Wenn ein Unternehmen keine Daten erfasst oder besser sicherstellen kann, dass die erfassten Daten ausschliesslich von Bürgern und Bürgerinnen mit Sitz in der Schweiz stammen, dann ist dieser DSGVO Beitrag uninteressant. Oder doch nicht?
Zuerst zu den Fakten: Am 25. Mai 2018 tritt in der EU das neue Datenschutzgesetz DSGVO (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)) in Kraft. Auf den ersten Blick könnte man meinen, dass uns dies nicht betrifft, denn das Datenschutzgesetz in der Schweiz stammt aus dem Jahre 1993 und ist nach wie vor gültig und hat sich auch nicht geändert.
Die Schwierigkeit liegt hier vor allem in Onlinebereich, wo die Herkunft der Daten und die Lokalisierung deren Inhaber nicht immer ganz einfach ist. Sie können nicht sicherstellen, dass sich jemand von ausserhalb der Schweiz auf Ihrer Webseite aufhält. Sobald die Webseite mit z.B. Google Analytics gekoppelt ist, werden Daten gesammelt. Wenn die Webseite nun noch Formulare enthält und gezielt Daten gesammelt werden, ist der Webseitenbetreiber in der Pflicht. Das maximale Strafmass liegt bei 20 Mio. Euro oder 4% des globalen Jahresumsatzes.
Das neue Gesetz tritt am 25. Mai 2018 in Kraft. Es ist ratsam sich dazu Gedanken zu machen und die notwendigen Vorkehrungen zu treffen aber nicht in Hysterie zu verfallen. Je nach IT-Umgebung und Datenintensität kann sich dieses Thema zu einem grösseren Projekt entwickeln. Dies gilt vor allem in Bezug auf die Anforderungen, wie der Prozess umgesetzt werden muss, wenn es denn jemals zu einer Klage kommen sollte. Der Knackpunkt liegt hier vor allem in den gewachsenen Infrastrukturen, wo einzelne Datensätze manuell von einem System zum anderen geführt kopiert und nicht mit einem einzelnen Knopfdruck gelöscht werden können. Die Transparenz über die eigenen Daten sind wohl das grösste Handicap.
Es lohnt sich diese sieben Sofortmassnahmen bis zum Startdatum noch einzuleiten und umzusetzen:
In einem ersten Schritt machen Sie eine Datenfluss-Analyse. Wo werden überall personenbezogene Daten im Unternehmen erfasst, verarbeitet und gespeichert? Die Erkenntnisse halten Sie schriftlich fest. Folgende Informationen sind relevant:
Sie können verpflichtet werden, diese Unterlagen dem ICO auf Anfrage zur Verfügung zu stellen.
Als nächsten Punkt erstellen Sie eine Datenschutz-Richtlinie und führen diese im Unternehmen ein. Jeder Mitarbeiter, jede Mitarbeiterin muss diese Richtlinien kennen und anwenden können. Wenn sichergestellt ist, dass ein Datenschutzbeauftragter und Verantwortliche definiert sind, ist es an der Zeit sich Gedanken zu machen, wie mit allfälligen Datenschutz-Risiken umgegangen werden soll. Eine grosse Hilfe sind dabei definierte Prozesse, welche transparent aufzeigen, wie man sich vor den Risiken schützt oder wie allfällige Anfragen effizient gelöst werden können.
Das Augenmerk punkto DSGVO sollten sie gleich handhaben, wie eine ISO Zertifizierung und Re-Zertifizierung. Die Mitarbeitenden müssen sensibilisiert und geschult werden. Es reicht dabei nicht aus, eine einmalige Schulung zu machen, man muss das Thema wiederholen, immer und immer wieder.
Weitergehende Informationen finden Sie hier: http://ec.europa.eu/justice/smedataprotect/index_de.htm
Roger Meili, CEO/Inhaber, ProfileMedia AG – Content- und Inbound Marketing Agentur – www.profilemedia.ch – Hubspot All-in-One Marketing Platin Partner