DSGVO (Schweiz) Teil 2 – „Spielregeln“
Mit der Datenschutzverordnung soll bezweckt werden, dass Unternehmen bewusster mit Personendaten umgehen.
Wo fangen wir an?
Vielleicht mal gleich mit den Ausnahmen und mit ein paar Fragen & Antworten:
Also einfacher halber gehe ich davon aus, dass alle Schweizer Firmen die EU-DSGVO einhalten sollten.
- Schon alleine deshalb, weil auch die Schweiz bald (im Herbst 2018) mit einem revidierten Schweizer Datenschutzgesetz nachrücken wird. Also wieso nicht jetzt schon den Vorsprung sichern?
- Und ich überzeugt bin, dass die allermeisten Firmen Leistungen auch an Kunden in der EU direkt oder indirekt anbieten (z.B. auch ein Newsletter an EU-Bürger)
- Und das Verhalten von Personen in der EU analysieren (z.B. durch Tracking auf der Firmenwebseite oder über Newsletter Tracking).
Eine Frage, die oft gestellt wird, ist ob jede Firma (die die DSGVO einhalten muss) einen Datenschutz-Vertreter in der EU benötigt?
Nein, es gibt Ausnahmen.
Erfüllen Sie alle folgende drei Voraussetzungen benötigen Sie keinen Datenschutz-Vertreter in der EU:
- Die Datenverarbeitung erfolgt nur gelegentlich,
- und es findet keine umfangreiche Verarbeitung von besonders schützenswerten Daten statt,
- und die Datenverarbeitung unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Was sind personenbezogene Daten?
Daten sind dann personenbezogen, wenn Sie eindeutig einer Person zugeordnet werden können oder diese Zuordnung zumindest mittelbar erfolgen kann (z.B. wenn eine Person nicht namentlich genannt wird, aber anhand einer Beschreibung klar identifiziert wird.
In der EU gehören personenbezogenen Daten zu einer natürliche Person. In der Schweiz jedoch umfasst die DSGVO auch juristische Personen.
Jetzt zum Thema DSGVO in Ihrer Firma
Diese Grundsätze müssen Sie einhalten und kennen
- Rechtmässigkeit der Datenverarbeitung
Die Verarbeitung personenbezogener Daten ist dann rechtssicher, wenn die betroffene Person Ihre Einwilligung ausdrücklich erklärt hat (das geht auch mündlich, aber beweisen Sie es später mal?).
Tipp: Ich würde auf jedem Online-Formular oder in E-Mail/Newsletter eine Einwilligungserklärung mit dem Hinweis auf Widerrufsrecht platzieren und mit einer Checkbox (die aber nicht im vorab bereits angeklickt ist) versehen.
- Zweckbindung
Schreiben Sie auch eindeutig, wie Sie die Daten einsetzen werden. Z.B. nur für den Newsletter und ob Sie die Daten weiterreichen. Denn einer Weiterverarbeitung der Daten steht nichts im Wege, sofern sie nicht mit der ursprünglichen Abmachung in Konflikt steht.
- „Privacy by design“ und „Privacy by default“
Bereits bei der Planung der Datenverarbeitung müssen die Einhaltung der DSGVO sichergestellt werden. Da spricht man von Privacy by design beim schützen der Daten der betroffenen Personen und Privacy by default wo Voreinstellungen gewährleisten, dass nur Daten erhoben werden, die für die jeweilige Zweckbindung erforderlich sind.
- Ein Verarbeitungsverzeichnis erstellen
Ein Verfahrensverzeichnis ist eine Übersicht über den Zweck der Datenverarbeitung, Löschfristen, Datenempfänger usw. z.B.
- Wer ist betroffen?
- Welche Daten in welchem Umfang kommen von woher, wie werden Sie verarbeitet und wohin leiten Sie diese Daten weiter?
- Wie lange werden die Daten gespeichert?
- Welche Software verarbeitet diese Daten?
- Sicherheitsaspekte wie Zugang zu den Daten, Verschlüsselung, Wiederherstellung, Kommunikation der Daten, etc.
- Wer in der Firma ist für das Verzeichnis verantwortlich (und kann es innert 72 Stunden auf Anweisung zur Verfügung stellen)
Tipp: Erstellt Prozesse damit ihr alle Verarbeitungen und deren „Satelliten“ visuell sieht und genau dokumentieren könnt. Es gibt viele kostenlose Prozesstools (einfach in Google suchen)
- Vorbereitet sein
Die Mechanismen und Kontaktdaten an wen Sie sich wenden müssen bei Verletzungen des Datenschutzes (z.B. bei Datenklau, etc.).
Es besteht nur dann keine Meldepflicht, wenn ein Risiko für Rechte und Freiheiten von Individuen unwahrscheinlich ist. Häufig müssen auch die betroffenen Personen benachrichtigt werden.
Wie können Sie die Daten einer Person zeitnah exportieren. Da jede Person, deren Daten verwendet wurden, ein Recht auf diese Export hat.
Achtung in eigener Sache: Das sind nur Ratschläge. Sie sind selber für die Einhaltung der Normen und Gesetze verantwortlich – ich trage und übernehme keinerlei Verantwortung.