Ein Framework zur Umsetzung der neuen Datenschutzbestimmungen

Share on facebook
Share on twitter
Share on email

Die neue, harmonisierte Datenschutz-Grundverordnung der EU wurde am 24. Mai 2016 in Kraft gesetzt und ist ab 24. Mai 2018 ohne weitere Übergangsfrist anzuwenden. Alle in der EU tätigen Firmen, unabhängig ihres Firmensitzes, unterstehen der Gesetzgebung bereits. Der gesetzliche Nachvollzug in der Schweiz ist bereits in Arbeit. Für uns ein Grund, die Datenschutz-Grundverordnung in einer Artikelserie näher zu untersuchen.

Schlüsselelemente zur Umsetzung auf Unternehmensebene

Auf Stufe Unternehmen gilt es im wesentlichen drei Massnahmen umzusetzen.

  • Von ganz wenigen Ausnahmen abgesehen ist ein Datenschutzbeauftragter einzusetzen. Diesem kommt die Aufgabe zu, die Verantwortlichen, Beschäftigten und allfällige Auftragsverarbeiter über ihre datenschutzrechtlichen Pflichten zu unterrichten und zu beraten. Er hat die Einhaltung der Vorgaben und die Umsetzung von relevanten Massnahmen zu überwachen. Ausserdem dient er als Kontaktperson und Koordinator für alle Anfragen und Informationsflüsse bezüglich dem Datenschutz. Die Anforderungen, die an diese Person gestellt werden, sind sehr hoch, da er über umfassendes Fachwissen im Bereich des Datenschutzes verfügen soll. Gerade wenn eine Firmen-interne Lösung bevorzugt wird, könnte sich dies ohne Begleitmassnahmen als Hürde erweisen. Denn es drohen beachtliche Haftungs- und Bussgeldrisiken bei unsachgemässer Umsetzung.
  • Weiter ist eine systematische Risikoanalyse erforderlich. Die meisten Unternehmen werden bereits über eine dokumentierte Risikoanalyse verfügen, insbesondere wenn ihre Prozesse ISO 9001-zertifiziert sind. Um den besonderen Anforderungen des Datenschutzes genüge zu tun, ist es aber zusätzlich empfehlenswert, die Personen zu welchen Daten verarbeitet werden als eigenständigen Asset in die Risikoanalyse aufzunehmen. So ist sichergestellt, dass auch spezifische Risiken berücksichtigt und angemessen bewertet werden, die für die Unternehmung selbst möglicherweise wenig Auswirkungen hätten. Andererseits ist es sinnvoll, Aufzeichnungen bezüglich den verschiedenen Erwägungen zu dokumentieren, die zu einer bestimmten Bewertung eines Datenschutz-relevanten Risikos beitragen um dies im Sinne der geforderten Kontrollierbarkeit einfach nachvollziehbar zu machen. Anschliessend sind angemessene Massnahmen zur Reduktion der Risiken festzulegen und umzusetzen.
  • Es besteht die Pflicht zur Führung eines Verzeichnisses von Verarbeitungen. Darin ist zu dokumentieren, welche Datenverarbeitungen – ausschliesslich in Bezug auf Daten zu natürlichen Personen – existieren. Es handelt sich dabei um ein strukturiertes Verzeichnis, welches die Verarbeitung, deren Zweckbestimmung, die betroffenen Personen und Daten, die Empfänger von Daten und Löschfristen dokumentiert. Diese Massnahme ist vergleichsweise einfach – wenn auch nicht unbedingt mit geringem Aufwand – umzusetzen, da eine entsprechende Vorlage vorbereitet und ausgefüllt werden kann.

Verarbeitungsspezifische Schlüsselelemente

Sind die unternehmensweiten Grundlagen gelegt, können wir die einzelnen Verarbeitungen betrachten. Dabei sind vier Massnahmen zentral zu beachten.

  • Vor der produktiven Inbetriebnahme einer Verarbeitung eine sogenannte Datenschutz-Folgenabschätzung vorzunehmen, sofern personenbezogene Daten verarbeitet werden. Die Datenschutz-Folgenabschätzung ist im Prinzip nichts anderes als eine detailliertere Risikoanalyse bezogen auf diese bestimmte Verarbeitung. Für diese gibt es verschiedene zu berücksichtigende Vorgaben. Analog zur unternehmensweiten Risikoanalyse ist es ratsam, Aufzeichnungen zu Kosten/Nutzen-Erwägungen bezüglich nicht umgesetzter Massnahmen festzuhalten. So kann beispielsweise jederzeit aufgezeigt werden, dass bestimmte Massnahmen diskutiert wurden und aus welchen Gründen diese als ungeeignet oder unverhältnismässig eingestuft wurden.
  • Es ist ein geeignetes Sicherheitskonzept zu erstellen. Dieses hat die gemäss der Datenschutz-Folgenabschätzung als notwendig befundenen Massnahmen zu integrieren. Das Sicherheitskonzept kann natürlich auf allfällig bestehenden, übergeordneten Konzepten aufbauen. Es beschreibt die technischen und organisatorischen Massnahmen zum Schutz von Anwendung und Daten. Hier sind auch die wichtigen Umsetzungsprinzipien wie beispielsweise das Privacy-by-Default zu berücksichtigen.
  • In den meisten Fällen ausserhalb der öffentlichen Verwaltungen ist weiter davon auszugehen, dass Verarbeitungen von Personendaten auf der ausdrücklichen Einwilligung durch die betroffenen Personen basiert. Entsprechend ist ein Einwilligungsmanagement zu etablieren. Neben der besonders wichtigen Einwilligung selbst können in diesem Prozess auch die verschiedenen Informations- und Auskunftspflichten sowie die Rechte des betroffenen auf Widerspruch, Korrektur und Löschung integriert werden. Die Einwilligung darf übrigens durchaus rein elektronisch eingeholt werden, wobei ein doppeltes Opt-In Verfahren sowie einige Protokollierungsanforderungen umgesetzt werden sollten.
  • Mit Lieferanten/Autragsverarbeitern sind Datenschutz-konforme Vereinbarungen abzuschliessen. Ganz zentral dabei zu beachten ist, dass der Auftraggeber dem Auftragsverarbetier die Verantwortung für den Datenschutz nicht übertragen kann. Er bleibt in jedem Fall für die Verarbeitung der Personendaten verantwortlich. Über entsprechende Vertragsklauseln muss der Auftraggeber sicherstellen, dass der Auftragsverarbeiter keine Verarbeitungen in Drittländer ohne angemessenes Schutzniveau selbst oder über Unterlieferanten erbringt. Weiter sind im Vertrag die vom Auftragsverarbeiter umzusetzenden technischen und organisatorischen Massnahmen aufzuführen und Vorkehrungen zu treffen, welche den betroffenen Personen die Durchsetzung ihrer Rechte, wie das Recht auf Löschung, ermöglicht.

Ausblick

Damit geht unsere fünfteilige Artikelserie zu Ende. Wir hoffen, dass wir einen Überblick vermitteln konnten und die eine oder andere Information Sie bei der rechtskonformen Umsetzung von Digitalisierungs- und IT-Projekten unterstützen wird.

In wenigen Wochen gilt es in der EU mit den neuen Regeln ernst. Gleichzeitig ist auch in der Schweiz die Totalrevision des Datenschutzgesetzes im Gange. Auch wenn dabei noch einige Fragen nicht im entschieden sind, lässt sich doch zuverlässig vorhersagen, dass in wenigen Monaten auch die Schweiz vergleichbare Regeln erlassen wird um die aktuell geltende Gleichwertigkeit der Schweiz beim Datenschutz, wie sie von der EU Kommission bestätigt ist, nicht zu verlieren. Damit kommen auch rein auf den Binnenmarkt ausgerichtete Unternehmen bald in den Genuss dieser Compliance-Anforderungen.

Unsere Artikelserie zum Thema


Über den Autor

Stefan Haller ist IT-Experte mit Spezialisierung auf Risikomanagement, Informationssicherheit und Datenschutz bei linkyard. Er unterstützt Unternehmen und Behörden bei der Risikoanalyse in Projekten, der Konzipierung und Umsetzung von Compliance-Vorgaben in Softwarelösungen sowie bei der Erstellung von IT-Sicherheits- und Berechtigungskonzepten. Er verfügt über eine Zertifizierung in Risk Management und hat über 10 Jahre als internal Auditor zahlreiche Sicherheitsaudits auf Basis des ISO-Standards 27001 durchgeführt.
Haben Sie Fragen zur Umsetzung in Ihrem Unternehmen? stefan.haller@linkyard.ch | +41 78 746 51 16