Einheitlicher Datenschutz, auch in der Schweiz

Einheitlicher Datenschutz, auch in der Schweiz

Artikel erschienen in IT Magazine 2018/04

Was verlangt die DSGVO von mir als KMU?

Wenn ein KMU aufgrund einer dieser Fälle der DSGVO untersteht, so muss es die Anforderungen der DSGVO jeweils für diejenigen Datenbearbeitungen einhalten, die mit der betreffenden Tätigkeit einhergehen. Die Anforderungen der DSGVO lassen sich etwa wie folgt einteilen:
Anforderungen an die Transparenz: Wer die DSGVO einhalten muss, muss die betroffenen Personen über die Datenbearbeitung informieren. Das betrifft zum Beispiel Endkunden und Mitarbeiter, aber auch Bewerber und Kontaktpersonen bei Kunden und Lieferanten.
Anforderungen an die Organisation: Wie bereits erwähnt verlangt die DSGVO bestimmte organisatorische Vorkehrungen, etwa die Bestellung eines Vertreters in der EU (sofern das Unternehmen in der EU keine Niederlassung hat) und gegebenenfalls die Bestellung eines Datenschutzbeauftragten. Daneben verlangt die DSGVO teils ausdrücklich, teils der Sache nach weitere Vorkehrungen. Wichtig ist zum Beispiel eine Datenschutzweisung, mit der zumindest die wesentlichen Grund­sätze im Unternehmen verankert werden. Das Unternehmen muss sicherstellen, dass die relevanten Personen die Weisung kennen und einhalten können, zum Beispiel durch Schulungen. Je nach Tätigkeit und Grösse des Unternehmens sind weitere Weisungen und Prozessdefinitionen erforderlich, zum Beispiel zur Sicherstellung des Auskunftsrechts oder des korrekten Umgangs mit Datenschutzpannen. Und von zentraler Bedeutung ist die Dokumentation: Die Beweislast für die Einhaltung der DSGVO liegt bei den Unternehmen, die in datenschutzrechtlichen Belangen deshalb einer umfassenden Dokumentationspflicht unterliegen.
Anforderungen an die Planung der Datenbearbeitung: Die DSGVO verlangt, dass dem Datenschutzrecht von Anfang an Rechnung getragen wird, also schon in der Planungsphase. Wer eine Software entwickelt, mit der Personendaten bearbeitet werden sollen (z.B. eine Mobile App, mit der Gesundheitsdaten gesammelt und ausgewertet werden), muss daher bereits in der Entwicklungsphase darauf achten, die Bearbeitung soweit wie möglich einzuschränken, um den Schutz der Personendaten sicherzustellen. Generell ist die Einhaltung des Datenschutzrechts nur möglich, wenn der Datenschutz in den Prozessen der Unternehmen verankert wird.
Anforderungen an die Datenbearbeitung selbst: Personendaten dürfen nach der DSGVO nur im Einklang mit bestimmten Grundsätzen bearbeitet werden. Ausgangspunkt ist der Grundsatz der Rechtmässigkeit: Personendaten dürfen nur bearbeitet werden, wenn dafür eine rechtliche Grundlage besteht (zum Beispiel ein gesetzliches Erfordernis; Erforderlichkeit für einen Vertrag; überwiegendes Interesse; Einwilligung). Besonders wichtig ist auch der Grundsatz der Zweckbindung: Personendaten dürfen nur für diejenigen Zwecke bearbeitet werden, die den betroffenen Personen mitgeteilt wurden (z.B. in einer Datenschutzerklärung). Der Grundsatz der Verhältnismässigkeit verlangt schliesslich, dass Personendaten nur so verarbeitet werden, wie es für den Zweck der Bearbeitung notwendig ist; das verlangt unter anderem, den Umfang der Personendaten zu minimieren, die Dauer der Speicherung zu begrenzen und den Zugang zu Personendaten auf das notwendige einzuschränken.
Rechte der betroffenen Personen: Bearbeitet ein Unternehmen Daten einer bestimmten Person, so stehen dieser Person einige Rechte zu, die man Betroffenenrechte nennt. Dazu gehören das Auskunftsrecht, das Recht auf Berichtigung beziehungsweise Vervollständigung, gegebenenfalls das Recht auf Löschung und gegebenenfalls das Recht auf Datenportabilität.
Anforderungen an die IT: Datenschutzrecht ist nicht primär ein IT-Thema. Die Umsetzung der DSGVO verlangt aber in organisatorischer und in technischer Hinsicht einiges von der IT. Es muss beispielsweise möglich sein, sämtliche Personendaten einer bestimmten Person in allen Systemen innerhalb einer Frist von ein bis zwei Wochen aufzufinden und zusammenzutragen; anders können die Betroffenenrechte nicht gewahrt werden. Ein Unternehmen muss zudem sicherstellen, dass Datenschutzpannen rechtzeitig bemerkt und richtig eskaliert werden. Wichtig ist auch das Thema Löschung: Die DSGVO verlangt, dass Personendaten gelöscht werden, wenn diese Daten für die Zwecke der Bearbeitung nicht mehr notwendig sind und auch keine Aufbewahrungspflicht besteht. Unternehmen werden deshalb über ein Löschkonzept verfügen müssen, das die anwendbaren gesetzlichen Aufbewahrungsfristen festlegt und unter anderem regelt, wann, wo und wie Daten zu löschen sind (wobei sich die Löschpflicht grundsätzlich auch auf Backups und Archivierungskopien bezieht). Wichtig ist schliesslich auch die Gestaltung von Applikationen, die beispielsweise in der Lage sein müssen, den betroffenen Personen die erforderlichen Informationen zu übermitteln und Einwilligungen zu dokumentieren.

Bei all diesen Anforderungen darf das Augenmass nicht verloren gehen. Die DSGVO verlangt effektiven Datenschutz, kein Strebertum. Unternehmen müssen den Datenschutz daher ernst nehmen und ihre Bemühungen dokumentieren, Perfektionismus ist aber nicht verlangt.

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER