Änderungen im Datenschutz:
Was kommt ab 2018 auf Unternehmen zu?

Durch digitale Medien sammeln Unternehmen massenweise personenbezogene Daten, die zur Optimierung verschiedener Geschäftsprozesse genutzt werden. Bisher konnten diese Daten ohne grosse Einschränkungen erhoben, verarbeitet und gespeichert werden. Bald ist dem nicht mehr so. 

Datenschutz (2).jpg

Ab dem 25. Mai 2018 wird die Europäische Union die überarbeitete Datenschutz-Grundverordnung (DSGVO) für alle Mitgliedsstaaten einführen um den Schutz personenbezogener Daten im digitalen Datenverkehr sicherzustellen. Die neue Verordnung betrifft auch Schweizer Firmen die grenzübergreifend Daten erheben. 
 

Die zentralen Punkte der DSGVO:

Ab Einführung haben EU-Bürgerinnen und -Bürger das Recht,

  • transparent über die Datenerhebung informiert und explizit zu deren Zustimmung aufgefordert zu werden. Versteckte Hinweise in den AGBs sind nicht mehr zulässig. 
  • erhobene Daten der eigenen Person in einer elektronischen Form zur Verfügung gestellt zu bekommen. 
  • die Daten mitzunehmen oder die Firma zur Weiterreichung zu beauftragen. 
  • erhobene Daten aus der Firmendatenbank dem eigentlichen Zweck zu entfremden oder löschen zulassen.

Für Unternehmen bedeutet dies, 

  • den Schutz personenbezogener Daten in allen technischen und organisatorischen Prozessen einzubinden. (Privacy by Design) 
  • Datenschutzverletzungen innerhalb von 3 Tagen einer Aufsichtsbehörde mitzuteilen.
  • es wird nur noch eine verantwortliche Aufsichtsbehörde geben, die sich in der Regel nach dem Ort der Hauptniederlassung einer Firma richtet.
  • bei einer hohen Datenverarbeitung und Kerngeschäft in der Analyse von personenbezogenen Daten ist ein betriebsinterner oder externer Datenschutz-Verantwortlicher zu bestimmen.
5 Schritte zur Umstellung auf die neue Datenschutz-Grundverordnung
1. Meeting mit Abteilungsverantwortlichen zur Vorbereitung und Kommunikation sowie Planung der Umstellung.

2. Erarbeitung der Situationsanalyse:

auf organisatorischer Ebene z.B.: 

  • Welche Personen / Abteilungen erheben personenbezogene Daten?
  • In welchen Ländern werden Daten erhoben?
  • Wie werden Daten intern und extern kommuniziert?
  • Gibt es Datenschutz-Verantwortliche?

 

und auf technischer Ebene z.B.:

  • Welche Softwareprogramme werden genutzt? 
  • Wie werden Daten verarbeitet und gespeichert?
  • Welche Sicherheitsvorkehrungen / Verschlüsselungen bestehen?
  • Werden dem Endkonsumenten Datenerhebungen mitgeteilt?
3. Abgleich der Situationsanalyse mit dem Datenschutzgesetz und Ermittlung der Optimierungsbereiche.
4. Erstellen eines ganzheitlichen Datenschutzkonzepts und Optimierung bestehender Defizite.
5. Regelmässige Kontrolle, Anpassung und Dokumentation des Datenschutzes. 
Mit einer Cyberversicherung auf Nummer Sicher gehen?                            → JETZT OFFERTEN ERHALTEN

Totalrevision im Schweizer Datenschutz

Die Schweiz ist durch Abkommen mit der EU und dem Europarat verpflichtet, ihr Datenschutzgesetz (DSG) anzupassen, um als vollwertiger Drittstaat anerkannt zu bleiben und um die internationale Wettbewerbsfähigkeit Schweizer Unternehmen auch zukünftig zu sichern. Der totalrevidierte Entwurf des Datenschutzgesetzes wurde am 15. September 2017 bekannt gegeben und soll voraussichtlich im August 2018 in Kraft treten. Nachfolgend werden die wichtigsten Anpassungen zusammengefasst: 

Informations- und Auskunftspflichten
Betroffenen Personen soll der Bearbeitungszweck und die Weitergabe personenbezogener Daten an Drittparteien transparent aufgezeigt werden.

Eidgenössischen-Datenschutzbehörde (EDÖB)
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte wird eine zentrale Rolle als Beratungs-, Ansprech- und Aufsichtsinstanz einnehmen. Neben der Beratungstätigkeit kann die EDÖB Untersuchungen einleiten und vorsorgliche Massnahmen anordnen sowie Verfügungen erlassen. 

Branchenspezifischer Verhaltenskodex
Berufs- und Wirtschaftsverbände können branchenspezifische Datenschutz-Massnahmen in einem Verhaltenskodex zusammenfassen und dem Datenschutzbeauftragten vorlegen.

Datenschutz-Folgenabschätzung
Besteht ein erhöhtes Risiko in der Datenbearbeitung, so sind Datenschutz-Vorkehrungen auf technischer sowie organisatorischer Ebene schon im Vorfeld zu treffen. Ausgenommen sind Unternehmen, die einen Verhaltenskodex folgen oder deren Datensystem vom Hersteller zertifiziert wurde. 

Datenschutzberater
Unternehmen können einen internen oder externen Datenschutzberater bestimmen, der sich unabhängig, fachkundig und ausschließlich der Gewährleistung des Datenschutzes widmet. Dadurch können administrative Aufwände für Meldepflichten bei der Aufsichtsbehörde minimiert werden.

Strafrechtliche Sanktionen:
Wird das DSG verletzt so können Verantwortliche mit einer Busse von maximal 250’000 CHF bestraft werden. 

Nick Swerissen

GRYPS Offertenportal AG
Obere Bahnhofstrasse 58
8640 Rapperswil
055 211 05 30
www.gryps.ch

Nick Swerissen arbeitet bei der GRYPS Offertenportal AG in den Bereichen Content Creation, SEO und Leadmanagement.

zurück