Einheitlicher Datenschutz, auch in der Schweiz

Einheitlicher Datenschutz, auch in der Schweiz

Artikel erschienen in IT Magazine 2018/04

Was soll ich als KMU konkret unternehmen?

Bevor mit der Umsetzung der DSGVO begonnen wird, muss sich ein KMU überlegen, ob es die DSGVO überhaupt einhalten muss. Dazu gehört die Abklärung, ob die DSGVO (nach den vorne genannten Grundsätzen) auf das Unternehmen anwendbar ist. Doch selbst wenn sie es nicht ist, können Gründe dafür sprechen, die DSGVO umzusetzen: Zunächst befindet sich, wie eingangs erwähnt, auch das schweizerische Datenschutzgesetz (DSG) in Revision, und es ist davon auszugehen, dass die Regelungen inhaltlich nahe bei der DSGVO liegen werden. Wer die DSGVO umsetzt, wird daher auch das DSG einhalten können. Sodann werden schweizerische KMU besonders im IT-Bereich von Kunden angehalten werden, bestimmte Verträge zu schliessen, die sich deshalb auf DSGVO-Niveau befinden, weil diese Kunden ihrerseits die DSGVO umsetzen. Und schliesslich kann ein Unternehmen aus Reputationsgründen beschliessen, grundsätzlich die DSGVO anzuwenden.

Will ein Unternehmen die DSGVO umsetzen, hat sich etwa das folgende Vorgehen bewährt:
Projektplanung: Auch bei kleineren Projekten ist eine gute Planung sinnvoll – nicht nur, weil eine erfolgreiche Umsetzung der DSGVO ohne Planung nicht möglich ist, sondern auch mit Blick auf die Dokumentationspflichten.
Erhebung des Ist-Zustands: Aus zwei Gründen empfiehlt es sich, in einer frühen Phase des Projektes die bestehende Datenbearbeitung zu dokumentieren: Zum einen wird damit die Grundlage für eine Risikobeurteilung und Massnahmenplanung gelegt. Zum anderen verlangt die DSGVO ausdrücklich, dass über die Datenbearbeitung laufend Buch geführt wird. Das Unternehmen sollte seine Datenbearbeitungen deshalb auf Basis von Fragebogen erfassen. Dafür ist keine High-Tech-Lösung erforderlich; Word oder Excel genügt jedenfalls bei KMU vollauf.
Transparenz: Unternehmen sollten frühzeitig damit beginnen, die gebotene Transparenz herzustellen – das ist nicht nur mit Blick auf Reputationsrisiken wichtig, sondern auch zum Schutz der betroffenen Personen. Die Ausarbeitung geeigneter Datenschutzerklärungen ist daher erforderlich.
Ausarbeitung der organisatorischen Grundlagen: Parallel zur Erhebung des Ist-Zustands kann das Unternehmen damit beginnen, die organisatorischen Grundlagen auszuarbeiten, das heisst mit dem Entwurf der erforder­lichen – in der Planungsphase bestimmten – Richtlinien, Weisungen und Prozesse.
Ausarbeitung weiterer Dokumentation: In vielen Fällen werden weitere Unterlagen vorbereitet werden müssen, zum Beispiel neue oder angepasste Verträge, Verträge innerhalb von Unternehmensgruppen (Stichworte sind "grenzüberschreitender Datenverkehr" und "gruppeninterne Dienstleistungen") oder Musterkorrespondenz.
Weitere Massnahmen: Je nach Tätigkeit des KMU und je nachdem, wie gut der Datenschutz bereits verankert ist, können weitere Massnahmen erforderlich sein, zum Beispiel die Einholung neuer oder zusätzlicher Einwilligungen, die Anpassung oder sogar Einstellung bestimmter Datenbearbeitungen oder der Abschluss weiterer Verträge. Diese Massnahmen können bestimmt und geplant werden, wenn der Ist-Zustand festgestellt worden ist.

Wichtig ist wiederum ein Vorgehen mit Augenmass. Die Anforderungen an ein Umsetzungsprojekt unterscheiden sich erheblich nach dem Risikoprofil des Unternehmens, nach seiner Tätigkeit, nach Art und Umfang der bearbeiteten Daten, nach dem gegenwärtigen Stand seiner Datenschutz-Compliance oder nach den Anforderungen seiner Lieferanten und Kunden. Das ist bei der Planung und der Priorisierung der Massnahmen im Auge zu behalten. Bei kleineren KMU lässt sich eine vernünftige Umsetzung oft mit relativ wenig Aufwand und überschaubaren Kosten erreichen.

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
SPONSOREN & PARTNER