Wenn Sie auf "Alle Cookies akzeptieren" klicken, stimmen Sie der Speicherung von Cookies auf Ihrem Gerät zu, um die Navigation auf der Website zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingaktivitäten zu unterstützen. Weitere Informationen finden Sie in unserer Datenschutzrichtlinie.

Datenschutzpräferenzen

Wenn Sie Websites besuchen, können diese Daten in Ihrem Browser speichern oder abrufen. Diese Speicherung ist häufig für die Grundfunktionen der Website erforderlich. Die Speicherung kann für Marketing, Analysen und die Personalisierung der Website verwendet werden, z. B. für die Speicherung Ihrer Präferenzen. Der Datenschutz ist uns wichtig, daher haben Sie die Möglichkeit, bestimmte Arten der Speicherung zu deaktivieren, die für die grundlegende Funktion der Website nicht erforderlich sind. Das Blockieren von Kategorien kann Ihre Erfahrung auf der Website beeinträchtigen.

Alle cookies ablehnen Alle cookies zulassen

Zustimmungspräferenzen nach Kategorie verwalten

Essential

Immer aktiv

Diese Elemente sind erforderlich, um die Grundfunktionen der Website zu ermöglichen.

Marketing

Essential

Diese Elemente werden verwendet, um Werbung zu liefern, die für Sie und Ihre Interessen relevanter ist. Sie können auch verwendet werden, um die Anzahl der Werbeeinblendungen zu begrenzen und die Wirksamkeit von Werbekampagnen zu messen. Werbenetzwerke platzieren sie in der Regel mit der Erlaubnis des Website-Betreibers.

Personalization

Essential

Diese Daten ermöglichen es der Website, sich an die von Ihnen getroffenen Entscheidungen zu erinnern (z. B. an Ihren Benutzernamen, Ihre Sprache oder die Region, in der Sie sich befinden) und erweiterte, persönlichere Funktionen anzubieten. Eine Website kann Ihnen zum Beispiel lokale Wetterberichte oder Verkehrsnachrichten anbieten, indem sie Daten über Ihren aktuellen Standort speichert.

Analytics

Essential

Diese Daten helfen dem Website-Betreiber zu verstehen, wie seine Website funktioniert, wie Besucher mit der Website interagieren und ob es möglicherweise technische Probleme gibt. Bei dieser Speicherart werden in der Regel keine Informationen gesammelt, die einen Besucher identifizieren.

Meine Einstellungen bestätigen und schließen

Ein Framework zur Umsetzung der neuen Datenschutzbestimmungen

Stefan Haller

16.4.2018

Die neue, harmonisierte Datenschutz-Grundverordnung der EU wurde am 24. Mai 2016 in Kraft gesetzt und ist ab 24. Mai 2018 ohne weitere Übergangsfrist anzuwenden. Alle in der EU tätigen Firmen, unabhängig ihres Firmensitzes, unterstehen der Gesetzgebung bereits. Der gesetzliche Nachvollzug in der Schweiz ist bereits in Arbeit. Für uns ein Grund, die Datenschutz-Grundverordnung in einer Artikelserie näher zu untersuchen.

Schlüsselelemente zur Umsetzung auf Unternehmensebene

‍

Auf Stufe Unternehmen gilt es im wesentlichen drei Massnahmen umzusetzen.

Von ganz wenigen Ausnahmen abgesehen ist ein Datenschutzbeauftragter einzusetzen. Diesem kommt die Aufgabe zu, die Verantwortlichen, Beschäftigten und allfällige Auftragsverarbeiter über ihre datenschutzrechtlichen Pflichten zu unterrichten und zu beraten. Er hat die Einhaltung der Vorgaben und die Umsetzung von relevanten Massnahmen zu überwachen. Ausserdem dient er als Kontaktperson und Koordinator für alle Anfragen und Informationsflüsse bezüglich dem Datenschutz. Die Anforderungen, die an diese Person gestellt werden, sind sehr hoch, da er über umfassendes Fachwissen im Bereich des Datenschutzes verfügen soll. Gerade wenn eine Firmen-interne Lösung bevorzugt wird, könnte sich dies ohne Begleitmassnahmen als Hürde erweisen. Denn es drohen beachtliche Haftungs- und Bussgeldrisiken bei unsachgemässer Umsetzung.
Weiter ist eine systematische Risikoanalyse erforderlich. Die meisten Unternehmen werden bereits über eine dokumentierte Risikoanalyse verfügen, insbesondere wenn ihre Prozesse ISO 9001-zertifiziert sind. Um den besonderen Anforderungen des Datenschutzes genüge zu tun, ist es aber zusätzlich empfehlenswert, die Personen zu welchen Daten verarbeitet werden als eigenständigen Asset in die Risikoanalyse aufzunehmen. So ist sichergestellt, dass auch spezifische Risiken berücksichtigt und angemessen bewertet werden, die für die Unternehmung selbst möglicherweise wenig Auswirkungen hätten. Andererseits ist es sinnvoll, Aufzeichnungen bezüglich den verschiedenen Erwägungen zu dokumentieren, die zu einer bestimmten Bewertung eines Datenschutz-relevanten Risikos beitragen um dies im Sinne der geforderten Kontrollierbarkeit einfach nachvollziehbar zu machen. Anschliessend sind angemessene Massnahmen zur Reduktion der Risiken festzulegen und umzusetzen.
Es besteht die Pflicht zur Führung eines Verzeichnisses von Verarbeitungen. Darin ist zu dokumentieren, welche Datenverarbeitungen - ausschliesslich in Bezug auf Daten zu natürlichen Personen - existieren. Es handelt sich dabei um ein strukturiertes Verzeichnis, welches die Verarbeitung, deren Zweckbestimmung, die betroffenen Personen und Daten, die Empfänger von Daten und Löschfristen dokumentiert. Diese Massnahme ist vergleichsweise einfach - wenn auch nicht unbedingt mit geringem Aufwand - umzusetzen, da eine entsprechende Vorlage vorbereitet und ausgefüllt werden kann.

Verarbeitungsspezifische Schlüsselelemente

‍

Sind die unternehmensweiten Grundlagen gelegt, können wir die einzelnen Verarbeitungen betrachten. Dabei sind vier Massnahmen zentral zu beachten.

Vor der produktiven Inbetriebnahme einer Verarbeitung eine sogenannte Datenschutz-Folgenabschätzung vorzunehmen, sofern personenbezogene Daten verarbeitet werden. Die Datenschutz-Folgenabschätzung ist im Prinzip nichts anderes als eine detailliertere Risikoanalyse bezogen auf diese bestimmte Verarbeitung. Für diese gibt es verschiedene zu berücksichtigende Vorgaben. Analog zur unternehmensweiten Risikoanalyse ist es ratsam, Aufzeichnungen zu Kosten/Nutzen-Erwägungen bezüglich nicht umgesetzter Massnahmen festzuhalten. So kann beispielsweise jederzeit aufgezeigt werden, dass bestimmte Massnahmen diskutiert wurden und aus welchen Gründen diese als ungeeignet oder unverhältnismässig eingestuft wurden.
Es ist ein geeignetes Sicherheitskonzept zu erstellen. Dieses hat die gemäss der Datenschutz-Folgenabschätzung als notwendig befundenen Massnahmen zu integrieren. Das Sicherheitskonzept kann natürlich auf allfällig bestehenden, übergeordneten Konzepten aufbauen. Es beschreibt die technischen und organisatorischen Massnahmen zum Schutz von Anwendung und Daten. Hier sind auch die wichtigen Umsetzungsprinzipien wie beispielsweise das Privacy-by-Default zu berücksichtigen.
In den meisten Fällen ausserhalb der öffentlichen Verwaltungen ist weiter davon auszugehen, dass Verarbeitungen von Personendaten auf der ausdrücklichen Einwilligung durch die betroffenen Personen basiert. Entsprechend ist ein Einwilligungsmanagement zu etablieren. Neben der besonders wichtigen Einwilligung selbst können in diesem Prozess auch die verschiedenen Informations- und Auskunftspflichten sowie die Rechte des betroffenen auf Widerspruch, Korrektur und Löschung integriert werden. Die Einwilligung darf übrigens durchaus rein elektronisch eingeholt werden, wobei ein doppeltes Opt-In Verfahren sowie einige Protokollierungsanforderungen umgesetzt werden sollten.
Mit Lieferanten/Autragsverarbeitern sind Datenschutz-konforme Vereinbarungen abzuschliessen. Ganz zentral dabei zu beachten ist, dass der Auftraggeber dem Auftragsverarbetier die Verantwortung für den Datenschutz nicht übertragen kann. Er bleibt in jedem Fall für die Verarbeitung der Personendaten verantwortlich. Über entsprechende Vertragsklauseln muss der Auftraggeber sicherstellen, dass der Auftragsverarbeiter keine Verarbeitungen in Drittländer ohne angemessenes Schutzniveau selbst oder über Unterlieferanten erbringt. Weiter sind im Vertrag die vom Auftragsverarbeiter umzusetzenden technischen und organisatorischen Massnahmen aufzuführen und Vorkehrungen zu treffen, welche den betroffenen Personen die Durchsetzung ihrer Rechte, wie das Recht auf Löschung, ermöglicht.

Ausblick

Damit geht unsere fünfteilige Artikelserie zu Ende. Wir hoffen, dass wir einen Überblick vermitteln konnten und die eine oder andere Information Sie bei der rechtskonformen Umsetzung von Digitalisierungs- und IT-Projekten unterstützen wird.In wenigen Wochen gilt es in der EU mit den neuen Regeln ernst. Gleichzeitig ist auch in der Schweiz die Totalrevision des Datenschutzgesetzes im Gange. Auch wenn dabei noch einige Fragen nicht im entschieden sind, lässt sich doch zuverlässig vorhersagen, dass in wenigen Monaten auch die Schweiz vergleichbare Regeln erlassen wird um die aktuell geltende Gleichwertigkeit der Schweiz beim Datenschutz, wie sie von der EU Kommission bestätigt ist, nicht zu verlieren. Damit kommen auch rein auf den Binnenmarkt ausgerichtete Unternehmen bald in den Genuss dieser Compliance-Anforderungen.

Unsere Artikelserie zum Thema

Im Lead-in Artikel haben wir auf den Handlungsbedarf aufmerksam gemacht.
Im 1. Teil der Serie führen wir die verschiedenen Akteure ein und stecken den Rahmen ab.
In Teil 2 beleuchteten wir die auf vier Säulen basierenden Prinzipien des Datenschutzes.
Teil 3 erläuterte die besonderen Auflagen für die Verarbeitung besonderer Kategorien personenbezogener Daten und des als besonders kritisch betrachteten Profiling.
Im Teil 4 beleuchteten wir gesetzlich privilegierte, erwünschte Verarbeitungsverfahren.
Dieser letzte Teil der Serie schliesst mit einem Framework zur pragmatischen und sachgerechten Umsetzung des Datenschutzes in ihrem IT-Projekt.

Über den Autor

Stefan Haller ist IT-Experte mit Spezialisierung auf Risikomanagement, Informationssicherheit und Datenschutz bei linkyard. Er unterstützt Unternehmen und Behörden bei der Risikoanalyse in Projekten, der Konzipierung und Umsetzung von Compliance-Vorgaben in Softwarelösungen sowie bei der Erstellung von IT-Sicherheits- und Berechtigungskonzepten. Er verfügt über eine Zertifizierung in Risk Management und hat über 10 Jahre als internal Auditor zahlreiche Sicherheitsaudits auf Basis des ISO-Standards 27001 durchgeführt.Haben Sie Fragen zur Umsetzung in Ihrem Unternehmen? stefan.haller@linkyard.ch | +41 78 746 51 16