Datenschutz: An GDPR und DSG kommt niemand vorbei!

2018 tritt das neue Datenschutzgesetz der EU in Kraft, die General Data Protection Regulation (GDPR). Auch das schweizerische Datenschutzgesetz (DSG) wird angepasst. Beide Gesetzgebungen haben massive Auswirkungen auf Schweizer Unternehmen.

Die General Data Protection Regulation wird sich auf Sie und Ihren Arbeitsalltag auswirken, egal in welchem Unternehmensbereich Sie arbeiten. Ob Daten zu Mitarbeitenden oder Informationen zu Lieferanten und Kunden – wenn Sie persönliche Daten verarbeiten, speichern oder nutzen, wird die GDPR Ihre Arbeitsweise zwangsläufig verändern und es liegt in Ihrer Verantwortung, diese entsprechend anzupassen.

Was ist die GDPR?
GDPR steht für General Data Protection Regulation. Im deutschsprachigen Raum wird von der Datenschutzgrundverordnung der Europäischen Union gesprochen (EU-DSGVO). Das neue Datenschutzrecht der EU tritt per 25. Mai 2018 in allen EU-Mitgliedsstaaten in Kraft. Die GDPR vereinheitlicht EU-weit die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der EU sichergestellt, andererseits der freie Datenverkehr innerhalb des europäischen Binnenmarkts gewährleistet werden.

Definition personenbezogener Daten
Personenbezogene Daten beschreiben alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden «betroffene Person» genannt) beziehen. Darunter fallen neben dem eigentlichen Namen auch Daten wie beispielsweise IP-Adressen, Nutzer-IDs oder User-IDs.

Definition Verarbeitung
Mit «Verarbeitung personenbezogener Daten» sind alle Massnahmen gemeint, die mit den personenbezogenen Daten durchgeführt werden, unabhängig davon, ob automatisiert oder manuell. Unter «Verarbeiten» wird unter anderem das Sammeln, Aufzeichnen, Ordnen, Speichern, Verändern, Betrachten, Nutzen, Veröffentlichen, Verbinden oder Löschen dieser Daten verstanden.

Wer ist davon betroffen?
Betroffen sind die Mitgliedsstaaten der Europäischen Union sowie Unternehmen und öffentliche Stellen ausserhalb der EU, die Personendaten von EU-Bürgern verarbeiten oder Waren und Dienstleistungen im europäischen Markt anbieten. Schweizer Unternehmen sind in zweifacher Hinsicht betroffen: Erstens werden sie in zahlreichen Fällen direkt dem Recht der Europäischen Union unterstellt sein, auch wenn die Bearbeitung der Daten in der Schweiz stattfindet. Zweitens wird das neue EU-Recht auch in der laufenden Revision des schweizerischen Datenschutzrechts berücksichtigt werden, damit die Gleichwertigkeit des schweizerischen Datenschutzes mit demjenigen in der EU auch weiterhin gewährleistet ist.

Was sind die Schlüsselpunkte der GDPR?

Bearbeitungsgrundsätze
Jede Datenbearbeitung erfordert die Einwilligung der Betroffenen oder einen anderen Rechtfertigungsgrund. Mögliche Rechtfertigungsgründe sind beispielsweise Vertragserfüllung, EU-Rechtspflicht, berechtigte Interessen oder Ähnliches. Für die Art und Weise, wie Personendaten verarbeitet werden dürfen, gelten die folgenden Bearbeitungsgrundsätze:

• Transparenz: Erklären, wie und welche Daten verarbeitet werden.
• Zweckbindung: Bearbeitung nur für die Zwecke, für welche die Daten erhoben worden sind.
• Verhältnismässigkeit: Datensparsamkeit, Löschung oder Anonymisierung nach Gebrauch

Die personenbezogenen Daten müssen vor Verlust oder Vernichtung, Veränderungen und vor unbefugtem Zugriff oder Offenlegung geschützt werden.

Rechte der betroffenen Personen zu personenbezogenen Daten
Neben den Bearbeitungsgrundsätzen hat der Verantwortliche die umfangreichen Rechte der betroffenen Personen zu beachten und sicherzustellen. Darunter fallen unter anderem die folgenden Rechte und Pflichten:

• Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden.
• Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.
• Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden.
• Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen.
• Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und sie hat das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln.
• Die betroffene Person hat das Recht, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen.

Data Protection by Design / Data Protection by Default
Data Protection by Design (Datenschutz durch Technikgestaltung) und Data Protection by Default (Datenschutz durch datenschutzfreundliche Voreinstellungen) sind zwei Anforderungen, um Datenschutzgrundsätze (z.B. Datenminimierung) zu implementieren – sowohl für technische (z.B. Software) als auch organisatorische (z.B. Organisationsprozesse) Aspekte:

• Data Protection by Design bedeutet, Datenschutz-Risiken schon bei der Entwicklung neuer Technologien festzustellen und zu prüfen sowie den Datenschutz von vornherein in die Gesamtkonzeption einzubeziehen.
• Data Protection by Default bedeutet, dass Produkte oder Dienstleistungen standardmässig datenschutzfreundlich konfiguriert sind. Im Sinn der Rechenschaftspflicht müssen die Überlegungen und Entscheidungen dokumentiert werden.

Verzeichnis von Verarbeitungstätigkeiten
Das Verfahrensverzeichnis ist ein Verzeichnis aller Verarbeitungstätigkeiten. Die Pflicht zur Führung eines Verfahrensverzeichnisses trifft den Verantwortlichen wie auch – mit geringerem Umfang – den Auftragsverarbeiter. Die Führung des Verfahrensverzeichnisses hat schriftlich zu erfolgen, wobei ein elektronisches Format benutzt werden kann. Das Verfahrensverzeichnis ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen. Anhand des Verfahrensverzeichnisses ist es der Aufsichtsbehörde möglich, die durchgeführten Verarbeitungstätigkeiten zu kontrollieren.

Datenschutzbeauftragten benennen
Gemäss GDPR müssen Unternehmen einen Datenschutzbeauftragten benennen. Dieser überwacht die Einhaltung der GDPR sowie weiterer anwendbarer Datenschutzvorschriften. Der Datenschutzbeauftragte ist intern und extern erster Ansprechpartner in Fragen des Datenschutzes. Trifft eines der nachfolgenden Kriterien zu, ist ein Datenschutzbeauftragter notwendig:

• Verarbeitung der Daten durch eine Behörde oder öffentliche Stelle, mit Ausnahme der Gerichte.
• Die Verarbeitung personenbezogener Daten stellt eine Kerntätigkeit der Organisation dar und/oder erfordert eine umfangreiche regelmässige und systematische Überwachung der betroffenen Personen.
• Die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten, ethnische Herkunft usw.) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten stellt eine Kerntätigkeit der Organisation dar.

Datenschutzverstösse
Datenschutzverstösse mit möglichen Risiken für Betroffene müssen der Behörde innerhalb von 72 Stunden, nachdem die Verletzung bekannt wurde, gemeldet werden. Bei hohen Risiken müssen auch die Betroffenen informiert werden. Die Information beinhaltet die folgenden Informationen:

• Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze.
• Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen.
• Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
• Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Massnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Massnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Sanktionen
Für die Durchsetzung des Datenschutzrechts sind weitaus höhere Bussgelder als bisher möglich. Zudem können die Datenschutzaufsichtsbehörden künftig durchsetzbare Anordnungen und Bussgelder nicht nur gegen private Datenverarbeiter, sondern auch gegenüber Behörden erlassen, wenn das im nationalen Recht vorgesehen ist. Die Höhe der Bussgelder für Ordnungswidrigkeiten ist auf 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes begrenzt.

Was ist der Stand des schweizerischen Datenschutzrechts?
Im September 2017 wurden der Entwurf und die Botschaft zum schweizerischen Datenschutzgesetz publiziert. Das Parlament wird den Entwurf nun beraten. Der Bundesrat hofft, das neue DSG im August 2018 in Kraft setzen zu können. Das revidierte schweizerische DSG ist mit der GDPR nicht identisch. Einige Unterschiede zur GDPR sind hervorzuheben:

• Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) erhält Verfügungskompetenzen und kann beispielsweise Untersuchungen einleiten oder Datenbearbeitungen einschränken. Beratungen des EDÖB werden künftig gebührenpflichtig. Meldungen zu Datenschutzverstössen erfolgen in der Schweiz ebenfalls an den EDÖB.
• Vorsätzliche Verletzungen der Informations-, Auskunfts- und Mitwirkungspflichten sowie von Sorgfaltspflichten und der beruflichen Schweigepflicht werden mit einem Betrag von bis zu CHF 250'000.00 bestraft.
• Die Rolle des Datenschutzbeauftragten ist freiwillig. Sie bewirkt Privilegierungen bei der Konsultation des EDÖB im Zusammenhang mit Datenschutz-Folgeabschätzungen.

Was macht Microsoft?
Microsoft hat im Web eine Informationsseite zum Thema GDPR eröffnet und veröffentlicht dort Videos, Whitepapers und viele weitere Informationen im Zusammenhang mit GDPR. Microsoft unterstützt Sie dabei, sich auf Ihr Kerngeschäft zu konzentrieren und sich gleichzeitig effizient auf die GDPR vorzubereiten. Microsoft sichert zu, dass Clouddienste wie Office 365 und Azure die GDPR-Anforderungen per 25.05.2018 einhalten werden. Auf der GDPR-Informationsseite steht passend dazu das folgende Zitat: «Wir haben uns die Einhaltung der ab dem 25. Mai 2018 geltenden EU-Datenschutz-Grundverordnung für unsere Clouddienste zum Ziel gesetzt und stellen in unseren vertraglichen Verpflichtungen Zusicherungen in Bezug darauf bereit.»
Microsoft Trust-Center GDPR Informationen

Was haben die first frame networkers unternommen?
Im 4. Quartal 2017 hat sich die first frame networkers ag mit ihrer IT-Rechtsspezialistin getroffen und eine GAP-Analyse vorgenommen. Bei dieser GAP-Analyse ist der aktuelle Stand der organisatorischen, rechtlichen und technischen Massnahmen mit den Anforderungen der GDPR verglichen worden. Die Abweichungen haben wir dokumentiert und daraus Handlungsempfehlungen abgeleitet. Gestartet werden nun Projekte, die durch Dokumentation zu mehr Transparenz und durch Verschlüsselung zu mehr Vertraulichkeit in der Bearbeitung von personenbezogenen Daten führen. Des Weiteren werden Verträge überarbeitet, um den Änderungen durch die GDPR Rechnung zu tragen. Mit diesen Anpassungen sind wir optimistisch, für GDPR bestmöglich vorbereitet zu sein. Das nachfolgende Kapitel enthält einige Handlungsempfehlungen, mit denen Sie sich beschäftigen sollten.

Was muss ein Unternehmen tun?
Folgende Punkte muss ein Unternehmen erfüllen:

• Für sämtliche Verarbeitungstätigkeiten ist die Einhaltung der Datenschutz-Grundsätze zu gewährleisten, z.B. durch das Stellen von Kontrollfragen.
• Ein Unternehmen muss die eigene Datenbearbeitung dokumentieren. Die folgenden Fragen sind darin zu klären: Wer bearbeitet welche Personendaten, wie und warum? Woher stammen diese Daten und wohin werden sie weitergeleitet? Wer ist verantwortlich?
• Prozesse und Massnahmen (sowohl technische wie auch organisatorische) zur Erfüllung der Betroffenenrechte sind zu erarbeiten.
• Implementierung geeigneter technischer oder organisatorischen Massnahmen, die sicherstellen, dass die Anforderungen an Data Protection by Design und Data Protection by Default eingehalten werden.
• Datenschutzerklärungen, Verträge und sonstige Materialien, mit denen Kunden, Mitarbeitende und andere Personen über die Verarbeitung ihrer Personendaten informiert werden, sind auf Anpassungsbedarf zu prüfen.
• Eine für den Datenschutz verantwortliche Stelle mit fachlichem Know-how und Ressourcen muss bestimmt werden.
• Ein datenschutzkonformer Prozessablauf für die Behandlung von Datenschutzverletzungen muss definiert werden. Die vollständige und rechtzeitige Information der Aufsichtsbehörde und gegebenenfalls der Betroffenen ist sicherzustellen.
• Die Mitarbeitenden sollen sensibilisiert werden. Sie sollen verstehen, was genau personenbezogene Daten sind, wie mit diesen Daten umgegangen werden darf und was sie damit tun dürfen.

Haftungsausschluss: Die in diesem Blog gemachten Aussagen sind als Praxisempfehlung zu verstehen. Jegliche Haftungsansprüche gegenüber dem Autor, der first frame networkers ag oder anderen sind ausgeschlossen.