14. Mai 2019

Herausforderung europäische Datenschutzverordnung

In unserer dreiteiligen Serie zum Thema Datenschutz betrachten wir, welche Hürden Schweizer Unternehmen bei der Einführung der europäischen Datenschutzverordnung bewältigen müssen. Der zweite Beitrag erläutert die allgemeinen Herausforderungen.

Für Schweizer Unternehmen ist es unerlässlich, die neuen Datenschutzverordnung der EU zu adaptieren, da die Verordnung alle Unternehmen betrifft, die in irgendeiner Form mit persönlichen Daten von Personen der EU zu tun haben. Dabei kommt es nicht darauf an, ob die Firma den Sitz in der EU oder ausserhalb hat. Einige Schweizer Firmen haben bereits Fortschritte bei der Umsetzung gemacht. Es gibt jedoch mehrere Herausforderungen im Bereich Datenschutzmanagement.

 

  1. 1. Datenschutz muss unternehmensweit gewährleistet sein

Die Bereiche Marketing und Unternehmensentwicklung müssen sich über alle Aktivitäten im Blick haben, welche persönliche Daten betreffen. Diese reichen von der Sammlung, über die Benutzung und Weiterverarbeitung bis hin zum Teilen von solchen Daten.

Der Informationssicherheitsbereich liefert Standards und Richtlinien, damit technische und operative Kontrollen durchgeführt werden können. Ziel ist die Gefahr von Beschädigung, Verlust, Modifikation oder unbefugtem Zugriff auf Systeme und Daten zu minimieren.

Für die Sicherstellung von Abstimmungen arbeitet die IT-Abteilung eng mit dem Datenschutz- und Sicherheitsteam zusammen. So kann beispielsweise das Security-Team bestimmen, wer Zugriff auf bestimmte Informationen hat, während das IT-Team dafür verantwortlich ist, diesen Berechtigten die Zugriffsrechte zu erteilen.

Die Rechtsabteilung muss wissen, dass eine Organisation faktische und rechtliche Due Diligence durchführen muss, um die Datenschutzpraktiken aufeinander abzustimmen und die rechtliche Haftung zu minimieren. Die Abteilung sollte über Kontrollen, Aufzeichnungspraktiken und Verfolgungsmechanismen verfügen.

 

  1. 2. Datenschutzbestimmungen und Richtlinien

Wie die DSGVO gezeigt hat, ist die Konzeption und die Umsetzung von Konzepten sowie Richtlinien, welche die Aktualisierung von Sicherheitsnormen gewährleisten und die Bestimmungen der DSGVO und anderer Rechtsgrundsätzen einhalten, eine weitere Herausforderung. Diese Challenge ist auch beim E-DSG zu erwarten.

 

  1. 3. Protokollerstellung von Verarbeitungsschritten

Es ist wichtig, dass Unternehmen die Geschäftsprozesse aufzeichnen und diese auf dem neusten Stand halten, damit Veränderungen im System in der Verarbeitung berücksichtigt werden und das Datenschutzteam die Lücken identifizieren und schliessen kann.

 

  1. 4. Datenschutz durch Entwurf / Datenschutz durch Vorgabe

Unter Datenschutz durch technologische Designentwicklung versteht man organisatorische und technische Massnahmen, die zur Einhaltung der Regulierungsgrundsätze ergriffen werden. Es ist notwendig, die Rechte der Einzelnen vor, während und nach der Verarbeitung personenbezogener Daten zu schützen.

Datenschutz durch datenschutzfreundliche Vorgabeeinstellungen bedeutet, dass nur jene Daten erhoben und weiterverarbeitet werden dürfen, die für einen bestimmten Zweck erforderlich sind. Neue Produkte oder Änderungen an bestehenden Produkten erfordern eine Risikobewertung. Aber auch bei bestehenden Datenverarbeitungsprozessen muss klar sein, welche Kategorie von persönlichen Daten für welchen Nutzungszweck verwendet wird.

Vor allem die Cybersicherheit spielt eine immer wichtigere und ergänzende Rolle im Thema Datenschutz. Die technischen und organisatorischen Massnahmen zum Schutz von Daten und die damit verbundene Einhaltung der Datenschutzgesetze können nur mit Hilfe eines sicheren IT-Systems umgesetzt und eingehalten werden. IT-Sicherheit wird somit zu einem festen Bestandteil bei der Einhaltung der Regulationen.

Executive School Studiengang:
Law & Management

Data Protection Officer

The new European data protection legislation (General Data Protection Regulation - GDRP) has been in force since 25 May 2018. It aims to make companies and public administrations genuinely responsible for protecting the personal data of individuals.
  1. 5. Personendaten Zugriffsrechte

Unternehmen benötigen Datenschutzrichtlinien, um einen Widerruf der Einwilligung zu akzeptieren, um eine Anfrage für den Zugriff auf die betroffenen Personen zu bearbeiten und um alle anderen Datenschutzrechte zu bearbeiten.

Unternehmen benötigen einen Prozess, damit die Richtlinie auch umgesetzt werden kann. Dafür braucht es Leute, die ausgebildet sind und deren Verantwortung es ist, sich mit diesen Prozessen in der Organisation auseinanderzusetzen.

Unternehmen benötigen ein Technologie-Datenschutzteam, damit die Technologie genutzt werden kann, um jede Zustimmung oder jeden Datensatz zu finden, die über eine Person geführt wird. Später muss das Team des Weiteren in der Lage sein, diese zu isolieren, zu ändern, zu extrahieren und zu übergeben.

Neue Technologien können die heutige IT-Infrastruktur und Anwendungen für die universelle Suche unterstützen, so dass persönliche Daten schnell gefunden und Löschaufträge beispielsweise erfolgreich bearbeitet werden können. Die betroffenen Personen haben das Recht auf freien Zugang zu ihren Daten, deren Berichtigung und das Recht, der Datenverarbeitung zu widersprechen. Um Anfragen von Betroffenen effizient bearbeiten zu vermögen, können IT-Lösungen einen systembasierten Workflow anbieten, der den Prozess vom Eingang bis zur Erledigung der Anfrage unterstützt.

 

Bild von Biljana Jovanovic auf Pixabay

 

Newsletter Signup

Please wait...

Thank you for signing up!