den Kontaktdaten stellen eine datenschutzrechtliche Impressumspflicht dar. Nicht empfehlenswert ist die Vermischung von Datenschutzerklärung und Impressum oder die Verbindung von AGB und Datenschutzerklärung. Datenschutzerklärung und Impressum dienen jeweils unterschiedlichen Informationszwecken, die AGB stellen einen Vertrag dar. Als Inspirationsquelle empfehlen sich Datenschutzerklärungen von grossen Europäischen Unternehmen, die die DSGVO bereits umgesetzt haben.
Datentransfer ins Ausland
In den wesentlichen Punkten bringt das nDSG im Hinblick auf den Datenexport keine Neuerungen. Datenexport ist also nach wie vor problemlos möglich in Länder, die einen angemessenen Datenschutz sicherstellen können. Allerdings ist diese Liste kurz. Der Datenexport in Länder ohne angemessenen Schutz muss nach wie vor durch vertragliche Garantien abgesichert werden. Dies gilt auch für konzerninternen Datenaustausch. Die Vehikel Safe-Harbor und Privacy-Shield wurden durch den Europäischen Gerichtshof als unzureichend beurteilt. Zu bemerken ist, dass künftig nicht mehr der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte EDÖB sondern der Bundesrat für die Beurteilung zuständig ist, ob ein Land ein angemessenes Datenschutzniveau bietet. Es darf davon ausgegangen werden, dass die Beurteilung des Bundesrates sich mit der bisherigen des EDÖB deckt. Die besonderen Bestimmungen für den Schutz der Persönlichkeit von juristischen Personen fallen auch im Zusammenhang mit dem Datenexport komplett weg. Mit dem neuen Datenschutzgesetz werden neue Sanktionierungsmöglichkeiten für Verstösse gegen Datenexportrichtlinien eingeführt.
Fazit
Noch bleibt ein wenig Zeit, die Umsetzung der neuen Datenschutzrichtlinien im Unternehmen anzugehen. Insbesondere aber die Grundlagenarbeit des Data Mappings sollte zeitlich nicht unterschätzt werden. Auch der Abschluss von Datenverarbeitungsverträgen mit Ihren Auftragnehmern sollte zeitnah angegangen werden, damit Sie hier keine unnötigen Risiken eingehen. Die Fidinam-Gruppe unterstützt Sie gerne.
Fidinam kann Ihnen helfen
Der Autor dieses Artikels und der zugrundeliegenden Webinare ist Dominic Müller, Leiter Treuhand bei Fidinam (Zürich).
Sie können die PDF-Version dieses Artikels herunterladen, indem Sie hier klicken.
Klicken Sie hier, um spezifische Fragen zu diesem Thema zu stellen oder um eine Beratung anzufordern.
