Was ist die Datenschutzverordnung (DVSGO)?

Innerhalb der EU gab es kein einheitliches Datenschutzniveau, dadurch konnte weder der reibungslose Transfer von personenbezogenen Daten noch der wirksame Datenschutz für Betroffene garantiert werden. Mit der Datenschutz-Grundverordnung (DVSGO) hat die EU-Kommission eine Harmonisierung des Datenschutzes beschlossen. Im Mai 2018 wird diese Datenschutz-Grundverordnung wirksam und damit verbunden auch die neuen und erhöhten Anforderungen an den Schutz von personenbezogenen Daten. Unter personenbezogene Daten fallen alle Informationen, die sich auf eine identifizierbare oder von anderen Personen unterscheidbare Person beziehen (Singularisierung), wie beispielsweise der Name, die E-Mail, Social-Media-Beiträge, physische, physiologische, genetische oder medizinische Informationen, Wohnort, Bankverbindung, IP-Adressen, Cookies aber auch Angaben zum kulturellen Hintergrund der Person (Religion, Sprache, Nationalität etc.) Die Rechte der Einzelpersonen in Bezug auf die informationelle Selbstbestimmung werden mit der neuen Verordnung gestärkt.

Was regelt die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung regelt die Informationspflicht bei der Erfassung und Nutzung von persönlichen Daten, die Rechte der Betroffenen auf Auskunft, Löschung etc. und natürlich die Pflichten der Verantwortlichen zum Beispiel zur Anwendung eines risikobasierten Datenschutzmanagementsystems. Darüber hinaus legt die Datenschutz-Grundverordnung auch fest, wie Verstösse gegen persönliche Daten gemeldet werden und was in Verbindung mit dem Datenschutz geschult werden muss. Gemäss der Gartner Group werden mehr als die Hälfte aller Unternehmen die Bestimmungen der EU-Datenschutz-Grundverordnung zum Stichtag im Mai 2018 nicht einhalten können. Zum einen fehlt das Bewusstsein und zum anderen ist die Verantwortlichkeit im Unternehmen nicht klar definiert.

 

Christine Wohlwend
Geschäftsführender Partner
elleta AG
„Ich empfehle allen Unternehmen sich möglichst früh mit dem Thema Datenschutz und Datenverwaltung auseinanderzusetzen. Die Übergangsfrist der Datenschutz-Grundverordnung endet im Mai 2018. Die Vorbereitungsarbeiten darf man nicht unterschätzen.“
Betrifft die Datenschutz-Grundverordnung auch die Schweiz?

Sie fragen sich jetzt sicher, was die Datenschutz-Grundverordnung der EU mit der Schweiz zu tun hat? Zu Recht: Als einer der wichtigsten Handelspartner der EU ist auch die Schweiz von der neuen Datenschutz-Grundverordnung betroffen. Darum ist es wichtig, in einem ersten Schritt zu ermitteln, ob die neue Datenschutz-Grundverordnung das eigene Unternehmen überhaupt betrifft.

  • Sind wir ein Unternehmen mit einer Niederlassung in der EU?
  • Bieten wir Dienstleistungen oder Waren in der EU an?
  • Beobachten wir das Verhalten von EU-Bürgern in der EU?

Wenn Sie eine der drei Fragen mit Ja beantworten und in dieser Tätigkeit personenbezogene Daten verarbeiten, dann sind sie als Unternehmen betroffen.

Datenschutz-Grundverordnung: Was müssen Unternehmen beachten?

Mit der neuen Datenschutz-Grundverordnung tritt die Beweislast für Verantwortliche in Kraft. Als Unternehmen müssen Sie die Einhaltung der DSGVO nachweisen können. Sie fallen unter eine strenge Dokumentation- und Nachweispflicht und müssen auch personenbezogene Daten mithilfe von geeigneten Sicherheitsmassnahmen schützen. Unternehmen haben beispielsweise die Pflicht, Daten von Bewerbern, ehemaligen Mitarbeitern und Kunden zu löschen, sofern der Verarbeitungszweck entfällt oder keine andere Rechtsgrundlage mehr gegeben ist, wie zum Beispiel gesetzliche Aufbewahrungspflichten. Dazu müssen sie als Unternehmen wissen, wo und in welcher Form personenbezogene Daten von Mitarbeitern gespeichert sind (ERP-System, CRM-Software, Excel-Listen, systematisch strukturierte Papier-Dossiers etc.)

Daten Mapping
Was die Datenschutzverordnung nicht bedeutet?

«Die neue Datenschutz-Grundverordnung will nicht verhindern, dass Daten von Personen verarbeitet werden, sondern vielmehr bestehende Rechtsunsicherheiten abbauen und durch eine Harmonisierung des Datenschutzes den europäischen Binnenmarkt stärken. Der Schutz personenbezogener Daten und der Leitgedanke der informationellen Selbstbestimmung soll dabei gestärkt werden. Daraus resultieren Herausforderungen für Unternehmen, welche aber auch viele Chancen bieten“, so Alexander Hasler von der elleta ag in Balzers.

Was sind die wichtigsten Schritte zur Datenschutz-Grundverordnung

1. Verantwortlichkeiten im Unternehmen klären

Wer trägt im Unternehmen die Verantwortung zur Umsetzung und Wahrung der Datenschutzanforderungen und wer ist zuständig für die Wahrung der Rechte der Betroffenen? Das sind einzelne wichtige Fragen, die bereits zu Beginn geklärt werden müssen. Erst wenn die Zuständigkeiten geklärt sind, kann eine Übersicht über alle zu schützenden Daten vollständig erstellt und auch aktuell gehalten werden.

2. Speicherort der Daten ermitteln und Daten identifizieren. Daten-Mapping

Sie müssen nachvollziehen können, wo Daten gesammelt, welche Daten verarbeitet, wozu diese Daten benötigt werden und wo sich diese befinden und wer darauf Zugriff hat. Zum Beispiel: Kundeninformationen im CRM System, E-Mails, Mitarbeiterfotos, Daten zu Treueprogrammen, Personaldatenbank. Erstellen Sie eine virtuelle Landkarte sämtlicher Verarbeitungstätigkeiten und „mappen“ Sie die personenbezogenen Daten auf die jeweiligen Prozesse, um somit die erforderliche Transparenz in die Verarbeitung zu bringen: Analyse der Herkunft der Daten, der Datenarten und -Kategorien, Speicherort der Daten, Aufbewahrung und der Löschung der Daten, Empfänger der Daten, oder ob es einen Transfer in Drittländer gibt (etc.). Vereinfacht gesagt benötigen Sie Informationen zu den Personendaten innerhalb Ihrer Verarbeitungstätigkeiten (Prozessen) und zu den Übermittlungen und Offenlegungen der Personendaten. Denken Sie auch an die Kategorisierung dieser Daten. Um welche Art von Daten handelt es sich? Sind es besondere Kategorien von Daten wie Informationen zur ethnischen Herkunft, Religion, Gesundheitsdaten? Handelt es sich um Daten von Kindern oder anderen schutzwürdigen Personen oder erstellen Sie ein Verhaltensprofil?

3. Zweck und Rechtsgrundlage für jede Verarbeitung identifizieren und darlegen

In Verbindung mit dem Datenschutz ist es wichtig, für jede Verarbeitung von Daten einen klaren Zweck und eine Rechtsgrundlage zu haben und diese natürlich zu kennen. Habe ich mit der betroffenen Person zum Beispiel einen Vertrag und benötige ich die Daten, um meine vertraglichen Pflichten zu erfüllen? Habe ich eine gesetzliche Verpflichtung, bestimmte Daten zu verarbeiten?

4.Daten schützen

Als Unternehmen müssen Sie nach der Analyse sämtlicher Informationen entscheiden, ob Sie bereits angemessene technische und organisatorische Massnahmen treffen, um die personenbezogenen Daten schützen zu können. Hierzu müssen Sie risikobasiert entscheiden, welche Massnahmen jeweils angemessen sind. Für bestimmte Personendaten und Verarbeitungstätigkeiten, speziell bei besonders sensiblen Daten, kann beispielsweise eine Verschlüsselung sinnvoll sein, um die Vertraulichkeit zu gewährleisten.

5. Risikobewertung durchführen und Massnahmen ableiten

Erstellen Sie eine durchgängige Risikobewertung für sämtliche Verarbeitungstätigkeiten Ihres Unternehmens und identifizieren sie Risiken, wie beispielsweise der Verlust der Vertraulichkeit durch unberechtigte Zugriffe durch Dritte, durch eigene Mitarbeiter oder durch die genutzten IT-Systeme. Sind die Risiken identifiziert, geht es auch darum, die Risiken auf Wahrscheinlichkeit des Schadenereignisses und auch das Ausmass des Schadens zu ermitteln. Zur Reduzierung des Risikos lassen sich die angemessenen technischen und organisatorischen Massnahmen ableiten. Technologien, die bestimmte Risiken reduzieren, helfen sicherlich. So kann zum Beispiel eine Verschlüsselung von Daten den Zugriff auf besonders schützenswerte Daten, wie Gesundheits- oder Personaldaten, kontrollierter gewährleisten.

6. Dokumentation für nachhaltigen Datenschutz

Führen Sie Nachweise über alle geforderten Informationen: die Verarbeitungstätigkeiten mit Datenarten und -kategorien, die betroffenen Personen, die IT-Strukturen und Zusammenhänge, Auffälligkeiten und Verantwortlichkeiten. Halten Sie Ihre Dokumentation aktuell, um fristgerecht ihren Pflichten nachzukommen. Für Unternehmen kann es hilfreich sein, sich einen externen Partner als Unterstützung heranzuziehen, der Ihnen bei der Auditierung und Erarbeitung der Grundlagen zur Seite steht und hilft eine Standortbestimmung durchzuführen und mögliche Schwachstellen aufzudecken.

 

 

 

Microsoft gewährleistet die neue Datenschutz-Grundverordnung

Microsoft gewährleistet, dass die Microsoft Cloud-Dienste mit der Datenschutz-Grundverordnung rechtzeitig rechtskonform sein werden. Das schliesst Lösungen, wie Office365, Dynamics365, Microsoft Azure, SQL-Server sowie Windows 10 und Security Lösungen mit ein.

Microsoft Cloud Services sind ISO/IEC 27018:2014 zertifiziert

Der ISO Standard ISO/IEC 27018:2014 ist der erste internationale Verhaltenscodex für den Datenschutz in der Cloud. Basierend auf den bestehenden EU-Datenschutzgesetzen werden spezifische Anleitungen für Cloud Service Anbieter, die als Datenverarbeiter von personenbezogenen Daten agieren, zur Risikobewertung und Einführung von hochmodernen Kontrollen zum Schutz bereit. Microsoft hat als erster grosser Cloudanbieter diesen Verhaltenscodex übernommen und ist ISO/IEC 27018 zertifiziert.

ISO Zertifizierung
Sie haben eine Frage?

Patrick Glauser | Leiter Verkauf, Mitglied der Geschäftsleitung

Dann berate ich Sie sehr gern persönlich. Sie erreichen mich telefonisch unter 058 200 14 14 oder per E-Mail. Kontaktaufnehmen drücken. 

Kontakt aufnehmen