12. März 2018

Europäische Datenschutzgrundverordnung – Unnötiger Papiertiger oder unerlässlicher Schutz?

Seit dem 26. Mai 2016 ist die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft und muss bis zum 25. Mai 2018 umgesetzt werden. Weshalb sollte das auch die Schweiz interessieren?

Als föderalistisches, unabhängiges und neutrales Land sind wir es gewohnt, zuerst gefragt zu werden, bevor eine ausländische Regulierung übernommen – geschweige denn direkt umgesetzt – wird. Doch diesmal ist es anders. Nach fast schon US-amerikanischer Manier erliess die EU eine Datenschutzgrundverordnung mit extraterritorialer Wirkung und räumte kaum Umsetzungsspielraum für die eigenen Mitgliedstaaten ein. Neu ist, dass nicht mehr am Ort der Datenverarbeitung bzw. Datenschutzverletzung, sondern am europäischen Bürger angeknüpft wird – und zwar unabhängig davon, wo sich dieser auf der Welt befindet.

Ein Ergebnis davon ist, dass sobald ein Unternehmen personenbezogene Daten von europäischen Kunden sammelt, es in den sachlichen und räumlichen Anwendungsbereich der europäischen Datenschutzgrundverordnung fällt.

Was ist die EU-DSGVO genau?

Die EU-DSGVO ersetzt die europäische Datenschutzrichtlinie 95/46/EG und zielt darauf ab, die Datenschutzgesetze in ganz Europa zu harmonisieren, den Datenschutz aller EU-Bürger zu bewahren und zu stärken sowie die Art und Weise, wie Organisationen im Unionsgebiet mit dem Datenschutz umgehen, neu zu gestalten. Nähere Informationen zur EU-DSGVO findet man unter anderem auf der EDÖB-Website sowie auf der Homepage der jeweiligen europäischen Regulierungsbehörde (z.B. DE, AT, LI).

Umsetzung

Auch wenn man es sich anders gewünscht hätte, ist noch keine Best-Practice Empfehlung verfügbar, denn dazu fehlen schlicht die nötigen Erfahrungswerte, Gerichtsurteile oder Rundschreiben. Nachfolgend soll deshalb lediglich ein Versuch unternommen werden zu erläutern, wie mit den Schwierigkeiten der neuen rechtlichen Rahmenbedingungen umgegangen werden könnte, um sich gesetzeskonform zu verhalten.

Es gilt zunächst abzuklären, ob ein Unternehmen überhaupt von der EU-DSGVO betroffen sein wird. Ist dies der Fall, müssen alle relevanten Informationen zur neuen Regulierung zusammengetragen werden, um sich auf die Umsetzung vorzubereiten. Hierzu sind u.a. folgende Fragen zu beantworten: Wie sieht das Recht heute aus? Was wird neu gelten? Was ändert sich? Welche Verordnungsartikel betreffen uns? Welche Massnahmen müssen bzw. können ergriffen werden?

In einem zweiten Schritt müssen alle vorhandenen internen Prozesse, die personenbezogene Daten (diese umfassen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen) betreffen, eruiert werden. Auch potentielle neue Prozesse müssen, soweit möglich, bereits abgeschätzt und erfasst werden. Ziel ist es, künftig zum Beispiel die Meldepflicht bei einer Datenschutzverletzung akkurat und innert nützlicher Frist (max. 72 Stunden) oder die Löschungspflicht (Recht auf Vergessen) erfüllen zu können. Die gesammelten Informationen über die neue Regulierung und über erforderliche und mögliche Massnahmen zu sämtlichen bisherigen und neuen Prozessen sind dann bspw. in einem Umsetzungsmanual einander gegenüberzustellen, sodass jeder Mitarbeiter mögliche Pflichten und Massnahmen für sich oder seinen Bereich daraus ableiten kann. Dieses Manual kann ausserdem Teil des internen Quality-Managements werden, dessen Umsetzung mittels Kontrollmechanismen sichergestellt wird. Die Bearbeitung personenbezogener Daten muss dokumentiert werden und untersteht einer verantwortlichen Person. All diese Informationen können tabellenartig in diesem Umsetzungsmanual verankert werden.

Damit das ganze Team bzw. Unternehmen auf dem neusten Stand ist, gilt es, eine Schulung durchzuführen, in welcher das Manual vorgestellt und dessen Anwendung erläutert wird.

Was sind die Sofortmassnahmen?

Neben den ebengenannten Unterlagen und Schulungen müssen weitere Massnahmen ergriffen werden. So ist es zum Beispiel zentral, dass bereits vorhandene Daten analysiert werden. Mit anderen Worten: Es gilt sicherzustellen, dass personenbezogene Daten nur zu einem bestimmten Zweck und mit der Zustimmung der betroffenen Person erfasst werden. Minimalismus ist hier das Zauberwort. Nur diejenigen Daten, welche wirklich erforderlich sind, dürfen erhoben werden. Darüber hinaus gehende Informationen sollten nicht abgefragt werden.

Ferner müssen – sofern das Unternehmen von diesen Gesetzesbestimmungen betroffen ist – sowohl ein interner Datenschutzbeauftragter sowie unter Umständen ein europäischer Datenschutzvertreter ernannt werden. Ersterer soll als Kompetenzzentrum innerhalb eines Unternehmens agieren und die regulierungskonforme Datenverarbeitung überwachen sowie als Anlaufstelle bei Unklarheiten dienen. Letzterer soll Anlaufstelle für europäische Behörden sein, welche mit dem Unternehmen in Kontakt treten möchten. Diese Position ist lediglich dann zu besetzen, wenn das Unternehmen keine europäische Niederlassung und deshalb auch keine Ansprechperson im europäischen Raum hat.

Was passiert, wenn die EU-DSGVO nicht eingehalten wird?

Die neuen Sanktionen sind harsch und einschneidend, drohen doch Bussen bis zu EUR 20 Mio. bzw. 4% des weltweiten Jahresumsatzes, wobei der jeweils höhere (!) Betrag zur Anwendung gelangt. Darüber hinaus besteht für das betroffene Unternehmen ein massives Risiko von Reputationsschäden.

Wie die Durchsetzung und Vollstreckung dieser europäischen Regulierung im Einzelnen aussehen wird, muss sich in Präzedenzfällen erst noch zeigen. Unter Umständen werden Schweizer Behörden gegebenenfalls wohl auch Amtshilfe leisten müssen.

Mögliche weitere Massnahmen

Als weitere mögliche Massnahmen könnten unter anderem die Pseudonymisierung und Verschlüsselung der Daten in Erwägung gezogen werden, insbesondere dann, wenn es sich um besonders schützenswerte Daten handelt. Ferner müssen die Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Daten und der Datenverarbeitung in einem Unternehmen gewährleistet werden, unter anderem durch eine beschränkte Zugangsfreigabe oder einen Virenschutz. Damit diese Massnahmen stets aktuell bleiben, ist ausserdem eine regelmässige Überprüfung, Messung und Bewertung der Wirksamkeit der Massnahmen zur Gewährung der Sicherheit empfehlenswert. Wie oft diese Überprüfung und wie umfassend diese Schutzmassnahmen sein müssen, hängt von der Sensitivität der Daten ab und bedarf einer Beurteilung im jeweiligen Einzelfall.

Schlussgedanke

Abschliessend ist festzuhalten, dass durch die Digitalisierung viele neue Gefahren und Möglichkeiten für den Missbrauch von Daten geschaffen werden. Es ist deshalb wichtig, dass jeder geschützt wird, zum Teil auch vor sich selbst. Denn es kommt nicht selten vor, dass betroffene Personen das Ausmass und die Gefahren einer autorisierten Weiter- oder Freigabe ihrer Daten im Netz nicht genügend einschätzen können. Dennoch scheint mir die vorliegende europäische Lösung in Bezug auf den dadurch entstehenden bürokratischen Aufwand etwas über das Ziel hinauszuschiessen – insbesondere in Bezug auf die hohen Bussen. Wir dürfen gespannt bleiben, wie die Schweizer Gesetzgebung diesem Problem begegnet und den Inhalt der EU-DSGVO in die Revision des Datenschutzgesetzes einfliessen lassen wird.

 

Bild: Istockphotos

 

Don't miss our updates

Don't miss our updates - sign up to our weekly newsletter.

Please wait...

Thank you for signing up to our updates!