· 

EU Datenschutz Grundlagen

In unserem letzten Blog Artikel "EU Datenschutz in der Schweiz?" haben wir uns

der Frage gewidmet, ob auch Schweizer Unternehmen von der Europäischen Datenschutz-Grundverordnung (DSGVO) betroffen sein könnten, welche am

25. Mai 2018 in Kraft tritt.

 

In diesem Artikel setzen wir uns inhaltlich mit der DSGVO auseinander.

 

Wir versuchen uns auf die Teile zu beschränken, welche für alle Schweizer Unternehmen wichtig sind, deren primärer Geschäftszweck nicht das Sammeln und Verarbeiten von Personendaten ist und die keinen Sitz in der EU haben.

 

Sollte dies für ihr Unternehmen zutreffen und Sie sind trotzdem von der DSGVO betroffen, hoffen wir, Ihnen mit diesem Artikel die notwendigen Grundlagen näher bringen zu können.

 

Wo immer möglich referenzieren wir die entsprechenden Artikel der DSGVO, damit Sie selber im Detail den offfiziellen Text der DSGVO prüfen können. Zu diesem Zweck sind alle Artikelangaben auf die Seite "dsgvo-gesetz.de" verlinkt.

 

Die Firma intersoft consulting services AG, Hamburg stellt dort die offiziellen Texte der DSGVO sowohl auf Deutsch als auch auf Englisch (GDPR) online zur Verfügung.

 

Wir haben keine direkte Beziehung zur Firma intersoft consulting services AG, möchten uns aber an dieser Stelle ganz herzlich für diesen äusserst nützlichen Service bedanken.

Sinn und Zweck der DSGVO

Die EU möchte sich einen Wettbewerbsvorteil gegenüber anderen Wirtschaftsräumen verschaffen. Über den Schutz von Personendaten und damit dem Schutz persönlicher Rechte und Freiheiten natürlicher Personen sollen IT-Services künftig vermehrt aus dem EU Raum bezogen werden.

Was sind personenbezogene Daten?

Bei personenbezogenen Daten handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4).

 

Hier ein paar Beispiele (nicht abschliessend):

  • Name, Vorname
  • Wohnadresse
  • E-Mailadresse einer Person
  • Pass- oder ID-Nummer;
  • Standort-Daten
  • IP-Adresse
  • Cookie ID
  • Phone advertiser ID

Was sind besonders schützenswerte personenbezogenen Daten?

Die DSGVO spricht in diesem Zusammenhang von "besonderen Kategorien personenbezogener Daten" (Art. 9), deren Verarbeitung nur unter bestimmten Voraussetzungen erfolgen darf (z.B. durch explizite Einwilligung):

  • Ethnische Herkunft
  • Politische Meinungen
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Genetische und biometrische Daten
  • Gesundheitsdaten
  • Sexualleben / sexuelle Orientierung

Grundsätze für die Verarbeitung von personenbezogenen Daten

Die DSGVO definiert die folgenden Grundsätze für die Verarbeitung von personenbezogenen Daten (Art. 5):

  • Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

Rechenschaftspflicht

Bei den Grundsätzen zur Verarbeitung von personenbezogenen Daten ist vor allem die Rechenschaftspflicht hervorzuheben: Unternehmen müssen nachweisen, dass die Datenschutzgrundsätze eingehalten werden.

 

Durch die Rechenschaftspflicht wird die Beweislast vom Betroffenen zur Unternehmung übertragen («Beweislastumkehr»). Daraus entstehen weitreichende Dokumentationspflichten für die Unternehmen.

Rechte der Betroffenen

Mit der DSGVO erhalten die Betroffenen umfangreiche Rechte gegenüber Unternehmen. Diese führen zur Implementierung von zusätzlichen Unternehmensprozessen und machen die Überarbeitung von existierenden Datenschutzerklärungen notwendig.

 

Betroffene haben unter anderem ein Recht auf:

Privacy by design & Privacy by default

Die DSGVO definiert, wie eine Datenbearbeitung gestaltet werden muss. Auf Deutsch lautet die etwas sperrige Bezeichnung "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen" (Art. 25), ist aber bekannter unter den englischen Bezeichnungen "Privacy by design" und "Privacy by default". 

 

"Privacy by design" bedeutet, dass Datenbearbeitungen so ausgestaltet sein müssen, dass sie die Einhaltung des Datenschutzes sicherstellen.

 

"Privacy by default" verlangt, dass, falls Standard-Einstellungen verwendet werden, diese datenschutzfreundlich angewendet werden müssen.

Verzeichnis von Verarbeitungstätigkeiten

Für Unternehmen mit ≥ 250 Mitarbeitern oder bei erhöhtem Schutzbedarf muss ein Verzeichnis aller Verarbeitungstätigkeiten geführt werden (Art. 30).

 

Der Inhalt des Verzeichnisses ist wie folgt festgelegt:

  • Kontaktdaten Verantwortlicher / Datenschutzbeauftragter
  • Zweck der Verarbeitung
  • Betroffene personenbezogene Daten
  • Empfänger personenbezogener Daten
  • Fristen für Löschung
  • Technische und organisatorische Massnahmen

Sicherheit der Verarbeitung

Personendaten müssen durch angemessene technische und organisatorische Massnahmen gesichert sein (Art. 32).

 

Wie die Angemessenheit der technischen Schutzmassnahmen beurteilt werden soll, ist offen formuliert ("Unter Berücksichtigung des Stands der Technik ..." bzw. "Taking into account the state of the art ...").

 

Somit ist es für Unternehmen nach wie vor schwer zu beurteilen, ob die getroffenen technischen Massnahmen in Bezug auf IT-Sicherheit den Anforderungen genügen. Wir werden in einem kommenden Blog-Artikel noch näher auf dieses Thema eingehen.

 

Festgehalten werden kann an dieser Stelle, dass sich der Schutzbedarf aus der Risikobetrachtung der bearbeiteten Personendaten ergibt. Dieser kann höher sein als der Schutzbedarf, den ein Unternehmen für die IT-Infrastruktur identifiziert hat.

Meldepflicht

Die DSGVO sieht verschiedene Meldepflichten vor. Im Falle eines Datenverlusts gilt:

  • Meldung an die zuständige Behörde innerhalb von 72 Stunden (Art. 33)
  • Bei hohem Risiko, Meldung an die direkt Betroffenen (Art. 34)

In diesem Zusammenhang haben auch die zuständigen Behörden weitgehende Befugnisse:

  • Die Behörde kann anordnen, dass direkt Betroffene informiert werden müssen (Art. 58)
  • Die Behörde kann Audits durchführen (bei Verdacht auf Nichteinhaltung der Vorschriften) (Art. 58)
  • Die Behörde kann die Verarbeitung verbieten (Art. 58)

Die heute teilweise verbreitete Praxis, Datenverluste möglichst nur intern zu behandeln um allfälligen Reputationsschäden ausweichen zu können, dürften mit Einführung der DSGVO weiter abnehmen. Die kurze Frist von 72 Stunden nach Bekanntwerden des Datenverlusts stellt dabei hohe Anforderungen an bestehende Notfallprozesse.

Datenschutz-Folgenabschätzung

Bei neuen Verarbeitungsvorgängen von Personendaten mit erhöhtem Risiko ist eine Folgenabschätzung vorzunehmen (Art. 35).

 

Das bedeutet in der operativen Anwendung die Durchführung eines Risiko-Folgenabschätzung für jeden neuen Verarbeitungsvorgang von Personendaten. Wie sonst soll beurteilt werden können, ob ein erhöhtes Risiko vorliegt oder nicht.

 

Somit stellt die DSGVO auch Anforderungen an die Durchführung von IT Projekten in Unternehmen.

Haftung

Art. 82 definiert die Haftung im Schadensfall:

  • Jede betroffene Person hat ein Recht auf Schadenersatz
  • Verantwortliche und Auftragsverarbeiter haften solidarisch
  • Verantwortliche und Auftragsverarbeiter müssen nachweisen, dass sie für den Schadensfall nicht verantwortlich sind

Geldbussen

Je nach Art des Verstosses sieht die DSGVO zwei Stufen von Geldbussen vor (Art. 83):

  • Bis zu EUR 10 Mio. oder bis zu 2% des Jahresumsatzes
  • Bis zu EUR 20 Mio. oder bis zu 4% des Jahresumsatzes

Externe Links

  • Offizieller Text der DSGVO