Wenn ein Unternehmen keine Daten erfasst oder besser sicherstellen kann, dass die erfassten Daten ausschliesslich von Bürgern und Bürgerinnen mit Sitz in der Schweiz stammen, dann ist dieser DSGVO Beitrag uninteressant. Oder doch nicht?
Zuerst zu den Fakten: Am 25. Mai 2018 tritt in der EU das neue Datenschutzgesetz DSGVO (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)) in Kraft. Auf den ersten Blick könnte man meinen, dass uns dies nicht betrifft, denn das Datenschutzgesetz in der Schweiz stammt aus dem Jahre 1993 und ist nach wie vor gültig und hat sich auch nicht geändert.
DSGVO wird auch ausserhalb der EU durchgesetzt
Die Schwierigkeit liegt hier vor allem in Onlinebereich, wo die Herkunft der Daten und die Lokalisierung deren Inhaber nicht immer ganz einfach ist. Sie können nicht sicherstellen, dass sich jemand von ausserhalb der Schweiz auf Ihrer Webseite aufhält. Sobald die Webseite mit z.B. Google Analytics gekoppelt ist, werden Daten gesammelt. Wenn die Webseite nun noch Formulare enthält und gezielt Daten gesammelt werden, ist der Webseitenbetreiber in der Pflicht. Das maximale Strafmass liegt bei 20 Mio. Euro oder 4% des globalen Jahresumsatzes.
Kühlen Kopf bewahren
Das neue Gesetz tritt am 25. Mai 2018 in Kraft. Es ist ratsam sich dazu Gedanken zu machen und die notwendigen Vorkehrungen zu treffen aber nicht in Hysterie zu verfallen. Je nach IT-Umgebung und Datenintensität kann sich dieses Thema zu einem grösseren Projekt entwickeln. Dies gilt vor allem in Bezug auf die Anforderungen, wie der Prozess umgesetzt werden muss, wenn es denn jemals zu einer Klage kommen sollte. Der Knackpunkt liegt hier vor allem in den gewachsenen Infrastrukturen, wo einzelne Datensätze manuell von einem System zum anderen geführt kopiert und nicht mit einem einzelnen Knopfdruck gelöscht werden können. Die Transparenz über die eigenen Daten sind wohl das grösste Handicap.
DSGVO in letzter Minute
Es lohnt sich diese sieben Sofortmassnahmen bis zum Startdatum noch einzuleiten und umzusetzen:
- Stellen Sie sicher, dass die Webseite ein Impressum mit der verantwortlichen Person enthält.
- Überprüfen Sie, welche externen Datenquellen mit der Webseite verbunden ist (Google Analystics, Facbook Pixel, etc.)
- Passen Sie die Datenschutzerklärung so an, dass sie eine Einwilligungserklärung für eben diese Apps etc. enthält.
- Definieren Sie einen Datenschutz-Vertreter, welcher bei Anfragen kontaktiert werden kann.
- Wenn Sie Daten extern verarbeiten lassen, stellen Sie sicher, dass die Datenverarbeitung vertraglich abgesichert ist und den notwendigen Vorgaben entspricht.
- Behandeln Sie allfällige Anfragen von betroffenen Personen speditiv.
- Planen Sie die systematische Umsetzung der DSGVO und verfolgen Sie die Entwicklung in der Schweiz.
Wie gehen Sie in der Umsetzung vor?
In einem ersten Schritt machen Sie eine Datenfluss-Analyse. Wo werden überall personenbezogene Daten im Unternehmen erfasst, verarbeitet und gespeichert? Die Erkenntnisse halten Sie schriftlich fest. Folgende Informationen sind relevant:
- Den Namen und die Einzelheiten Ihres Unternehmens, jeden für Sie handelnden Kontrolleurs, den Vertreter des Kontrolleurs (falls zutreffend), Ihren Vertreter und den Datenschutzbeauftragten);
- Kategorien der Verarbeitung, die im Auftrag jedes für die Verarbeitung Verantwortlichen durchgeführt wird;
- Einzelheiten der Überführung in Drittländer, einschließlich der Dokumentation der gegebenenfalls bestehenden Schutzmaßnahmen für den Übergabemechanismus, und
- soweit möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.
- Bei weniger als 250 Mitarbeitern, müssen diese Aufzeichnungen nur aufbewahrt werden, wenn die Aktivitäten:
– nicht nur gelegentlich vorkommen
– zu einer Gefährdung der Rechte und Freiheiten des Einzelnen führen könnten; oder
– die Verarbeitung besonderer Datenkategorien oder Daten über strafrechtliche Verurteilungen und Straftaten betreffen.
Sie können verpflichtet werden, diese Unterlagen dem ICO auf Anfrage zur Verfügung zu stellen.
Als nächsten Punkt erstellen Sie eine Datenschutz-Richtlinie und führen diese im Unternehmen ein. Jeder Mitarbeiter, jede Mitarbeiterin muss diese Richtlinien kennen und anwenden können. Wenn sichergestellt ist, dass ein Datenschutzbeauftragter und Verantwortliche definiert sind, ist es an der Zeit sich Gedanken zu machen, wie mit allfälligen Datenschutz-Risiken umgegangen werden soll. Eine grosse Hilfe sind dabei definierte Prozesse, welche transparent aufzeigen, wie man sich vor den Risiken schützt oder wie allfällige Anfragen effizient gelöst werden können.
Dauerthema DSGVO
Das Augenmerk punkto DSGVO sollten sie gleich handhaben, wie eine ISO Zertifizierung und Re-Zertifizierung. Die Mitarbeitenden müssen sensibilisiert und geschult werden. Es reicht dabei nicht aus, eine einmalige Schulung zu machen, man muss das Thema wiederholen, immer und immer wieder.
Weitergehende Informationen finden Sie hier: http://ec.europa.eu/justice/smedataprotect/index_de.htm
Roger Meili, CEO/Inhaber, ProfileMedia AG – Content- und Inbound Marketing Agentur – www.profilemedia.ch – Hubspot All-in-One Marketing Platin Partner
Claudia Gabler
Claudia Gabler ist eine erfahrene Kommunikationsexpertin mit Schwerpunkt auf Unternehmenskommunikation und Markenstrategie. Sie hat umfangreiche Erfahrung in der Entwicklung und Umsetzung von Kommunikationskampagnen für verschiedene Branchen. Claudia Gabler ist bekannt für ihre Fähigkeit, komplexe Inhalte klar und ansprechend zu vermitteln, und hat in ihrer Karriere zahlreiche Unternehmen bei der Verbesserung ihrer internen und externen Kommunikation unterstützt.